15 DECEMBRE 2024. - Arrêté royal sur l'accès aux données de santé

PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Rapport au Roi Le présent arrêté royal met tout d'abord en oeuvre l'article 36, troisième alinéa, de la loi du 22 avril 2019Documents pertinents retrouvés type loi prom. 22/04/2019 pub. 14/05/2019 numac 2019041141 source service public federal sante publique, securite de la chaine alimentaire et environnement Loi relative à la qualité de la pratique des soins de santé type loi prom. 22/04/2019 pub. 14/05/2019 numac 2019012159 source service public federal sante publique, securite de la chaine alimentaire et environnement Loi portant modification de la loi coordonnée du 10 mai 2015 relative à l'exercice de professions des soins de santé fermer relative à la pratique qualitative des soins de santé (ci-après la " loi sur la qualité "), qui habilite le Roi à établir des règles supplémentaires concernant le consentement éclairé à l'accès aux données visé à l'alinéa 1er de cet article.

En outre, elle met en oeuvre l'article 37, troisième alinéa, de la loi sur la qualité qui autorise le Roi, en précisant les cas spécifiques d'échange de données à caractère personnel concernant la santé du patient, à désigner les catégories de professionnels de la santé qui, bien qu'ayant une relation thérapeutique avec le patient en application du deuxième alinéa de cet article, n'ont pas accès à l'échange desdites données à caractère personnel.

Une réponse est fournie aux préoccupations exprimées par l'Autorité de protection des données dans son avis n° 52/2024 du 17 mai 2024 et par le Conseil d'Etat dans son avis 77.028/2, tant dans le présent Rapport au Roi que dans l'arrêté royal même. En outre, à titre complémentaire, il est renvoyé aux dispositions et aux commentaires de la loi du 23 novembre 2023Documents pertinents retrouvés type loi prom. 23/11/2023 pub. 06/12/2023 numac 2023045904 source service public federal securite sociale Loi concernant des mesures de police administrative en matière de restrictions de voyage et de formulaire de localisation du passager et modifiant diverses dispositions relatives au comité de sécurité de l'information type loi prom. 23/11/2023 pub. 06/12/2023 numac 2023047343 source service public federal securite sociale Loi de modification de la loi du 21 aout 2008 relative a l'institution et a l'organisation de la plate-forme ehealth et portant diverses dispositions et de modification de la loi du 29 janvier 2014 portant des dispositions relatives a la carte d'identite sociale et la carte isi+ fermer de modification de la loi du 21 août 2008Documents pertinents retrouvés type loi prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 source service public federal securite sociale Loi relative à l'institution et à l'organisation de la place-forme eHealth fermer relative à l'institution et à l'organisation de la Plate-forme eHealth et portant diverses dispositions et de modification de la loi du 29 janvier 2014 portant des dispositions relatives à la carte d'identité sociale et la carte ISI+ (encadrement répertoire des références) et de la loi du 23 novembre 2023Documents pertinents retrouvés type loi prom. 23/11/2023 pub. 06/12/2023 numac 2023045904 source service public federal securite sociale Loi concernant des mesures de police administrative en matière de restrictions de voyage et de formulaire de localisation du passager et modifiant diverses dispositions relatives au comité de sécurité de l'information type loi prom. 23/11/2023 pub. 06/12/2023 numac 2023047343 source service public federal securite sociale Loi de modification de la loi du 21 aout 2008 relative a l'institution et a l'organisation de la plate-forme ehealth et portant diverses dispositions et de modification de la loi du 29 janvier 2014 portant des dispositions relatives a la carte d'identite sociale et la carte isi+ fermer concernant des mesures de police administrative en matière de restrictions de voyage et de formulaire de localisation du passager et modifiant diverses dispositions relatives au comité de sécurité de l'information (fonctionnement CSI).

Mise en oeuvre de l'article 36 : règles détaillées sur le consentement éclairé Lors de l'élaboration de la loi qualité, il a été explicitement indiqué que ? L'article 36 de la loi qualité ne doit pas être interprété comme des dispositions plus particulières au sens de l'article 6, alinéa 2 du Règlement général sur la protection des données (ci-après abrégé RGPD) ou comme une condition supplémentaire au sens de l'article 9, alinéa 4 du RGPD, et que le traitement est donc licite si et dans la mesure où au moins une des bases juridiques de l'article 6 ou 9 du RGPD est présente ; ? Les réglementations au niveau fédéral, régional ou communautaire, conformes au RGPD, peuvent continuer à fournir une base juridique pour le traitement des données, et ainsi un accord de coopération peut être conclu en vue d'exercer conjointement ses propres compétences matérielles en matière de traitement des données et dans le partage de données particulier.

