Partage des données / Ouverture des données

Introduction

Le partage des données est une activité importante dans la recherche scientifique, car il permet d'effectuer diverses analyses et de maximiser le potentiel des données au service des progrès de la connaissance et de l'innovation dans le domaine de la santé. Le partage des données permet d'atteindre les objectifs initiaux de la recherche et de réutiliser les données à d'autres fins, y compris pour des études de réplication.

La recherche collaborative et la publication scientifique nécessitent le partage des données dans le cadre du devoir d'intégrité de la recherche.

Le partage des données peut intervenir à différents moments de la recherche, soit au cours d'un projet de recherche (partage des données de recherche), soit après un projet de recherche (partage des résultats de recherche). Si ces deux aspects présentent des similitudes en termes de règles à respecter, les pratiques en matière de données ouvertes sont spécifiques au partage de données concernant les résultats de la recherche, qui sera abordé dans la section consacrée aux données ouvertes. Néanmoins, les deux sections sont complémentaires et doivent être lues comme un tout.

Il convient de noter que le partage d'échantillons biologiques (humains) à des fins d'analyse de recherche doit être considéré comme un partage de données. Les règles liées au partage de ce matériel biologique s'articulent avec les réglementations relatives à la protection des données. 

Le partage de données est généralement organisé entre différentes entités juridiques. Les parties au partage peuvent être des acteurs d'un même projet de recherche (partage de données en tant que collaboration). Le partage peut également avoir lieu avec des parties prenantes qui ne sont pas impliquées dans un projet de collaboration (partage de données en tant que prestation de services). Cela inclut le partage de données avec ou entre différentes entreprises privées (partage "d'entreprise à entreprise" ou "business-to-business B2B"), ainsi que d'une entreprise privée vers le secteur public (partage "d'entreprise à gouvernement" ou business-to-government "B2G") et d'une entité du secteur public vers une entreprise privée (partage "de gouvernement à entreprise" ou "government-to-business G2B").

Toute activité de partage de données nécessite un traitement des données qui peut être soumis à la protection de la vie privée ou aux lois sur la propriété intellectuelle et aux politiques institutionnelles. Les pratiques de partage des données et les mécanismes de gouvernance correspondants doivent être adaptés au niveau de sensibilité du type de données (voir l'entrée relative à la classification des données) et à la finalité de l'utilisation.

Les pratiques de partage des données peuvent consister à :

• la fourniture d'un accès aux données à une entité juridique tierce (personnes physiques ou morales) pour une finalité d'utilisation définie, sans déplacement des données faisant l'objet de l'analyse, ou
• la fourniture de données, en tant qu'envoi (déplacement) de données d'une entité juridique à une entité juridique tierce pour une finalité d'utilisation identifiée. Cette option n'est pas recommandée lorsqu'il s'agit de données à caractère personnel sensibles.

Différentes situations peuvent être envisagées :

• Partage de données à caractère personnel en tant que données de recherche
  • au sein d'un consortium de projet (en tant que collaboration)
  • Avec des tiers (en tant que prestation de services)
• Partage de données non personnelles en tant que données de recherche
• Partage de données de recherche en vue d'une publication (cf. Données ouvertes ci-après)
• Partage des résultats de la recherche (cf. Données ouvertes ci-après)

En tant que principe, les règles juridiques et éthiques applicables au type de données traitées en vue d’un partage visent à garantir que le niveau de protection des données (en particulier en ce qui concerne les données à caractère personnel) ne soit pas compromis lorsque les données sont partagées. Le même niveau de protection assuré par le détenteur des données qui autorise le partage doit être assuré par le destinataire ou l'utilisateur des données, afin de garantir des relations de confiance.

Le partage des données nécessite des capacités de gestion des données adéquates, y compris des infrastructures informatiques et un cadre de gouvernance des données. La manière dont les données seront organisées et structurées sera essentielle pour permettre une utilisation efficace et responsable des données.

Les opérations de partage des données doivent avoir été conçues dès les premières étapes du projet et les flux de données doivent être détaillés dans un plan de gestion des données (PGD). Le cas échéant, compte tenu de la nature des données en jeu, les activités de partage doivent être évaluées par les parties prenantes dans le cadre d'une analyse d'impact relative à la protection des données à caractère personnel, comme l'exige le RGPD.

Parties prenantes

Les chercheurs et leur direction institutionnelle doivent être impliqués dans la conception des activités de partage des données, quelle que soit la catégorie de données en jeu.

Les services de conseil juridique doivent être associés à la planification du partage des données et à l'étape de contractualisation, y compris le(s) Délégué(s) à la Protection des Données (DPD) de chaque institution impliquée dans le partage.

Les gestionnaires de données et les professionnels responsables des systèmes informatiques assurant l'accès aux données et/ou les capacités de stockage doivent être impliqués lorsque des traitements scientifiques ou techniques sont nécessaires.

Définitions

Partage de données : le fait de fournir des données ou de fournir un accès à des données d'un détenteur de données à un utilisateur de données, généralement une entité juridique tierce, directement ou par le biais d'un intermédiaire, pour une finalité de traitement définie, sous réserve des exigences techniques, financières, juridiques ou organisationnelles applicables en matière d'utilisation, sur la base d'accords volontaires.

L'accès aux données désigne le fait de fournir un accès aux données en vue de leur traitement par un utilisateur de données, sous réserve d'exigences techniques, juridiques ou organisationnelles spécifiques, sans transmission ou téléchargement de données en dehors du périmètre de la plateforme d'accès.

Le détenteur des données est une organisation ou une personne qui, conformément aux lois ou réglementations applicables, est compétente pour décider d'accorder l'accès à des données sous son contrôle ou de les partager, que ces données soient ou non gérées par cette organisation ou cette personne ou par un agent agissant en son nom.

Le producteur de données est une organisation ou un individu qui crée, co-crée, génère ou co-génère des données, y compris en tant que sous-produit de ses activités sociales et économiques, et qui peut donc être considéré comme une source de données primaire.

L'intermédiaire de données est un prestataire de services qui facilite l'accès aux données et leur partage dans le cadre d'accords commerciaux ou non commerciaux entre les détenteurs de données, les producteurs de données et/ou les utilisateurs.

Les données personnelles désignent les informations relatives à une personne identifiée ou identifiable (personne concernée).

Le transfert de données à caractère personnel désigne un transfert de données à caractère personnel vers un pays tiers (non membre de l'UE) ou vers une organisation internationale spécifiquement réglementée par le chapitre V du RGPD de l'UE.

La pseudonymisation correspond à un traitement de données à caractère personnel visant à ce que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

Le cryptage est le processus de formatage appliqué aux données qui ne permet l'accès aux données qu'à la seule entité autorisée qui possède une clé de décryptage et qui rend les données inintelligibles à toute personne qui n'est pas autorisée à y accéder.

Accord de partage de données (APD) : accord juridiquement contraignant entre deux ou plusieurs entités juridiques (ou personnes physiques) concernant le partage de données ou d'informations de toute nature entre ces entités juridiques (ou personnes physiques). Il couvre une large typologie d'accords et de documents entre deux ou plusieurs organisations ou différentes parties d'une organisation. Il ne s'agit pas de couvrir les relations contractuelles avec des personnes physiques en leur qualité de consommateurs ou de personnes concernées.

Plan de Gestion des Données (PGD) : Le PGD décrit le cycle de vie de la gestion des données à collecter, à traiter et/ou à générer dans le cadre d'un projet de recherche. Dans le cadre des efforts visant à rendre les données de recherche trouvables, accessibles, interopérables et réutilisables (Abrégé FAIR, provenant de l’anglais Findable, Accessible, Interoperable et Re-usable), le PGD est un élément clé de la bonne gouvernance des données, rendu obligatoire par la grande majorité des bailleurs de fonds de la recherche publique, tels que l'UE, dans le cadre de ses programmes de financement.

Entrepôt de données de recherche : une base de données conçue pour héberger, stocker, rendre visibles et accessibles les données de recherche. Son rôle est de permettre le dépôt ou la collecte de données, leur description, leur stockage, leur accès et leur partage en vue de leur réutilisation. Chaque entrepôt dispose généralement d'une politique de dépôt, de description et de diffusion des données. Ces infrastructures s'inscrivent dans une démarche de partage et d'ouverture des données selon les principes FAIR afin que les données soient "trouvables, accessibles, interopérables et réutilisables".

Données non personnelles : données autres que les données à caractère personnel telles que définies à l'article 4, paragraphe 1, du RGPD, y compris les données anonymes et les données qui ont été rendues anonymes de manière appropriée selon les techniques les plus récentes.

Environnement de traitement sécurisé : l'environnement physique ou virtuel et les moyens organisationnels permettant de réutiliser les données d'une manière qui permette à l'opérateur de l'environnement de traitement sécurisé de déterminer et de superviser toutes les actions de traitement des données, y compris l'affichage, le stockage, le téléchargement, l'exportation des données et le traitement des données dérivées au moyen d'algorithmes de calcul.

Procédure Opérationnelle Standardisé (POS) : ensemble d'instructions écrites décrivant la procédure à suivre, étape par étape, pour effectuer correctement une activité de routine. Les procédures opérationnelles standard doivent être suivies exactement de la même manière à chaque fois afin de garantir que l'organisation reste cohérente et conforme aux réglementations du secteur et aux normes commerciales.

Les données de recherche sont des enregistrements réels (scores numériques, enregistrements textuels, images et sons ou enregistrements audiovisuels) utilisés comme sources primaires pour la recherche scientifique, et qui sont communément acceptés dans la communauté scientifique comme étant nécessaires pour valider les résultats de la recherche. Un ensemble de données de recherche constitue une représentation systématique et partielle du sujet étudié. Ce terme ne couvre pas les éléments suivants : les cahiers de laboratoire, les analyses préliminaires et les projets d'articles scientifiques, les plans de recherche future, les évaluations par les pairs, les communications personnelles avec les collègues ou les objets physiques (par exemple, les échantillons de laboratoire, les souches de bactéries et les animaux de laboratoire tels que les souris). (OCDE, Principles and Guidelines for Access to Research Data from Public Funding, 2007) Les données de recherche peuvent être des données primaires ou secondaires.

Les données primaires font référence aux données recueillies par le chercheur lui-même. Elles sont également appelées données de première main ou données brutes. Les données peuvent être collectées par le biais de différentes méthodes telles que les enquêtes, les observations, les tests physiques, les questionnaires envoyés par la courrier, les questionnaires remplis et envoyés par des enquêteurs, les entretiens personnels, les entretiens téléphoniques, les groupes de discussion, les études de cas, etc.

