International Sharing of Personal Health Data for Research - The ALLEA, EASAC and FEAM joint initiative on resolving the barriers of transferring public sector data outside the EU/EEA
Rapport commun EASAC - ALLEA - FEAM - Avril 2021
Joint Report by the European Academies’ Science Advisory Council (EASAC), ALLEA and FEAM - April 2021
Personal health data provide a vital resource for research to save and improve lives, reduce health inequalities and benefit society. Research data should be regarded as a global public good. Sharing of data is an essential part of public sector medical research for improved health care and disease prevention, for example to ensure sufficiently large sample sizes, identify complex pathways, and compare the determinants and outcomes of disease in different settings, thereby making the most of the contribution by patients and volunteers to research. It is important for EU
citizens that their data are shared for health research, to ascertain whether research results from elsewhere are relevant to their particular genetic makeup and risk factors.
At the same time, it is essential to provide appropriate protections for personal data privacy. The General Data Protection Regulation (GDPR) addresses the protection of personal data in the European Union (EU) and European Economic Area (EEA) and the international transfer of data to areas outside the region. It has become apparent that the implementation of the GDPR has introduced impediments to this international transfer of data to outside the EU/EEA, creating
problems for academic researchers, healthcare professionals and others in the public sector. These problems affect patients and all citizens who are the ultimate beneficiaries of public sector health research.
Les réseaux académiques européens appellent à lever les obstacles au transfert des données de santé
Explication de Laurent Degos, membre correspondant de l'Académie des sciences
Le 8 avril 2021, L’ALLEA (All European Academies) l’EASAC (European Academies Science Advisory Council) et la FEAM (Federation of European Academies of Medicine) ont adressé aux autorités de la Communauté Européenne un rapport commun sur le partage de données personnelles de santé pour la recherche ("International sharing of personal Health Data Research"), afin de lever les obstacles en la matière et de faciliter les échanges du secteur public avec tous les pays hors de l’Espace Economique Européen.
Entré en vigueur en 2018, le Règlement Européen Général de Protection des Données (RGPD, EU’s General Data Protection Regulation GDPR) vise à protéger et à sécuriser les données à caractère personnel au sein de toutes les entreprises privées ou publiques des 28 états membres de l’Union Européenne. Tout en réaffirmant la nécessité de la libre circulation de ces données, ce texte de référence défend ainsi le principe d’"accountability", qui prévoit la responsabilisation des entreprises, à travers la mise en place de mesures techniques et organisationnelles.
La question des données de santé revêt dans ce cadre des enjeux particuliers. Leur partage au delà de l’Union européenne/Espace économique est essentiel pour à garantir une collaboration rapide et directe en matière de recherche publique et ainsi de maximiser les avantages pour la santé des citoyens européens. Ces échanges sont nécessaires pour effectuer des recherches principalement en génétique (maladies rares), en pharmacovigilance, ou en intelligence artificielle, comportant non seulement un partage des données mais aussi des systèmes d’analyse et des moyens d’interopérabilité. Les données seraient "pseudo-anonymisées" pour garder une protection de la vie privée tout laissant la possibilité de les décrypter sur le lieu d’origine, si besoin, dans le souci du bien du patient.
Le RGPD permet à cet égard des échanges de données au sein de l’Europe et de l’espace économique européen (EU/EEA) d’une part et avec les pays dont les règles de protection en vigueur sont similaires (art. 45) comme Israël, la Suisse, le Japon d’autre part, mais pas avec d’autres pays comme la Chine, les USA ou l’Australie. Il est certes prévu une autorisation si des garanties (appropriate safeguards) sont apportées (art. 46) par une clause contractuelle standard (SSC) qui malheureusement n’est pas acceptée par certaines institutions publiques notamment aux USA (comme le NIH). Des dérogations peuvent être obtenue (art. 49) mais elles restent exceptionnelles et ne peuvent devenir une règle.
Le conflit oppose un intérêt individuel (en l’occurrence la protection de la vie privée de chaque personne (RGDP)) et un intérêt collectif, celui de mieux connaître une maladie, de mieux surveiller les effets adverses d’un traitement, ou d’avoir des données massives pour l’intelligence artificielle. Ce conflit entre intérêt individuel et intérêt collectif est déjà bien connu des médecins lorsqu’ils proposent des essais thérapeutiques. Le chemin pour parvenir à une conciliation doit être précautionneux car on se souvient qu’en 2013, en Angleterre, le programme « Care Data », initié dans ce même but utilitaire pour la collectivité, avait été vivement controversé et finalement abandonné, sous la pression de détracteurs, tant ces données sociales et sanitaires revêtent un caractère sensible.
Des propositions sont déjà en cours dans le secteur privé. La Commission Européenne fait un effort sur des options technologiques (PET Privacy enhancing technologies) mais la lourdeur administrative, les cas particuliers de chaque pays ou institution étrangère rendent très difficile la recherche publique faisant appel aux échanges de données personnelles sociales et médicales au niveau international. L’épidémie de la COVID a incité à des avancées qui vont dans le bon sens. Cependant il faut aussi reconnaître que des lois étrangères (comme le US Intelligence legislation) bloquent la situation quel que soit le règlement européen.
Ce rapport (appelé "initiative") analyse la situation, montre les obstacles actuels pour une recherche publique nécessitant des échanges internationaux, apporte des pistes de solutions mais laisse aux autorités Européennes le soin de résoudre ce dilemme dans un contexte où s’amplifient les notions d’"open science" et d’"open data".