Le Comité de concertation du Gouvernement fédéral et des Gouvernements communautaires et régionaux a, par notification du 27 mars 2019, pris acte du fait que le Ministre fédéral de la Santé publique confirme cette portée des articles 36 et 37.

Il n'est donc pas prévu que la loi Qualité exige le consentement éclairé à l'accès aux données au sens de l'article 7 du RGPD comme base légale du traitement des données si le traitement de données à caractère personnel concernant la santé est nécessaire, par exemple, à des fins de médecine préventive ou de médecine du travail, pour l'évaluation de la capacité de travail d'un employé, pour le diagnostic médical, la fourniture de services ou de soins de santé ou sociaux ou la gestion de systèmes et de services de santé ou de systèmes et de services sociaux. Le consentement éclairé visé à l'article 36, alinéa 1er de la loi qualité est une modalité essentielle instaurée pour un traitement spécifique de données à caractère personnel au sens du RGPD, à savoir l'accès, par un professionnel de santé, à des données à caractère personnel concernant la santé d'un patient qui sont suivis et retenus par un autre professionnel de la santé. Par souci de clarté, ce consentement est appelé `consentement éclairé au partage de données'.

Lors de la détermination de règles supplémentaires pour le consentement éclairé au partage de données visé à l'article 36, premier alinéa, de la loi sur la qualité, un équilibre efficace est recherché entre trois objectifs : 1) garantir le droit à l'autodétermination du patient, 2) garantir des soins de qualité, intégrés, continus, accessibles et sécures pour le patient et 3) éviter les charges ou formalités administratives inutiles.

Le droit du patient à l'autodétermination implique que le patient choisisse librement son prestataire de soins (individu ou institution) et décide librement des soins préventifs ou curatifs qui lui sont proposés. Le patient a droit à la protection des données et doit être assuré que le consentement éclairé au partage de données qu'il donne en application de l'article 36, premier alinéa, de la loi sur la qualité n'est utilisé que dans le but de fournir des soins de qualité, intégrés, continus et sécure pour le patient, et uniquement pour le partage d'informations pertinentes à cette fin. La transparence pour le patient quant à la portée du consentement éclairé au sens de l'article 36 de la loi sur la qualité et le respect du secret professionnel par les prestataires de soins sont essentiels à cet égard. Comme indiqué, l'article 36 de la loi sur la qualité n'affecte pas l'article 9, paragraphe 2, du règlement général sur la protection des données, qui prévoit d'autres circonstances dans lesquelles les données relatives à la santé (aux soins) peuvent être traitées, pour autant que les conditions qui y sont énoncées soient remplies.

La fourniture de soins de qualité, intégrés, continus et accessibles, dans le respect de la sécurité du patient et avec une utilisation optimale des ressources, nécessite une coopération multidisciplinaire entre tous les prestataires de soins de santé qui ont une relation thérapeutique avec le patient. Dans ce contexte, les prestataires de soins de santé doivent pouvoir compter sur la disponibilité d'informations structurées et pertinentes sur le patient via des interfaces conviviales et intégrées. Par exemple, les prestataires de soins de santé qui ont une relation thérapeutique avec le patient doivent avoir à leur disposition les antécédents médicaux pertinents, les facteurs de risque pertinents (allergies, réactions aux médicaments, etc.), les résultats pertinents des examens précédents, le calendrier des médicaments, le statut vaccinal, etc.

Dans tous les hôpitaux, mais aussi dans de nombreuses associations de médecins, centres de santé de district, centres de soins résidentiels ou centres de santé mentale, on utilise des dossiers communs qui peuvent et doivent être consultés par tous les membres de l'équipe soignante. Dans les cas où le traitement d'un patient se fait en continu, de jour comme de nuit, il est nécessaire, pour des raisons de continuité, de qualité et de sécurité, que les données puissent être partagées. Par exemple, dans le cas d'un patient admis en soins intensifs, il faudra que tous les médecins et infirmiers successifs puissent lire les données d'observation des uns et des autres, ainsi que les données relatives aux médicaments prescrits et utilisés et les résultats des différents examens techniques. Par exemple, un médecin confronté à un cas difficile voudra consulter un confrère au sein de son établissement ou, à défaut d'expertise au sein de son établissement, à l'extérieur de l'établissement, afin de pouvoir apporter au patient les meilleurs conseils éventuels. Les médecins et paramédicaux de la pharmacie hospitalière ou du laboratoire de biologie clinique, par exemple, doivent également pouvoir consulter les données disponibles et ajouter de nouvelles données. Le contact personnel avec le patient n'est pas toujours présent, mais la participation au traitement l'est.