Les données secondaires sont des données collectées antérieurement par quelqu'un d'autre. Les données secondaires sont des informations de seconde main déjà collectées et enregistrées par une personne autre que l'utilisateur dans un but qui n'est pas lié au problème de recherche actuel. Il s'agit d'une forme facilement accessible de données collectées à partir de diverses sources telles que les publications gouvernementales, les dossiers internes de l'organisation, les rapports, les livres, les articles de journaux, les sites web, etc.

Le libre accès fait référence à la pratique consistant à fournir un accès en ligne à des informations scientifiques gratuites pour l'utilisateur final et réutilisables. Le terme "scientifique" fait référence à toutes les disciplines universitaires. Dans le contexte de la recherche et de l'innovation, l'"information scientifique" peut signifier :

1. des articles de recherche scientifique évalués par des pairs (publiés dans des revues scientifiques), ou
2. les données de recherche (données sous-jacentes aux publications, données conservées et/ou données brutes - données secondaires et/ou primaires).

Le libre accès aux données de recherche désigne le droit d'accéder à des données de recherche numériques et de les réutiliser selon les termes et conditions définis dans la convention de subvention.

Les données ouvertes désignent la mise à disposition de données de recherche ou de publications sans restrictions concernant leur réutilisation.

Enjeux

Même si la majorité des chercheurs sont d'accord sur le principe du partage des données, la pratique est souvent difficile et soulève des questions potentiellement délicates, notamment en ce qui concerne :

• L'organisation du partage des données ;
• La prise de décision concernant le partage (quand et avec qui) ;
• L'architecture juridique et les lois contradictoires appliquées dans les différents pays où les parties au partage sont établies ou opèrent ;
• L'organisation pratique des activités de partage des données ;
• La planification d'un budget pour assurer le partage des données et des activités durables ;
• La sélection de services ou de logiciels tiers appropriés utilisés pour le partage des données. 

Cette liste n'est pas exhaustive et il existe des cas où le partage de données en tant que données ouvertes ne peut être recommandé (cf. Données ouvertes ci-dessous dans la partie Etapes pratiques).

Opportunités et incitations

Les chercheurs sont de plus en plus sensibilisés à l'importance du partage des données et des données de recherche ouvertes dans les environnements de recherche contemporains. Le partage des données dans la recherche doit être abordé comme une bonne pratique soutenant les collaborations de haut niveau, la qualité de la recherche et l'intérêt public.

Interactions avec les régulateurs

Il n'existe pas d'autorité européenne spécifique chargée de réglementer et de superviser les pratiques de partage des données. Néanmoins, les agences de financement rattachées à la Commission Européenne qui mettent en œuvre les programmes-cadres de recherche et de développement technologique de l'UE favorisent le partage des données et l'ouverture des données avec les institutions subventionnées, conformément, notamment, aux objectifs de la Directive européenne sur les données ouvertes (ODD) et du Règlement européen sur la gouvernance des données (DGA) et dans le respect des législations nationales. 

Le partage des données et l'ouverture des données impliquent des autorités et des régulateurs au niveau national :

• Autorités de contrôle de la protection des données personnelles et les délégués à la protection des données ;
• Autorités sanitaires ;
• Agences de financement au niveau national.

En fonction de leurs attributions, ces institutions peuvent établir des règles spécifiques pour le partage des données, fournir une assistance technique et non technique aux chercheurs.

Étapes pratiques

Plan de gestion des données (PGD)

Un PGD est soit obligatoire pour les projets bénéficiant d'un financement public, soit fortement recommandé pour être élaboré sur une base volontaire en tant qu'outil de bonne gouvernance.

Le PGD est un document synthétique qui permet d'organiser et d'anticiper toutes les étapes du cycle de vie des données. Il explique pour chaque ensemble de données comment les données d'un projet seront gérées, depuis leur création ou leur collecte jusqu'à leur partage et leur archivage. Le PGD exige de prendre des mesures avec tous les partenaires pour garantir que les données de recherche du projet seront traitées de manière responsable. Cela nécessite la collaboration des partenaires et, dans de nombreux cas, l'acceptation des bailleurs de fonds.

Selon les normes de l'UE (Horizon Europe 2021-2027), un PGD doit inclure des informations sur :

• le traitement des données de recherche pendant et après la fin du projet ;
• les données qui seront collectées, traitées et/ou générées ;
• la méthodologie et les normes qui seront appliquées ;
• si les données seront partagées ou rendues accessibles et ;
• comment les données seront conservées et préservées (y compris après la fin du projet).

Le PGD doit être adapté aux opérations de partage de données envisagées et maintenu à jour tout au long du projet de recherche.

Dans le PGD, le partage des données peut être organisé en identifiant les types de données qui seront partagées, les objectifs du partage, les bases juridiques, les rôles spécifiques dans le partage, l'identification des destinataires des données, les garanties techniques et les mesures de sécurité, les exigences en matière de format pour les données partagées et les procédures opérationnelles standard spécifiques pour le partage des données. Le PGD peut servir à attribuer un niveau de sensibilité aux données/ensembles de données et aux mesures organisationnelles et techniques correspondantes qui garantiront une protection adéquate des données dans le cadre du partage des données. L'élaboration d'un modèle de données commun sera essentielle pour fournir des données de qualité normalisées.

Les bases de données à partager peuvent être stockées localement dans l'institution source et/ou mutualisées (par exemple, dans une base de données de projet ad hoc ; dans un dépôt de données de recherche sécurisé déjà existant). Les services d'informatique en nuage pourraient fournir des solutions adaptées pour le stockage et la mise à disposition des données, mais ils nécessiteront des garanties et des sauvegardes en ce qui concerne la gestion des données. Lorsqu'un système ou une plateforme de partage de données spécifique est développé ou utilisé pour le partage de données de recherche, le PGD doit détailler les responsabilités, les droits et les obligations liés à la gouvernance du système informatique, ainsi que les procédures opérationnelles standardisées utilisées pour effectuer le partage de données par l'intermédiaire de ce système.

La gouvernance de ces plateformes d'accès et de partage de données est un élément important pour la création d'un environnement fiable satisfaisant à la fois les intérêts des personnes concernées et les besoins légitimes des chercheurs.

La gouvernance du partage des données doit être examinée de près, en particulier lorsque des tiers fournissent des services de gestion des données, notamment en ce qui concerne les aspects suivants :

• Contrôle des données : qui aura le pouvoir de décision concernant le partage, l'accès et l'utilisation des données ? Les droits des tiers sont-ils impliqués dans le partage (par exemple en ce qui concerne les données secondaires) et comment le respect de ces droits est-il assuré ?
• Finalités du partage des données : définir le ou les domaines de recherche spécifiques pour lesquels les données peuvent être consultées par des tiers, le cas échéant dans le respect du consentement de la personne concernée.
• Modes et modalités d'accès aux données : les données primaires peuvent-elles être consultées à distance par l'intermédiaire d'une plateforme spécialisée ? Restrictions en matière de téléchargement ? Fonctionnalités de téléchargement/enrichissement ? Traçabilité ?
• Politique de sécurité des données.
• Comité d'accès aux données (CAD) : y compris l'expertise scientifique, méthodologique, éthique et juridique pertinente et les règles de procédure correspondantes.
• Contrats comprenant des clauses de protection des données adéquates et juridiquement contraignantes (telles que l'obligation de ne pas violer l'anonymat des données lors du traitement ; clauses relatives à la propriété intellectuelle), prenant la forme d'accords de transfert de données en cas de partage international de données (y compris l'accès à une base de données par une entité juridique établie en dehors du territoire de l'UE) avec des conditions supplémentaires (voir la section ci-dessous sur le transfert de données à caractère personnel). 

Les modèles de PGD sont généralement mis à disposition par l'organisme de financement de la recherche. Par exemple, pour les projets financés par l'UE, le modèle de PGD Horizon 2020 a été conçu pour s'appliquer à tout projet Horizon 2020 qui produit, collecte ou traite des données de recherche. Ils peuvent également être fournis par une autre organisation ou un tiers de confiance. Il existe également des outils pour soutenir la construction du PGD, tels que le DMP-OPID OR établi par l'Inist-CNRS Institut de l'Information Scientifique et Technique qui facilite la saisie des données et les échanges entre les partenaires du projet, en plus de fournir des modèles de PGD des bailleurs de fonds et des exemples de PGD publics. Voir les ressources fournies à la fin de la section dans "Plus".

Analyse d'impact sur la protection des données (DPIA ou AIPD)

L'analyse d'impact sur la protection des données est rendue obligatoire par l'article 35 du RGPD pour certaines catégories de traitement de données à caractère personnel susceptibles d'entraîner un risque élevé pour les droits et libertés de la personne concernée. La plupart des pays de l'UE imposent un AIPD pour le traitement des données de la recherche en matière de santé, en particulier lorsque des données génétiques et de nouvelles technologies sont en jeu. L'AIPD est un élément clé des projets utilisant/générant des données personnelles qui structurera le projet en termes de mesures de protection de la vie privée pour les personnes concernées en tant que participants à la recherche.

L'AIPD nécessitera une collaboration étroite entre les partenaires et leurs responsables juridiques respectifs (délégués à la protection des données - DPD - dans les États membres de l'UE) avant la première collecte de données à caractère personnel à traiter aux fins de la recherche.

Les questions relatives au partage des données et les garanties techniques et organisationnelles appropriées pour la protection des données à caractère personnel doivent être incluses dans les évaluations, détaillées et conformes à l'article 89 du RGPD et aux lois nationales applicables. L'analyse complétera le DMP en ce qui concerne la protection des données personnelles et garantira à la fois le respect des droits de la personne concernée, les principes essentiels de protection des données personnelles (par exemple la loyauté, la minimisation des données, la limitation de la finalité, la durée de stockage, la responsabilité) et facilitera les pratiques conjointes de partage des données personnelles.

Les services techniques intervenant dans le traitement et les garanties connexes en matière de protection des données à caractère personnel et de gouvernance seront également précisés dans l'analyse d'impact sur le développement durable au niveau général et au niveau des parties prenantes, le cas échéant.

La mise en place et/ou le respect de procédures opératoires normalisées spécifiques pour le partage de données à caractère personnel pourrait être un outil utile pour faciliter les pratiques de partage de données.

La description des mesures organisationnelles et techniques prévues pour garantir un partage responsable des données à caractère personnel doit être décrite dans l'AIPD qui définira également les rôles, les devoirs et les droits des parties prenantes.

Il existe des lignes directrices européennes sur l'AIPD (European Guidelines on DPIA). Les autorités nationales de contrôle de la protection des données peuvent fournir des documents facilitant cette évaluation (voir, par exemple ici les modèles et outils de l'AIPD de la CNIL française).

Information des personnes concernées sur le partage des données à caractère personnel

Les personnes concernées doivent avoir été dûment informées du partage des données et ne doivent pas l'avoir rejeté ou s'y être opposées (que la collecte des données se fasse avec ou sans consentement préalable). Afin de garantir un niveau élevé de transparence et d'équité dans le partage des données, la personne concernée doit recevoir des informations claires, explicites et intelligibles sur l'identité du responsable du traitement ou de son représentant, sur la ou les finalités du partage, sur sa base juridique, ainsi que sur les catégories de personnes pouvant accéder aux données partagées et les utiliser.

Des informations sur le respect du devoir de confidentialité et les mesures techniques garantissant la protection de la vie privée dans le cadre du partage des données (par exemple, la pseudonymisation ou l'anonymisation), sur l'inclusion des données dans une base de données ou une biobanque gérant les opérations de partage, ainsi que sur l'implication d'acteurs privés ou les collaborations commerciales prévisibles incluant le partage des données doivent être fournies pour compléter les éléments d'information mentionnés à l'article 13 ou 14 du RGPD. (Voir l'entrée "Collecte, traitement et contrôle des données").

Le partage de données génétiques ou génomiques dans le cadre de la recherche doit faire l'objet d'une attention particulière. En effet, les analyses de recherche pourraient conduire à révéler des résultats individuels cliniquement utiles liés aux conditions de santé étudiées ou des découvertes fortuites sans rapport avec les conditions de santé initiales ou l'objectif de la recherche. Ces informations sont potentiellement éligibles à un retour d'information individuel et à une prise en charge médicale du participant à la recherche (prévention incluant le conseil génétique, les stratégies de diagnostic ou de traitement). La procédure d'identification, de validation de ces informations éligibles et de restitution au participant à la recherche doit être décrite, par exemple dans l'EDPI, et des procédures opératoires normalisées (PON) doivent être élaborées à cet effet. La personne concernée doit être informée des possibilités qu'une telle situation se produise et des procédures de communication correspondantes.

Lorsque des données sont collectées dans le cadre d'un protocole de recherche (par exemple, un essai clinique), le consentement obtenu doit permettre la publication de l'analyse des données en tant que résultats de la recherche et le dépôt dans un référentiel des données sous-jacentes rapportées dans une étude. Ce type de consentement ne couvre généralement pas le partage des données individuelles des participants, à moins qu'elles n'aient été rendues anonymes de manière adéquate.

Dans tous les cas, les personnes concernées doivent toujours être en mesure d'exercer leurs droits sur les données partagées. Cela signifie que le responsable du traitement des données et l'utilisateur des données (qu'il s'agisse d'un autre responsable du traitement ou d'un sous-traitant) sont conjointement chargés de garantir l'efficacité des droits de la personne concernée, quel que soit l'endroit où se trouvent les données.

En tout état de cause, la personne concernée a la possibilité de refuser le partage ou de s'y opposer à tout moment. Lorsque le partage de données à caractère personnel est fondamentalement nécessaire à la réalisation de la recherche et constitue donc un critère obligatoire pour participer au projet de recherche, la personne concernée doit être informée qu'un refus de partager des données à caractère personnel aux fins du projet impliquerait le refus de participer au projet. Dans certains contextes, des options telles que l'anonymisation systématique des données avant leur partage, ou une approche stratifiée permettant à la personne concernée de ne refuser le partage que pour certaines finalités ou parties du projet de recherche (considérant 33 du RGPD) pourraient être envisagées.

L'obligation d'information préalable au partage s'applique également lorsque le responsable du traitement a l'intention de traiter ultérieurement les données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées. Le responsable du traitement fournit à la personne concernée, avant ce traitement ultérieur, des informations sur cette autre finalité et toute autre information pertinente mentionnée ci-dessus et à l'article 13 ou 14 du RGPD.

Des dérogations légales à l'obligation d'information prévue par le RGPD existent et doivent être vérifiées (cf. section Traitement des données et article 13(4), et article 14(5), du RGPD). Pour rappel, l'application de ces dérogations légales n'exclut pas l'application d'autres exigences en matière de protection des données imposées au responsable du traitement et au sous-traitant.

Comme bonne pratique, les personnes concernées doivent également être informées des pratiques d'anonymisation et de leurs conséquences sur l'exercice de leurs droits, telles que l'impossibilité d'obtenir un retour d'information sur des résultats individuels potentiels ou des résultats incidents cliniquement validés et utiles.

Il convient de noter que les données non personnelles ne relèvent pas du champ d'application du RGPD et peuvent être partagées librement, sans aucune restriction, conformément au Règlement UE 2018/1807 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne. Cela n'exclut pas la possibilité de conclure des accords de partage de données spécifiant par exemple la localisation du stockage des données si cela est justifié et proportionné au regard d'un objectif légitime à sauvegarder (par exemple, la sécurité publique, la protection de l'anonymat) et que ces dispositions renforcent la sécurité juridique, de sorte qu'elles ne constituent pas un obstacle injustifié au partage. 

Transfert de données à caractère personnel vers un pays tiers

Il existe des règles spécifiques pour le partage de données à caractère personnel avec des partenaires ou des utilisateurs de pays non membres de l'UE.

• Déterminez si vous êtes dans le cadre d'un transfert de données à caractère personnel régi par le chapitre V du RGPD.

Les lignes directrices 05/2021 (Guidelines 05/2021) du Comité européen de la protection des données (CEPD ou EDPB en anglais) précisent la définition du transfert de données à caractère personnel en établissant trois critères cumulatifs caractérisant une telle situation :

1. Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement en question ;
2. Le responsable du traitement ou le sous-traitant ("exportateur") divulgue par transmission ou met d'une autre manière les données à caractère personnel faisant l'objet du traitement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant ("importateur") ;
3. L'importateur se trouve dans un pays tiers ou est une organisation internationale, que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement en question conformément à l'article 3 RGPD.

Par conséquent, la notion de "transfert" au sens du RGPD exclut les activités de partage de données réalisées sur le territoire de l'UE entre différentes entités situées sur le territoire des États membres, ainsi que l'importation de données à caractère personnel provenant de pays non membres de l'UE ou d'organisations internationales au sein d'organisations de responsables du traitement ou de sous-traitants situées dans l'UE (mais les principes internationaux et européens d'éthique de la recherche restent d'application, comme le rappellent les EC guidelines on ethics and data protection). De même, elle ne concerne pas les données à caractère personnel transmises directement par la personne concernée située dans l'UE à une organisation d'un pays tiers, lorsque cette opération a été effectuée à l'initiative de la personne concernée.

Lorsque les trois critères sont remplis, il s'agit d'une situation de transfert soumise au chapitre V du RGPD. Les règles suivantes doivent donc être respectées.

Par principe, les transferts de données à caractère personnel sont interdits par la loi, sauf dans certaines circonstances.

• Information spécifique de la personne concernée 

La personne concernée doit avoir été clairement informée de l'intention du responsable du traitement de transférer des données à caractère personnel aux fins du traitement.

Conformément aux articles 13 et 14(e) et (f), du RGPD, la personne concernée doit être informée des destinataires des données ("importateur") ou des catégories de destinataires des données à caractère personnel et de l'existence ou de l'absence d'une décision d'adéquation de la Commission européenne (voir ci-dessous Règles spécifiques pour encadrer le transfert de données à caractère personnel), ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49(1), deuxième alinéa, du RGPD, une référence aux garanties appropriées ou adéquates et aux moyens d'en obtenir une copie ou à l'endroit où elles ont été mises à disposition.

Les transferts ne doivent pas empêcher les personnes concernées d'exercer les droits que leur confèrent le RGPD de l'UE et les lois nationales. 

• Règles spécifiques pour encadrer le transfert de données à caractère personnel

Le transfert de données à caractère personnel doit être encadré conformément au RGPD et à toute réglementation sectorielle nationale s'appliquant au partage des données de santé.

Cela signifie que :

• Le transfert de données doit être licite. Pour que les transferts de données vers des pays non membres de l'UE soient licites, ils doivent reposer sur au moins l'un des motifs suivants :
  • sur une "décision d'adéquation" adoptée par la Commission européenne à l'égard du pays destinataire en question ; Liste des pays concernés ; ou
  • sur une "garantie appropriée", y compris :
    • un accord de transfert de données (ATD) contenant des Clauses contractuelles types de la CE donnant effet à la législation de l'UE en matière de protection des données ; ou
    • des règles d'entreprise contraignantes (BCR) appliquées à un groupe d'entreprises conformément à l'article 47 du RGPD, couvrant à la fois les organisations émettrices et réceptrices et approuvées par une autorité de contrôle nationale ; ou
    • un code de conduite approuvé conformément à l'article 40 du RGPD, assorti d'engagements contraignants et exécutoires du responsable du traitement ou du sous-traitant dans le pays tiers à appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ; ou
    • un mécanisme de certification approuvé conformément à l'article 42 du RGPD, assorti d'engagements contraignants et exécutoires du responsable du traitement ou du sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ; ou
  • sur la base d'un autre motif juridique exceptionnel visé à l'article 49 du RGPD, y compris :
    • le consentement explicite de la personne concernée (qui doit être clairement et explicitement informée à l'avance de ces transferts en l'absence des garanties adéquates susmentionnées et des mécanismes mis en place pour respecter sa vie privée - bien que cela soit légalement possible, il ne s'agit pas d'une option privilégiée) ; ou
    • le transfert est rendu nécessaire en l'absence des garanties susmentionnées, sur la base de la nécessité d'atteindre une finalité d'intérêt public important. 
• L'exportateur de données situé dans l'UE doit être autorisé par l'autorité nationale compétente en matière de protection des données (l'"autorité de contrôle") à effectuer de telles activités de transfert lorsque le droit applicable l'exige.
• L'exportateur de données doit vérifier que les destinataires des données sont en mesure d'assurer le même niveau de protection des données que celui exigé par la législation de l'UE. 
• Le projet de recherche dans le cadre duquel les échantillons/données sont partagés et/ou utilisés doit avoir reçu l'approbation éthique des comités d'éthique de la recherche compétents. Le promoteur de la recherche doit toujours être responsable des activités de partage des données et être en mesure de fournir des documents éthico-juridiques à l'appui de ses activités. Ces documents doivent être vérifiés par l'exportateur de données avant la mise en œuvre du partage.
• Tout transfert de données à caractère personnel doit être enregistré et documenté dans le registre des traitements tenu par le DPD.

En cas de partage avec un autre responsable du traitement établi en dehors de l'UE, ce dernier doit désigner un représentant sur le territoire de l'UE conformément à l'article 27 du RGPD.

Les transferts de données à caractère personnel vers des responsables de traitement ou des sous-traitants privés établis aux États-Unis peuvent s’appuyer sur la conformité avec la décision d'adéquation cadre nommée EU-U.S. Data Privacy Framework qui couvre les transferts de données de toute entité publique ou privée de l'EEE vers des entreprises américaines participant au cadre UE-États-Unis de protection des données à caractère personnel.  