Enfin, il convient de minimiser la charge administrative et les coûts pour toutes les parties concernées en évitant la création et la conservation de documents formels (électroniques) et la saisie et le stockage multiples d'informations.

Afin d'atteindre un équilibre entre ces objectifs, différentes possibilités sont prévues pour l'obtention d'un consentement éclairé au partage de données au sens de l'article 36, premier alinéa, de la loi sur la qualité. Elle s'appuie sur des concepts qui sous-tendent le développement de l'eHealth en Belgique depuis plus de 10 ans et qui font l'objet d'une réglementation élaborée par le Comité de gestion de la plate-forme eHealth et approuvée par le Comité de sécurité de l'information.

Il semble indiqué de reprendre l'explication concrète du terme `éclairé' dans le Rapport au Roi, plutôt que dans l'arrêté royal même.

Il est crucial pour un consentement éclairé au partage de données que le patient, avant de donner son consentement, soit correctement informé de la portée et du contenu du consentement. Cela implique que le patient a été informé à l'avance que le partage de données n'a lieu que dans le but de fournir des soins de qualité, intégrés, continus, accessibles et sécures pour le patient, et ne concerne que les informations pertinentes à cette fin. Même s'il existe une relation thérapeutique, le professionnel de la santé nommément désigné peut être exclu de l'accès aux données de santé, et ce à la demande explicite du patient. Le patient doit être informé sur l'existence de ce droit ainsi que sur la procédure qui doit être suivie à cet effet.

Une demande d'exclusion doit être introduite par le patient, à l'avance et dans le respect d'un délai de dix jours qui sont nécessaires au responsable du traitement pour s'organiser. En exécution du Protocole d'accord du 28 juin 2023 en vue de l'échange électronique optimal et du partage d'informations et de données entre les acteurs responsables du secteur de la santé et du bien-être et de l'aide aux personnes, il sera, à titre complémentaire, prévu la possibilité pour un usager de soins d'uniquement autoriser certaines catégories de prestataires de soins d'accéder à certaines catégories de données de santé partagées.

Il est évident qu'un professionnel qui obtient l'accès à des données relatives à la santé en exécution du consentement éclairé au partage des données ne peut les traiter que dans le cadre de ce consentement.

Tout autre traitement doit donc être fondé sur une autre base légale conformément à l'article 6 ou 9 RGPD. Le consentement éclairé au partage de données visé à l'article 36, premier alinéa, de la loi sur la qualité peut être déduit en premier lieu de l'accord du patient à l'échange de données visé à l'article 5, 4° b) de la loi du 21 août 2008Documents pertinents retrouvés type loi prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 source service public federal securite sociale Loi relative à l'institution et à l'organisation de la place-forme eHealth fermer relative à la création et à l'organisation de la plate-forme eHealth.Toutefois, cet accord n'implique qu'un consentement éclairé à l'accès par les prestataires de soins de santé avec lesquels le patient entretient une relation thérapeutique, et uniquement aux données mentionnées dans le registre de référence dans les conditions prévues en application de cette disposition.

Le patient peut soit enregistrer son accord par voie électronique sur la plateforme eHealth, par exemple via le Personal Health Viewer, soit demander à un prestataire de soins de l'enregistrer par voie électronique, après avoir été dûment informé de la portée et du contenu de cet accord. L'accord peut être retiré à tout moment.

Au sein d'une organisation qui répond aux critères des cercles de confiance définis dans les règlements mentionnés et avec laquelle le patient entretient une relation thérapeutique, les informations peuvent être partagées entre tous les prestataires de soins qui font partie de l'équipe de soins du patient. Les possibilités de traitement au sein de l'organisation sont modulées de manière suffisamment fine pour que chaque prestataire de soins ne traite les données des patients que lorsqu'il fait partie de l'équipe soignante du patient et sur la période pour laquelle cela est pertinent (voir critère 3 de la réglementation sur les cercles de confiance). Cette modulation devrait consister en une combinaison de droits d'accès basés sur les rôles (= ex ante) et de contrôle des accès pris (= ex post).

En outre, le consentement éclairé peut être donné verbalement ou par écrit par le patient après que celui-ci a été correctement informé de la portée et du contenu du consentement éclairé (la même disposition en ce qui concerne l'intervention médicale a été reprise à l'article 8, § 3, de la loi du 22 août 2002Documents pertinents retrouvés type loi prom. 22/08/2002 pub. 26/09/2002 numac 2002022737 source ministere des affaires sociales, de la sante publique et de l'environnement Loi relative aux droits du patient fermer relative aux droits du patient).