Sécuriser les opérations de partage des données personnelles

Les dispositions relatives à la sécurité des données, prévues par la loi ou d'autres réglementations, et contenues dans les cadres de référence (par exemple, les normes ISO), devraient se traduire par des mesures techniques et organisationnelles de pointe, régulièrement révisées, afin de protéger les données personnelles liées à la santé contre toute destruction illégale ou accidentelle, toute perte ou toute altération, et de se prémunir contre tout accès non autorisé, toute indisponibilité ou toute inaccessibilité.

Parmi les mesures à mettre en œuvre dans le cadre du partage des données, les éléments suivants doivent être pris en considération :

• L'anonymisation des données
  • Pour plus d'informations sur la notion, les critères et les techniques d'anonymisation des données, voir Groupe de travail « Article 29 » sur la protection des données (aujourd'hui EDPB) Avis 05/2014 sur les Techniques d’anonymisation).
  • Il convient de noter que l'activité de traitement qui produit des données anonymes est un traitement de données à caractère personnel, qui peut être considéré comme compatible avec les finalités initiales du traitement à partir desquelles les données sont obtenues. L'ensemble de données anonymes n'entre pas dans le champ d'application du RGPD uniquement s'il est possible de démontrer objectivement qu'il n'existe aucune possibilité matérielle d'associer les données anonymes à une certaine personne physique, directement ou indirectement, que ce soit par l'utilisation d'autres ensembles de données, d'informations ou de mesures techniques et matérielles qui peuvent être accessibles à des tiers.
  • Le Groupe de travail "Article 29" sur la protection des données (aujourd'hui EDPB) a examiné plusieurs méthodes différentes d'anonymisation des données et a clarifié les mesures que les responsables du traitement et les sous-traitants doivent prendre. Il précise notamment que "la suppression des éléments directement identifiants ne suffit pas en soi à garantir que l'identification de la personne concernée n'est plus possible. Il sera souvent nécessaire de prendre des mesures supplémentaires pour empêcher l'identification, une fois encore en fonction du contexte et des finalités du traitement auquel les données rendues anonymes sont destinées". Cette mise en garde s'appuie sur le fait que la notion de désidentification de la loi américaine HIPAA (Health Insurance Portability and Accountability Act), qui consiste à supprimer simplement 18 identifiants, n'atteint pas le niveau d'anonymat requis par le RGPD sans une analyse de risque plus poussée et des mesures d'atténuation.
• Pseudonymisation des données
  • Ne doit pas être confondue avec l'anonymisation, voir par exemple la note de l'Agence Espagnole de Protection des Données : AEPD Note, 10 Misunderstandings related to Anonymisation, 2020.
  • Voir également l'avis conjoint de l'AEPD et de l’EDPB sur la fonction de hachage en tant que technique de pseudonymisation, AEPD/EDPS on the Hash function as peudonymisation technique.
• Chiffrement des données
  • Ne doit pas être confondu avec les techniques de pseudonymisation, même s'il est complémentaire, car il concerne les processus de cryptage et de décryptage en tant que mesure de sécurité des données dans les systèmes de communication.
  • Par exemple, norme de cryptage pour les données génomiques : GA4GH Crypt4GH.

En outre, l'infrastructure informatique de soutien au partage des données doit comprendre les éléments suivants :

• Des systèmes d'authentification et d'autorisation (par exemple, GA4GH Passports and Authentication & Authorisation Infrastructure (AAI), deux normes permettant d'authentifier de manière fiable l'identité numérique d'un chercheur et d'automatiser son accès à un ensemble de données génomiques demandé ; voir également le login ELIXIR, ELIXIR life science login, pour les sciences de la vie, anciennement connu sous le nom d'ELIXIR AAI).
• Description des conditions d'utilisation des données ou des ensembles de données (par exemple, GA4GH DUO - Data Use Ontology pour l'établissement de conditions et de restrictions d'utilisation des données lisibles par machine).
• Traçabilité des actions effectuées sur les données (communication, modification ou suppression des données).
• Autres mesures pertinentes qui pourraient être appliquées en ce qui concerne la sécurité physique des données et les technologies de communication utilisées pour le partage. Pour plus de détails, vérifiez si votre autorité de contrôle a publié des orientations, voir par exemple le guide de la CNIL sur la sécurité des données personnelles. 

Ces mesures de contrôle des données doivent être détaillées dans un document juridiquement contraignant et respectées par les parties au partage des données par le biais de contrats (contrats de traitement des données ; accords de transfert de données).

Les violations des mesures de sécurité dans le cadre du partage des données personnelles sont considérées comme des violations de la protection des données personnelles. 

Protections contractuelles

La protection des données, y compris les mesures de protection de la vie privée, les licences de données et les droits de propriété intellectuelle, sont des questions importantes à résoudre lors de la préparation du partage. La signature d'un contrat spécifique encadrant toute opération de partage de données de recherche est une bonne pratique dans le domaine de la recherche scientifique, en particulier lorsque des données personnelles sensibles sont en jeu (données sur la santé, données génomiques/ génétiques).

• Types d'accords de partage de données (APD)

Les contrats peuvent prendre la forme d'un accord de traitement des données (DPA), d'un accord d'accès aux données (DAA), d'un accord de transfert de données (DTA) ou d'un accord de transfert de matériel lorsque des échantillons biologiques humains sont partagés avec les données (MTA). Quel que soit le type de contrat utilisé, il doit garantir une protection adéquate des données et la sécurité juridique pour le responsable du traitement et le sous-traitant de traitement, dans le respect des droits et libertés de la personne concernée.

• Contenu des contrats 

Ces contrats précisent les parties, le contexte, l'objet et les finalités du partage, le type de données, la durée du partage, les droits et obligations du responsable du traitement et des utilisateurs, les modalités pratiques du partage, le stockage et la protection des données ou de l'ensemble de données, y compris en cas de sous-traitance, ainsi que des précisions sur les droits et règles de propriété intellectuelle, les lois applicables et les mécanismes de résolution des litiges (extrajudiciaires ou judiciaires).

Les conditions d'utilisation des données à caractère personnel et d'exploitation des données anonymes sont généralement précisées dans ces contrats juridiquement contraignants.

En cas de partage de données à caractère personnel relevant du RGPD, les contrats conclus entre le responsable du traitement des données et les sous-traitants doivent respecter les conditions fixées à l'article 28 du RGPD en termes de contenu et de garanties jointes.

Des restrictions concernant les droits d'accès aux données à caractère personnel partagées pourraient être envisagées en raison des risques inhérents au partage de données à caractère personnel en matière de protection de la vie privée. En principe, l'accès aux données identifiables doit être limité aux seuls professionnels agissant aux seules fins de la recherche et soumis au secret professionnel. Le partage de données à caractère personnel nécessite d'envisager des mesures de sécurité, des garanties contractuelles et des mécanismes de gouvernance. La pratique du sous-traitement par le sous-traitant auquel les données sont mises à disposition doit être envisagée avec prudence, en particulier lorsque des données génomiques sont en jeu. Cette pratique peut être contractuellement interdite ou spécifiquement restreinte.

Il convient de noter que les données personnelles identifiables ne sont pas soumises à des régimes de propriété intellectuelle ou à d'autres types de régimes juridiques en vertu des lois de l'UE. Les protections contre le détournement des données personnelles doivent être assurées par le responsable du traitement des données. Néanmoins, les bases de données peuvent être soumises au droit de la propriété intellectuelle (Directive 96/9/CE concernant la protection juridique des bases de données) qui crée différents droits, d'abord pour l'auteur ou les auteurs de la base de données et ensuite pour le producteur ou les producteurs de la base de données, qui doivent être respectés dans le partage et peuvent conditionner l'utilisation de la base de données à des autorisations préalables ou à des arrangements contractuels (voir la section ci-dessous sur les bases de données).

En général, les licences Creative Commons (CC) sont utilisées pour protéger les droits de propriété intellectuelle dans le cadre du partage de données. Il existe d'autres types de licences. La licence CC0 (la plus ouverte à la réutilisation des données) est généralement utilisée pour les métadonnées associées à un ensemble de données. Les licences Creative Commons sont également utilisées pour les données dérivées d'échantillons physiques tels que le matériel biologique. Plusieurs degrés d'ouverture peuvent être choisis par le biais de Creative Commons en fonction de la sensibilité des données et des éventuels accords de consortium de recherche existants (par exemple, convention de subvention, PGD). Les licences CC ont une valeur juridique contraignante pour l'utilisateur qui doit respecter leurs règles en les réutilisant et en mentionnant visiblement la licence dans ses communications.

Les contrats peuvent conditionner l'accès et le partage des données à l'utilisation d'environnements ou de méthodes technologiques et organisationnels imposant des conditions qui préservent l'intégrité des données, mais aussi, en cas d'accès à distance via une plateforme informatique, des conditions qui préservent le fonctionnement des systèmes techniques de l'environnement de traitement sécurisé utilisé. Lorsque des informations protégées (informations commerciales confidentielles, données à caractère personnel, données/bases de données soumises à la propriété intellectuelle) sont mises à disposition, leur réutilisation est subordonnée au respect par le réutilisateur d'une obligation de confidentialité qui interdit la divulgation de toute information mettant en péril les droits et les intérêts de tiers que le réutilisateur pourrait avoir acquis en dépit des mesures de protection mises en place.

• Qui participe à la préparation et à la mise en œuvre du contrat ?
  • Les parties ;
  • Le représentant institutionnel et légal du chercheur ;
  • Le cas échéant, des intermédiaires tels qu'une biobanque ; éventuellement des services d'informatique en nuage.

La définition de la protection juridique applicable aux données et aux ensembles de données à partager devrait systématiquement impliquer les services juridiques compétents, le chef du bureau ou de l'unité, ou d'autres personnes compétentes agissant au nom de l'institution du chercheur. Les mêmes précautions s'appliquent lorsque le partage est envisagé par l'intermédiaire de services de tiers tels que les services d'informatique en nuage en ligne. En effet, le fournisseur de services en nuage et l'utilisateur s'engagent dans une relation contractuelle définissant les responsabilités, généralement par le biais de conditions de services approuvées par le client (l'utilisateur). La pratique courante montre que le client est souvent invité à accepter des clauses contractuelles préétablies qui ne sont pas toujours adaptées.

Dans tous les cas, le contrat sera signé par les personnes autorisées à approuver les documents juridiques au nom des institutions concernées (les parties : celle qui partage, celle qui reçoit et utilise les données ; les intermédiaires potentiels). En cas de violation de l'accord, les responsabilités des parties pourraient être engagées.

Le partage d'échantillons biologiques (et de données contenues dans ou attachées à du matériel biologique) peut être effectué avec l'aide d'une biobanque, qu'elle soit axée sur une maladie ou sur une population, qu'elle soit basée dans un hôpital ou dans une organisation indépendante. Le cas échéant, les lois nationales applicables à la création d'une biobanque ad hoc doivent être respectées. Des conseils pour la création et le pilotage d'une biobanque responsable existent au niveau international, comme les lignes directrices de l'OCDE sur les biobanques humaines et les bases de données de recherche génétique  ou la déclaration de Taipei de l'AMM sur les considérations éthiques concernant les bases de données sur la santé et les biobanques. 

Dans tous les cas, la qualification juridique de la biobanque dans le partage des données doit être établie en fonction de son rôle (par exemple, responsable ou co-responsable du traitement des données, sous-traitant des données).

Pour une vue d'ensemble des biobanques humaines existantes en Europe et des échantillons mis à disposition à des fins de recherche, voir le site web BBMRI-ERIC Website et l'outil de recherche Directory ; pour les lignées de cellules souches pluripotentes humaines, voir le hPSCRegistry.

L'utilisation de services informatiques en nuage (SaaS, IaaS, PaaS) pour le partage de données dans la recherche peut être intéressante pour les responsables du traitement des données qui ont besoin de moyens informatiques spécifiques et peut présenter des avantages en termes d'économies et d'évolutivité. Néanmoins, cela soulève des questions spécifiques que le responsable du traitement doit prendre en compte avant d'utiliser ces services afin de garantir des pratiques responsables en matière de protection des données.

Les activités impliquant l'hébergement externe de données relatives à la santé et leur mise à la disposition des utilisateurs doivent être conformes au cadre de référence de sécurité et aux principes de protection des données à caractère personnel appliqués dans l'UE.

Quels que soient les types de services envisagés pour la recherche, il est préférable de rechercher des offres d'outils institutionnels qui seraient déjà adaptés aux paramètres de la recherche et aux exigences légales avant de rechercher des offres d'autres services.

Lorsqu'aucun moyen institutionnel pertinent n'est disponible, les responsables du traitement peuvent envisager d'utiliser des services d'informatique en nuage de tiers à condition qu'ils garantissent une gouvernance responsable en matière de protection des données. Cela signifie que le responsable du traitement doit évaluer le caractère approprié d'un service d'informatique dématérialisée en matière de protection des données, y compris en ce qui concerne les mesures de sécurité informatique, et veiller à ce que les bonnes conditions d'utilisation puissent être contractées (par le biais d'accords de niveau de service - SLA). Les questions juridiques relatives aux restrictions potentielles imposées par la convention de subvention ou par votre institution concernant l'utilisation de services informatiques en nuage pour la gestion de données personnelles sensibles, ainsi que les questions relatives à la gestion des droits de propriété intellectuelle avec le fournisseur de services et les lois applicables doivent également être examinées avant l'utilisation. Le DPD de l'institution doit toujours être consulté.

Dans tous les cas, une solution d'informatique en nuage privée (également connue sous le nom de système de cloud interne ou d'entreprise) doit être envisagée pour la gestion des données à caractère personnel dans la recherche, en particulier lorsque des données personnelles sensibles (santé, génétique, biométrie, etc.) sont en jeu. L'informatique en nuage privée est privilégiée en tant que système sur mesure pour les services d'informatique en nuage offerts sur l'internet ou sur un réseau interne privé à des utilisateurs sélectionnés, à des fins spécifiques. Il combine de nombreux avantages de l'informatique en nuage avec la sécurité et le contrôle des infrastructures informatiques sur site et des garanties supplémentaires en matière de conformité réglementaire. Par opposition, l'informatique en nuage publique est moins adaptée au traitement de données sensibles car il s'agit de services d'informatique en nuage fournis sur une infrastructure partagée par plusieurs clients à des fins multiples (voir les informations fournies par IBM).

Pour obtenir des conseils supplémentaires sur les mesures pratiques à prendre et certains modèles de clauses contractuelles pouvant être incluses dans les accords d'informatique en nuage, voir par exemple (même si elles ne sont pas spécifiques à la recherche) les recommandations de la CNIL pour les entreprises qui prévoient d'utiliser des services d'informatique en nuage, les orientations du commissaire à l'information du Royaume-Uni (ICO) sur l'utilisation de l'informatique en nuage, UK Information commissioner (ICO) Guidance on the use of cloud computing, et les orientations de l’EDPB sur l'utilisation des services d'informatique en nuage par les institutions et organes européens, EDPS Guidelines on the use of cloud computing services by the European institutions and bodies. Pour des conseils spécifiques à la recherche, voir le Harvard Clinical and Translational Science center Guidance for researchers Using Internet Cloud Computing Services and Apps.

Tout contrat de partage de données doit garantir que les parties prenantes sont tenues d'assumer la responsabilité, en fonction de leur rôle, de la qualité des données qu'elles partagent et de la mise en œuvre systématique de mesures de gestion des risques tout au long du cycle de vie des données.

• Un soutien spécifique est disponible en Europe avec les services du Consortium européen pour les infrastructures de recherche (Abrégé ERIC de l’anglais "European Research Infrastructure Consortia) :

Les infrastructures européennes fournissent des services utiles aux chercheurs qui recherchent des ressources spécialisées dans le partage de données pour des projets de recherche dans le domaine des sciences de la vie, en particulier ELIXIR-ERIC (bioinformatique et gestion des données de recherche) et sa Federated Human Data Community (FHDC), et BBMRI-ERIC(gestion des échantillons biologiques humains et des données attachées à des fins de recherche).

Partage des bases de données et droits de propriété intellectuelle

Le partage et la réutilisation des bases de données ne sont autorisés que dans le respect des droits de propriété intellectuelle.

• La Directive 96/9/CE concernant la protection juridique des bases de données crée deux types de droits de propriété intellectuelle. 

Premièrement, l'auteur ou les auteurs de la base de données peuvent avoir des droits d'auteur sur la structure de la base de données à condition que la base de données, en raison de la sélection ou de la disposition de son contenu, constitue la création intellectuelle originale de l'auteur.

En ce qui concerne l'expression de la base de données qui est protégeable par le droit d'auteur, l'auteur d'une base de données a le droit exclusif d'exécuter ou d'autoriser (article 5 de la Directive 96/9/CE) :

1. La reproduction permanente ou provisoire, en tout ou en partie, par quelque moyen et sous quelque forme que ce soit; 
2. La traduction, l'adaptation, l'arrangement et toute autre transformation ;
3. Toute forme de distribution au public de la base ou de ses copies. La première vente d'une copie d'une base de données dans la Communauté par le titulaire du droit, ou avec son consentement, épuise le droit de contrôler la revente de cette copie dans la Communauté ; 
4. Toute communication, exposition ou représentation au public ;
5. Toute reproduction, distribution, communication, exposition ou représentation au public des résultats des actes visés au point b).

Toutefois, il existe des exceptions à ces restrictions d'utilisation du contenu de la base de données (voir ci-dessous Droits et obligations des utilisateurs légitimes).

Deuxièmement, le fabricant ou le producteur de la base de données a des droits sui generis pour assurer la protection de tout investissement dans l'obtention, la vérification ou la présentation du contenu d'une base de données pendant la durée limitée du droit. Le fabricant d'une base de données est la personne qui prend l'initiative et le risque d'investir, ce qui exclut notamment les sous-traitants de la définition du fabricant. Alors qu'un tel investissement peut consister à déployer des ressources financières et/ou à dépenser du temps, des efforts et de l'énergie, l'objectif du droit sui generis est de donner au fabricant d'une base de données la possibilité d'empêcher l'extraction et/ou la réutilisation non autorisée de la totalité ou d'une partie substantielle du contenu de cette base de données. 

Le droit conféré au fabricant de la base de données (article 7 de la Directive 96/9/CE) Le droit prévu à l'article 7 produit ses effets dès l'achèvement de la fabrication de la base de données ou de sa mise à la disposition du public. Il expire quinze ans après le 1er janvier de l'année qui suit la date de l'achèvement ou la date à laquelle la base a été mise à la disposition du public pour la première fois.

Là encore, la protection accordée aux auteurs et aux producteurs de bases de données ne doit pas être considérée comme un droit de propriété sur les données contenues dans la base, qui peuvent faire l'objet de droits de tiers (par exemple, les données à caractère personnel), ni sur les programmes d'ordinateur utilisés pour la création ou l'exploitation de bases de données accessibles par des moyens électroniques. Il s'agit plutôt d'une garde de données.

• Droits et obligations des utilisateurs légitimes (Article 8 de la Directive 96/9/CE)

1. Le fabricant d'une base de données qui est mise à la disposition du public de quelque manière que ce soit ne peut empêcher l'utilisateur légitime de cette base d'extraire et/ou de réutiliser des parties non substantielles de son contenu, évaluées de façon qualitative ou quantitative, à quelque fin que ce soit. Dans la mesure où l'utilisateur légitime est autorisé à extraire et/ou à réutiliser une partie seulement de la base de données, le présent paragraphe s'applique à cette partie. 
2. L'utilisateur légitime d'une base de données qui est mise à la disposition du public de quelque manière que ce soit ne peut pas effectuer des actes qui sont en conflit avec l'exploitation normale de cette base, ou qui lèsent de manière injustifiée les intérêts légitimes du fabricant de la base. 
3. L'utilisateur légitime d'une base de données qui est mise à la disposition du public de quelque manière que ce soit ne peut porter préjudice au titulaire d'un droit d'auteur ou d'un droit voisin sur des œuvres ou des prestations contenues dans cette base. 

Enfin, des exceptions au droit sui generis du fabricant de la base de données peuvent être prévues par les législations nationales, notamment dans le cas d'une extraction à des fins d'illustration de l'enseignement ou de recherche scientifique, pour autant que la source soit indiquée et dans la mesure justifiée par le but non commercial à atteindre (voir l'article 9(b) de la Directive 96/9/CE). Ce point doit être clarifié par contrat.

Comme le précise le DGA, le droit du fabricant d'une base de données prévu à l'article 7(1), de la Directive 96/9/CE ne peut être exercé par les organismes du secteur public afin d'empêcher la réutilisation des données ou de restreindre la réutilisation au-delà des limites fixées par le DGA.

Il convient de noter que les créateurs de bases de données et les auteurs peuvent prévoir des conditions de licence spécifiques ou même abandonner leurs droits par le biais de contrats visant à simplifier l'accès aux données et leur partage lorsque les risques d'abus sont jugés faibles par rapport aux avantages du partage à des fins scientifiques. Les détenteurs de droits peuvent également confier à un référentiel de données tiers légalement établi la gestion de ces droits par le biais d'une gouvernance responsable adaptée.

Gouvernance du partage des données

Des mesures organisationnelles telles que la constitution d'un Comité d'Accès aux Données (CAD ou DAC en anglais) qui recevra, examinera et évaluera les projets de demandes d'accès aux données avant d'accorder l'accès aux données devraient être envisagées, en particulier pour les activités de partage de données à caractère personnel. Ce CAD doit associer les parties prenantes à la conservation des données et à l'expertise complémentaire pertinente, notamment le responsable du traitement des données/le producteur des données, l'expertise juridique/éthique (par exemple, les DPD), les experts spécifiques à une maladie ou à un domaine de recherche, les méthodologistes, etc. Le CAD agit conformément à une politique claire et à un Règlement intérieur qui peuvent être détaillés dans le PGD. Dans le cadre de sa mission, le CAD devrait :

• Vérifier que le demandeur et le travail proposé sont conformes à la politique de traitement des données et aux exigences en matière de protection des données pour garantir l'intégrité et la confidentialité des données (contrats) ;
• Vérifier si le demandeur d'accès aux données démontre qu'il respecte les lois applicables en ce qui concerne son projet de recherche (y compris l'approbation des comités d'éthique de la recherche et les autres autorisations légales à obtenir) ;
• Fournir un retour d'information aux demandeurs en les conseillant sur les améliorations à apporter à leurs demandes, le cas échéant ;
• Approuver les demandes d'accès ou refuser l'accès sur la base d'une justification écrite notifiée au demandeur ;
• Être informé / approuver les chiffres agrégés à publier publiquement sur la base de l'analyse des données consultées ;
• Documenter la prise de décision et aider à maintenir la traçabilité des accès aux données.

Les mécanismes de gouvernance du partage des données utilisant les CAD sont notamment en place dans les dépôts de données à accès contrôlé les plus connus, tels que le CAD des archives génomiques européennes (European Genome Archive DAC).

Les organisations auxquelles le partage des données est confié doivent respecter les dispositions fixées dans le cadre de la loi européenne sur la gouvernance des données (DGA - Règlement (UE) 2022/868). Le DGA a été adopté en mai 2022 et  est applicable  depuis septembre 2023. Il vise à promouvoir le partage des données personnelles et non personnelles en mettant en place des structures d'intermédiation. Le DGA vise à faciliter la réutilisation de certaines catégories de données protégées du secteur public et à renforcer la confiance dans le partage des données entre les organismes du secteur public, les utilisateurs, les utilisateurs de données, les détenteurs de données, et à surmonter les obstacles techniques à la réutilisation des données. Pour ce faire, il autorise une réutilisation plus large des données protégées du secteur public, propose un nouveau modèle commercial pour les services d'intermédiation de données et encourage l'altruisme en matière de données pour le bien commun.

L'UE stimulera le développement de systèmes de partage de données fiables par le biais de quatre grands ensembles de mesures :

1. Des mécanismes pour faciliter la réutilisation de certaines données du secteur public qui ne peuvent pas être mises à disposition en tant que données ouvertes. Par exemple, la réutilisation des données sur la santé pourrait faire avancer la recherche pour trouver des remèdes aux maladies rares ou chroniques.
2. Des mesures visant à garantir que les intermédiaires de données fonctionneront comme des organisateurs fiables du partage ou de la mise en commun des données au sein des espaces européens communs de données.
3. Des mesures visant à permettre aux citoyens et aux entreprises de mettre plus facilement leurs données à la disposition de la société
4. Des mesures visant à faciliter le partage des données, en particulier pour permettre l'utilisation des données au-delà des secteurs et des frontières, et pour permettre de trouver les bonnes données pour le bon usage. 

Pour plus d'informations sur ces mesures, lisez La loi sur la gouvernance des données expliquée.

Ce Règlement comprend :

• Des orientations et une assistance technique et juridique pour faciliter la réutilisation de certaines catégories de données protégées du secteur public (informations commerciales confidentielles, propriété intellectuelle, données à caractère personnel), y compris l'interdiction des accords d'exclusivité (article 4 du DGA) et des conditions de réutilisation des données garantissant que la nature protégée des données est préservée (article 5 du DGA), ainsi que des règles en matière de redevances (article 6 du DGA) ;
• Certification obligatoire pour les fournisseurs de services d'intermédiation de données ;
• Certification facultative pour les organisations pratiquant l'altruisme des données.

Le DGA s'articule avec d'autres réglementations européennes sur les données, en particulier avec le RGPD et la Directive 96/9/CE. Il vise également à créer des espaces de données sectoriels pour permettre le partage de données au sein d'un secteur spécifique (espaces de données pour le transport, la santé, l'énergie ou l'agriculture) qui feront l'objet de réglementations spécifiques.

Ouvrir les données

• Identifier les données éligibles et la nature du modèle d'accès ouvert dans le DMP
  • Données éligibles à l'ouverture

En règle générale, toutes les données de recherche (données de recherche primaires ou secondaires) générées par le projet et pouvant être qualifiées de résultats de recherche doivent être fournies en libre accès. Les agences de financement appliquent la recommandation "Aussi ouvert que possible, aussi fermé que nécessaire" pour la diffusion des données produites dans le cadre d'un projet financé par des fonds publics.

Le PGD aborde les questions relatives aux données ouvertes afin de préparer ces activités de partage spécifiques. Le partage des données et l'ouverture des données pour les projets qui ont formalisé un PGD seront beaucoup plus faciles.

En tant que caractéristique commune avec d'autres partages de données dans la recherche, l'ouverture des données à d'autres possibilités de réutilisation peut être envisagée à travers 6 questions :

1. Quelles sont les obligations en matière de données ouvertes ? L'obligation peut être imposée par le financeur du projet, par la législation nationale, européenne ou internationale, par la politique de données de certains partenaires, par la revue dans laquelle vous publiez, etc.
2. Quelle est la valeur scientifique des données et leur potentiel de réutilisation ? L'intérêt et l'utilité scientifique, environnementale, économique ou sociale actuelle ou future des données peuvent guider le choix et identifier les protections nécessaires pour sécuriser les usages des données. La question du potentiel stratégique ou commercial des données peut également influencer la décision d'ouverture, le modèle de libre accès et la sélection du dépôt de données approprié.
3. Avez-vous le droit de rendre ces données publiques ? Quels sont les droits des autres personnes potentiellement concernées par les données (protection de la vie privée, de la propriété intellectuelle, autres protections spécifiques) ? Ces droits sont-ils respectés ? Les données soulèvent-elles des questions éthiques telles que leur ouverture nécessiterait la validation d'un comité d'éthique ?
4. Avez-vous obtenu l'accord de tous les contributeurs ?
5. Avez-vous évalué le temps et les efforts nécessaires pour formater les données et les métadonnées afin de répondre aux exigences du référentiel de données envisagé ? Avez-vous identifié la personne qui assurera le processus de dépôt des données et le suivi ?
6. Avez-vous défini les conditions de réutilisation des données que vous avez produites ? Par exemple, des restrictions d'utilisation particulières ? Norme pour les citations de données ?

Tout au long du questionnement, des cas spécifiques méritent une attention particulière et pourraient même aboutir à une décision de ne pas partager les données en mode libre accès :

• Lorsque les données sont des données personnelles et que le partage porterait atteinte aux droits individuels ou n'a pas été autorisé par les comités d'éthique de la recherche ou les autorités compétentes ET que ces données ne peuvent pas être correctement anonymisées - l'avis du DPD est toujours nécessaire avant de divulguer des données personnelles individuelles ou des ensembles de données ;
• Lorsque les données sont des données préliminaires, c'est-à-dire des données qui n'ont pas été soigneusement vérifiées et validées. La seule exception à cette règle concerne les données préliminaires susceptibles d'être utiles au public. Un chercheur qui dispose d'indications préliminaires solides sur une menace majeure pour la santé publique, comme les effets secondaires inattendus d'un médicament ou un problème de santé environnementale non reconnu, peut avoir de bonnes raisons de partager ces informations avec le public et d'autres chercheurs avant qu'elles ne soient entièrement validées. Les données qui n'ont pas d'utilité publique immédiate, telles que la découverte d'un processus scientifique fondamental qui pourrait éventuellement conduire à des avantages pour le public, sont dans la plupart des cas mieux conservées jusqu'à ce que le chercheur soit sûr que les résultats se maintiendront ;
• Lorsque les données sont des résultats de recherche, c'est-à-dire des données confirmées ou validées, qui présentent certains intérêts en matière de propriété intellectuelle. Les chercheurs peuvent retenir ces données jusqu'à ce qu'ils aient eu le temps d'établir la priorité de leurs travaux par le biais d'une publication ou, dans de rares cas, d'une annonce publique. Ils ne doivent pas divulguer les données au jour le jour ou d'expérience en expérience pour que d'autres chercheurs puissent les utiliser, même si cela peut accélérer l'avancée des connaissances. En l'absence d'accord contraire, le maintien de la confidentialité des données avant la publication est une pratique communément acceptée par la plupart des chercheurs et des organismes de financement.  

Une fois qu'un chercheur a publié les résultats d'une recherche, on s'attend généralement à ce que toutes les informations relatives à cette expérience, y compris les données finales, soient librement accessibles pour que d'autres chercheurs puissent les vérifier et les utiliser. Certaines revues exigent formellement que les données publiées dans les articles soient mises à la disposition des autres chercheurs sur demande ou stockées dans des bases de données publiques.

• Lorsque les données sont classifiées ou présentent des risques de double usage ou des risques importants de mauvaise utilisation. La classification des résultats de la recherche est généralement définie dès le début du projet de recherche et approuvée par les financeurs de la recherche et les autorités compétentes. Il peut arriver que des résultats sensibles inattendus apparaissent au cours de la recherche. Dans ce cas, la consultation des comités d'éthique de la recherche compétents, des arbitres institutionnels (par exemple, les responsables sécurité-défense) et la notification des bailleurs de fonds doivent être envisagées pour une prise de décision collégiale sur le niveau de confidentialité nécessaire à assurer, y compris les exceptions possibles aux politiques de libre accès dans les sciences. (Voir l'entrée  EuroGCT sur l'utilisation abusive des données)

Compte tenu des pratiques de gestion responsable des données, toute décision de restreindre ou de ne pas partager ouvertement des données de recherche doit être argumentée, documentée et enregistrée, car elle pourrait éventuellement être contestée en tant que faute de recherche en référence au principe éthique de l'intégrité de la recherche ou en référence à une violation du consentement de la personne concernée.

• Modèles de libre accès

Les modèles de libre accès peuvent prendre plusieurs formes qui peuvent être décidées par le producteur de données ou imposées par des lois ou des accords spécifiques tels que les conventions de subvention. Le PGD prévoit les modèles qui peuvent/doivent être utilisés pour un projet spécifique.

Tous les partenaires du projet doivent être au courant de ces dispositions et être en mesure de les respecter.

En fonction du caractère sensible des données considérées, les conditions relatives aux finalités de l'utilisation des données, au profil des utilisateurs potentiels, aux conditions techniques et organisationnelles ou aux moyens nécessaires pour garantir un traitement correct des données sont des éléments importants à clarifier avant d'ouvrir les données. Les conditions comprennent le respect de mesures spécifiques liées à la protection de la vie privée et le respect des droits de propriété intellectuelle. Les conditions liées aux données/ensembles de données résultant d'une activité de recherche peuvent être détaillées dans le cadre du PGD et de la politique de partage des données correspondante. Il est possible d'envisager des politiques différentes pour des ensembles de données différents.

En ce qui concerne les données de recherche, trois modèles, ou niveaux, de libre accès peuvent être envisagés :

• Libre accès total aux données de recherche ;
• Accès enregistré ou avec authentification ;
• Accès contrôlé avec des systèmes d'application, une procédure d'évaluation et un organe directeur tel que le Comité d'Accès aux Données (CAD).

En ce qui concerne les publications scientifiques, il existe deux modèles principaux de libre accès :

• Libre accès Green - mode d'auto-archivage
• Libre accès Gold - service de libre accès offert par l'éditeur, éventuellement soumis à des frais.

La Commission européenne fournit des orientations sur le libre accès pour les projets financés par l'UE et des FAQ dédiées au libre accès aux publications scientifiques et aux données de recherche ouvertes (voir en langue anglaise, guidance on Open Access for EU-funded projects, au bas de la page web).

• FAIRification des données avant leur dépôt dans des référentiels de données de recherche en libre accès

Pour que le partage et la valorisation des données soient efficaces, il faut que les données soient de bonne qualité. Les principes FAIR appliqués aux données de recherche sont essentiels pour préparer le partage des données dans les meilleures conditions, car ils visent à créer des données trouvables, accessibles, interopérables et réutilisables (voir l'entrée Protection des données - Principes fondamentaux).

En bref, pour parvenir à des données FAIR, le responsable du traitement des données devra procéder à des traitements et à des vérifications spécifiques, qui sont résumés dans le tableau suivant :

Source: "Sharing and reuse of health-related data for research purposes: WHO policy and implementation guidance," WHO (OMS); sous licence CC BY-NC-SA 3.0 IGO.

La pratique de la FAIRification peut s'avérer difficile. Néanmoins, plusieurs ressources sont disponibles pour mettre en œuvre les exigences relatives aux données FAIR, élaborer des politiques de gestion des données et procéder à la FAIRification. 

Le projet européen FAIRplus (GA 802750) a fourni plusieurs outils et services pour faciliter cette nouvelle pratique de recherche standard.

En particulier, vous pouvez accéder librement aux ressources suivantes et les utiliser (en langue anglaise) :

• FAIR Cookbook qui fournit des informations sur la manière de FAIRifier les ensembles de données, les niveaux et les indicateurs de FAIRness, le modèle de maturité, les technologies, les normes disponibles, ainsi que les compétences requises et les défis à relever pour atteindre et améliorer la FAIRness. Cet outil est associé à une fonctionnalité de recherche (search functionality) permettant une vue d'ensemble des recettes existantes.
• FAIR Tool Discoverer qui permet une identification rapide des logiciels techniques pratiques disponibles publiquement pour la mise en œuvre de la FAIRification des données sur la base de certains critères de recherche saisis par l'utilisateur.

Les services offerts par les entrepôts de données aux déposants de données sont également généralement disponibles pour aider à la FAIRification des données de recherche par le biais du processus de dépôt.

Autres outils facilitant la FAIRification :

• Documents de données, documents de bioressources : Un document de données (également connu sous le nom de descripteur de données, article de données, brèves de données, annonces de ressources, profil de ressources de données) est un article scientifique crédible examiné par des pairs. Il décrit un ensemble de données, la méthode utilisée pour l'obtenir et le potentiel de réutilisation de l'ensemble de données. Ce type d'article informe la communauté scientifique de l'existence, de l'originalité, de la qualité et de la disponibilité d'un jeu de données. Il valorise le travail de ses auteurs en expliquant l'importance des données produites et leur potentiel de réutilisation dans de futures recherches. Le data paper ne décrit pas les résultats de la recherche et ne contient pas de discussion ou de conclusions (Dedieu, L (2022)). Les articles sur les bioressources ont le même objectif pour les matériaux biologiques et les données jointes mises à disposition pour des utilisations de recherche. Les articles sur les logiciels sont l'équivalent des articles sur les données et les bioressources pour la publication de codes, de scripts ou de logiciels. La publication de tels documents d'évaluation comparative en libre accès peut se faire dans de nombreuses revues disciplinaires ou dans des revues spécialisées (par exemple, pour les bioressources, l'Open Journal of Bioresources).
• Identifiant permanent des chercheurs (PID) : La valorisation du travail des chercheurs est facilitée par l'obtention d'un identifiant permanent et interopérable tel qu'ORCID, qui peut être facilement référencé et joint aux publications scientifiques, aux bases de données ou à d'autres matériels de recherche. 

Plates-formes de libre accès aux publications scientifiques

• Plates-formes institutionnelles

Les institutions de recherche auxquelles appartiennent les auteurs de la publication scientifique peuvent avoir des politiques internes pour fournir les publications à des bases de données spécifiques en libre accès, en particulier dans le contexte des institutions de recherche publiques. 

Vérifiez la politique de l'éditeur concernant les données ouvertes avant de les déposer dans un dépôt. Pour ce faire, vous pouvez utiliser l'outil Sherpa Romeo.

• Service de l'UE dédié à la publication en libre accès

Open Research Europe est une plateforme gérée par la Commission européenne pour faciliter la publication rapide et ouverte des projets financés par Horizon 2020 et Horizon Europe.

• Services de soutien disponibles pour la FAIRification des données de recherche

OpenAire est une plateforme de services contribuant à l'European Open Science Cloud (EOSC) qui comprend des services fournis aux chercheurs par l'intermédiaire de nœuds de contact nationaux (national contact nodes) dans les pays participants ou par des formations et d'autres outils afin de pratiquer la science ouverte, de préparer des données FAIR en mettant en œuvre des techniques et des politiques de pointe. Consulter le catalogue des services.

• Entrepôts de données ouvertes pour les données de recherche

Les entrepôts de données de recherche fiables jouent un rôle fondamental pour aider les scientifiques, en tant que producteurs ou gestionnaires de données, à gérer et partager les données de recherche. 

Il est essentiel de sélectionner des entrepôts de données fiables et adaptés qui respectent les référentiels mettant en œuvre les principes FAIR et qui garantissent la viabilité à long terme des données de recherche. Les entrepôts de données sélectionnés doivent être faciles à trouver et à identifier, et offrir aux utilisateurs une transparence totale sur leurs services.

Les services proposés doivent être adaptés au type de données de recherche que vous traitez afin de garantir la conservation et la gestion des données en toute sécurité et la conformité légale (par exemple, pour la protection des données personnelles conformément au RGPD de l'UE). Certains entrepôts proposent des services de courtage de données qui facilitent le dépôt des données grâce à une assistance dédiée au producteur ou au responsable légitime des données. Pour obtenir des informations plus générales sur le courtage de données en tant que concept, veuillez consulter la page spécifique du kit RDM d'ELIXIR (ELIXIR RDM kit).

En règle générale, les données de recherche doivent être soumises en première intention à des entrepôts spécifiques à une discipline, qu'ils soient internes à votre institution ou non, avant d'envisager leur dépôt dans un dépôt généraliste.

Plusieurs dépôts réputés dans le domaine des sciences de la vie sont déjà en place. Veuillez consulter la liste des ressources ELIXIR Deposition Databases for Biomolecular Data, notamment les EBI/EMBL Open Data Repositories suivants (qui proposent des services de courtage de données, des formations pour les déposants et des services d'assistance) :

• EGA, l'Archive Européenne du Génome, qui permet un stockage et une gestion sécurisés et contrôlés des données de la recherche humaine, y compris les catégories de données personnelles sensibles, en particulier les données génétiques, conformément au RGPD.
• ENA, l'Archive Européenne des Nucléotides, permet le stockage et la gestion sécurisés des données de recherche non humaines, y compris les données génomiques. 

Une liste complémentaire de dépôts de données de recherche peut être consultée à l'adresse suivante :

• Re3data - Registry of Research Data Repositories (Registre des dépôts de données de recherche)
• Data Repository Guidance pour plus d'informations et des liens vers certains dépôts de données de recherche identifiés par leur champ d'application.

La plupart des entrepôts de données européens contribuent à la construction du European Science Cloud (EOSC). Ce dernier vise à devenir le point de contact européen unique permettant aux chercheurs et innovateurs européens d'accéder, d'utiliser et de réutiliser facilement un large éventail de données pour la recherche scientifique. Pour plus d'informations, veuillez consulter le portail de l'EOSC (EOSC Portal) ainsi que le catalogue et la place de marché de l'EOSC (EOSC Catalogue and Marketplace). L'EOSC propose également des services de formation et de soutien sur la science ouverte.

La plupart des entrepôts de données offrent une protection de la propriété intellectuelle grâce à une période d'embargo et à un "délai de grâce" pour l'exploitation des données à des fins de publication ou de dépôt de brevet. Pour les projets financés par l'UE, la Commission Européenne dispose d'un service d'assistance européen en matière de propriété intellectuelle (European IP helpdesk) qui offre de la documentation et des conseils aux chercheurs confrontés à des problèmes de propriété intellectuelle.

Pour une approche générale des droits de propriété intellectuelle et de la science ouverte, voir le rapport ALLEA, Aligning Intellectual Property with Open Science, 2022 (ALLEA Report, Aligning Intellectual Property with Open Science).

• Initiatives en cours dans le domaine de la science ouverte
  • L'Alliance pour les Données de Recherche (RDA) : La RDA est un forum multidisciplinaire ouvert qui a pour but d'aborder les problèmes, d'établir/partager des normes et des outils pour faciliter la science ouverte, de formuler des recommandations pour les bailleurs de fonds, les éditeurs et les décideurs politiques.
  • L'Espace européen des données de santé (EEDS ou EHDS en anglais) : il vise à fournir un cadre fiable pour l'accès sécurisé et le traitement d'un large éventail de données de santé, en pleine conformité avec les législations européennes applicables (y compris le RGPD et le DGA) et les législations nationales. Aujourd'hui en cours de développement, l'infrastructure sera régie par un Règlement européen spécifique (une proposition est actuellement examinée - voir la Proposition de Règlement sur l'espace européen des données de santé). Grâce à l'infrastructure de l'espace des données de santé, outre l'amélioration de la gestion autonome par les patients de leurs données de santé personnelles, l'accès aux données de santé par les professionnels est autorisé pour deux finalités:
    • Utilisations médicales (définies comme faisant partie de l'"utilisation principale" dans la Proposition de Règlement sur l'EEDS)
    • Utilisations à des fins de recherche (définies comme faisant partie de l'"utilisation secondaire" dans la Proposition de Règlement sur l'EEDS).

L'EEDS est une infrastructure distribuée basée sur plusieurs hubs de données (organismes d'accès aux données de santé) dans les États membres de l'UE (tels que le Health Data Hub en France), et sera lié à d'autres initiatives de partage de données telles que le projet DARWIN EU de l'Agence Européenne du Médicament. Ce dernier concerne le partage de données qui serviront à la prise de décision réglementaire en établissant et en développant un catalogue de sources de données d'observation à utiliser dans la réglementation sur les médicaments ; en fournissant une source de données réelles validées et de haute qualité sur l'utilisation, la sécurité et l'efficacité des médicaments ; en répondant à des questions spécifiques par la réalisation d'études non interventionnelles de haute qualité, y compris l'élaboration de protocoles scientifiques, l'interrogation des sources de données pertinentes et l'interprétation et la communication des résultats de l'étude.

Selon le projet actuel de Proposition de Règlement sur l'EEDS , les détenteurs de données mettent à disposition les catégories de données électroniques ci-après des organismes d'accès aux données de santé à des fins d'utilisation secondaire, conformément aux dispositions du chapitre IV (Article 33) : 

1. Dossiers de santé électroniques (DSE) ;
2. les données ayant une incidence sur la santé, dont les déterminants sociaux, environnementaux et comportementaux de la santé ;
3. les données génomiques sur les pathogènes pertinentes, ayant une incidence sur la santé humaine ;
4. les données administratives relatives à la santé, dont les données relatives aux demandes et aux remboursements ;
5. les données génétiques, génomiques et protéomiques humaines ;
6. les données de santé électroniques générées par la personne, dont celles générées grâce aux dispositifs médicaux, les applications de bien-être ou aux autres applications de santé numériques ; 
7. les données d'identification relatives aux professionnels de la santé intervenant dans le traitement d'une personne physique ; 
8. les registres de données de santé à l'échelle de la population (registres de santé publique) ; 
9. les données de santé électroniques contenues  dans les registres médicaux concernant des maladies spécifiques ;
10. les données de santé électroniques provenant d'essais cliniques ;
11. les données de santé électroniques provenant de dispositifs médicaux et des registres des médicaments et des dispositifs médicaux ; 
12. les cohortes de recherche, questionnaires et enquêtes dans le domaine de la santé ;
13. les données de santé électroniques provenant de biobanques et de bases de données spécialisées ;
14. les données électroniques relatives au statut en matière d’assurance, au statut professionnel, à l'éducation, au mode de vie, au bien-être et au comportement qui ont un rapport avec la santé ;
15. les données de santé électroniques contenant diverses améliorations, telles que des corrections, des annotations ou des enrichissements, reçues par le détenteur des données à la suite d'un traitement sur la base d’une autorisation de traitement de données. 

Les organismes responsables de l'accès aux données de santé ne donnent accès aux données électroniques de santé que si la finalité du traitement poursuivie par le demandeur est conforme : 

1. aux activités pour des raisons d’intérêt public dans le domaine de la santé publique et de la santé au travail, telles que la protection contre les menaces transfrontalières graves pour la santé, la surveillance de la santé publique ou la garantie d’un niveau élevé de qualité et de sécurité des soins de santé et des médicaments ou dispositifs médicaux ;
2. au fait d’aider les organismes du secteur public ou les institutions, organes et organismes de l'Union, dont les autorités réglementaires, dans le secteur de la santé ou des soins, à accomplir les tâches inscrites dans leur mandat ; 
3. au fait de produire des statistiques officielles à l’chelon national, plurinational et de l'Union en rapport avec les secteurs de la santé ou des soins ;
4. aux activités d'éducation ou d'enseignement dans les secteurs de la santé ou des soins :
5. à la recherche scientifique ayant trait aux secteurs de la santé ou des soins ;
6. aux activités de développement et d'innovation pour des produits ou services contribuant à la santé publique ou à la sécurité sociale, ou à la garantie d’un niveau élevé de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux ;
7. à la formation, au test et à l'évaluation des algorithmes, entre autres dans les dispositifs médicaux, les systèmes d'IA et les applications de santé numériques, à la contribution à la santé publique ou à la sécurité sociale, ou à la garantie d’un niveau élevé de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux ;

A la fourniture de soins de santé personnalisés consistant à évaluer, à maintenir ou à rétablir l'état de santé des personnes physiques, sur la base des données de santé d'autres personnes physiques.

Législation de l’Union européenne

Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 relative aux données ouvertes et à la réutilisation des informations du secteur public (refonte), PE/28/2019/REV/1, JO L 172 du 26.6.2019, p. 56-83, numéro CELEX : 32019L1024.

• Texte original (disponible dans les 24 langues officielles de l'UE)
• Synthèse du document (disponible dans les 24 langues officielles de l'UE)

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données - RGPD) (Texte présentant de l'intérêt pour l'EEE), JO L 119 du 4.5.2016, p. 1-88, numéro CELEX : 32016R0679.

• Texte original (disponible dans les 24 langues officielles de l'UE)
• Version actuelle avec les derniers amendements (disponible dans les 24 langues officielles de l'UE)
• Synthèse du document (disponible dans les 24 langues officielles de l'UE)

Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 relatif à un cadre pour la libre circulation des données à caractère non personnel dans l'Union Européenne (Texte présentant de l'intérêt pour l'EEE), PE/53/2018/REV/1, JO L 303 du 28.11.2018, p. 59-68, numéro CELEX : 32018R1807.

• Texte original (disponible dans les 24 langues officielles de l'UE)
• Synthèse du document (disponible dans les 24 langues officielles de l'UE)

Proposition de Règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, 3 mai 2022, COM/2022/197 final, numéro CELEX : 52022PC0197

• Texte original (disponible dans les 24 langues officielles de l'UE)

Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 relatif à la gouvernance européenne des données et modifiant le Règlement (UE) 2018/1724 (loi sur la gouvernance des données) (Texte présentant de l'intérêt pour l'EEE), PE/85/2021/REV/1, JO L 152 du 3.6.2022, p. 1-44, numéro CELEX : 32022R0868.

• Texte original (disponible dans les 24 langues officielles de l'UE)
• Synthèse du document (disponible dans les 24 langues officielles de l'UE)

Orientations de l’Union européenne

• Politique de la CE en matière d’accès libree (Open Science) : Acès libre - Commission européenne
• Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du Règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l'intérêt pour l'EEE), C/2021/3972, JO L 199 du 7.6.2021, p. 31-61.
  • Texte original

Littérature pertinente

Conseil de l'Europe

•  Recommandation CM/Rec (2019)2 du Comité des Ministres aux Etats membres sur la protection des données relatives à la santé, 27 mars 2019
  • Texte original

Organisation de Coopération et de Développement Economiques (en langue anglaise)

• Principes et lignes directrices de l'OCDE pour l'accès aux données de la recherche financée par des fonds publics, 2007 (OECD Principles and Guidelines for Access to Research Data from Public Funding)
• Recommandation de l'OCDE sur l'amélioration de l'accès aux données et de leur partage, (EASD) 2021 (OECD Recommendation on Enhancing Access to and Sharing of Data)
• Lignes directrices de l'OCDE sur les biobanques humaines et les bases de données génétiques pour la recherche, (BHBDG) 2009 (OECD Guidelines on Human Biobanks and genetic Research Databases)
• Politique de l'OMS et Directives de mise en œuvre, Partage et réutilisation des données relatives à la santé à des fins de recherche, 6 avril 2022 (Sharing and reuse of health-related data for research purposes)
• Recommandation de l'UNESCO sur la science ouverte, document SC-PCB-SPP/2021/OS/UROS, 10.54677/MNMH8546, novembre 2021 (UNESCO Recommendation on Open Science)
• Déclaration de Taipei sur les considérations éthiques concernant les bases de données de santé et les biobanques, Association Médicale Mondiale, octobre 2016 (Declaration of Taipei on ethical considerations regarding health databases and biobanks)
• Publier un Data paper
• Aligner les droits de propriété intellectuelle sur la science ouverte, toutes les académies européennes, déclaration ALLEA, avril 2022 (Aligning Intellectual Property Rights with Open Science)
• Partage et réutilisation des données individuelles des participants aux essais cliniques : principes et recommandations (Sharing and reuse of individual participant data from clinical trials: principles and recommendations)
  • Résumé scientifique
• Lacs de données, nuages et communs : Examen des plateformes d'analyse et de partage des données génomiques (Data Lakes, Clouds, and Commons: A Review of Platforms for Analyzing and Sharing Genomic Data)
  • Résumé scientifique
• GA4GH : Politiques et normes internationales pour le partage des données dans la recherche génomique et les soins de santé (GA4GH: International policies and standards for data sharing across genomic research and healthcare)
  • Résumé scientifique
• Les normes GA4GH permettent un partage responsable des données génomiques et biomédicales humaines (GA4GH standards enable the responsible sharing of human genomic and biomedical data)

More

Modèles et outils pour le plan de gestion des données (PGD)

• Modèle de PGD Horizon Europe 2020, 13 octobre 2016 (Horizon Europe 2020 DMP template)
• Autres modèles de PGD (Other DMP templates)
• DMP-OPIDOR (DMP-OPIDOR)

Outils et méthodes pratiques pour l'évaluation de l'impact sur la vie privée des données (DPIA)

• Modèles et outils DPIA de la CNIL

Outils de partage des données génétiques

Groupe de travail "Réglementation et éthique" de l'Alliance mondiale pour la génomique et la santé (GA4GH), conseils prêts à l'emploi en matière de réglementation et d'éthique pour le partage des données génomiques et des données liées à la santé

• Boîte à outils sur la réglementation et l'éthique (Regulatory & Ethics Toolkit)
• Ontologie de l'utilisation des données (DUO), Data Use Ontology

Norme de passeport pour l'identité numérique et les autorisations d'accès, Passport standard for digital identity and access permissions

Remerciements

Publié: 16/04/2024

Auteurs :

Gauthier Chassang, Juriste, CERPOP UMR1295 (Inserm et Université de Toulouse Paul Sabatier), Plateforme Genotoul Societal, Toulouse (GIS Genotoul)

et Lisa Feriol, Doctorante, (Inserm et Université de Toulouse Paul Sabatier), Ekitia (Organisation de partage des données à but non lucratif) 

Révisé par Aurélie Mahalatchimy, Responsable de la tâche 4 EuroGCT, UMR 7318 DICE CERIC, Aix-Marseille Université, CNRS, Aix-en-Provence- France