Mise en oeuvre de l'article 37 : désigner les catégories de professionnels de santé qui, bien qu'ayant une relation thérapeutique avec le patient, n'ont pas accès aux données de santé (soins) échangées.

Il est essentiel de clairement distinguer, d'une part, les soins de santé qui visent, par essence, une finalité préventive/curative (dans l'intérêt du patient) et, d'autre part, les soins de santé qui visent une finalité purement diagnostique (où, outre les intérêts du patient, d'autres intérêts sont également poursuivis, tels que l'emploi, la santé publique ou l'assurance maladie).

Les situations typiques dans lesquelles l'intervention d'un professionnel de la santé vise uniquement à établir l'état de santé sont : la médecine d'assurance, la médecine de contrôle et la médecine légale. Ces professionnels de la santé chargés d'examiner le patient sans intention unique de préserver, de rétablir ou d'améliorer sa santé n'ont pas accès aux données de santé détenues et conservées par les professionnels de la santé chargés de préserver, de rétablir ou d'améliorer la santé du patient, sauf si un cadre légal spécifique prévoit non seulement une mission légale d'étude ou de contrôle, mais aussi la communication et le partage des données nécessaires à cet effet.

Enfin, il y a lieu de souligner que l'accès aux données de santé sans relation thérapeutique n'est pas réglementé sur la base de la loi sur la qualité, mais dispose de son propre cadre juridique. L'accès du patient lui-même aux données de santé le concernant n'est pas non plus réglementé sur la base de la loi qualité. Cet accès a également son propre cadre juridique.

J'ai l'honneur d'être, Sire, de Votre Majesté le très respectueux et très fidèle serviteur, Le Ministre de la Santé publique, F. VANDENBROUCKE 15 DECEMBRE 2024. - Arrêté royal sur l'accès aux données de santé PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu la loi du 22 avril 2019Documents pertinents retrouvés type loi prom. 22/04/2019 pub. 14/05/2019 numac 2019041141 source service public federal sante publique, securite de la chaine alimentaire et environnement Loi relative à la qualité de la pratique des soins de santé type loi prom. 22/04/2019 pub. 14/05/2019 numac 2019012159 source service public federal sante publique, securite de la chaine alimentaire et environnement Loi portant modification de la loi coordonnée du 10 mai 2015 relative à l'exercice de professions des soins de santé fermer relative à la qualité de la pratique des soins de santé et ses articles 36 et 37;

Vu l'avis de l'Inspecteur des Finances, donné le 11 mars 2024 ;

Vu l'accord du Ministre du Budget, donné le 26 mars 2024;

Vu l'avis 52/2024 de l'Autorité de protection des données, donné le 17 mai 2024;

Vu l'avis 77.028/2 du Conseil d'Etat, donné le 24 septembre 2024;

Sur la proposition du Ministre de la Santé publique,

Nous avons arrêté et arrêtons : CHAPITRE 1. - APPLICATION DE L'ARTICLE 36 DE LA LOI

Article 1er.Le consentement éclairé à l'accès aux données de santé visé à l'article 36 de la loi du 22 avril 2019Documents pertinents retrouvés type loi prom. 22/04/2019 pub. 14/05/2019 numac 2019041141 source service public federal sante publique, securite de la chaine alimentaire et environnement Loi relative à la qualité de la pratique des soins de santé type loi prom. 22/04/2019 pub. 14/05/2019 numac 2019012159 source service public federal sante publique, securite de la chaine alimentaire et environnement Loi portant modification de la loi coordonnée du 10 mai 2015 relative à l'exercice de professions des soins de santé fermer relative à la qualité des pratiques de soins peut soit découler de l'accord du patient à l'échange de données visé à l'article 5, 4°, b) de la loi du 21 août 2008Documents pertinents retrouvés type loi prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 source service public federal securite sociale Loi relative à l'institution et à l'organisation de la place-forme eHealth fermer relative à la création et à l'organisation de la plateforme eHealth, soit être donné par le patient.

L'accord visé au premier alinéa ne constitue qu'un consentement éclairé à l'accès des professionnels de santé avec lesquels le patient entretient une relation thérapeutique, et aux seules données visées dans les répertoire des références, dans les conditions prévues en application de l'article 5, 4°, b) précité.

Le consentement éclairé à l'accès aux données visé au premier alinéa peut être donné verbalement ou par écrit par le patient après que celui-ci a été suffisamment informé de la portée et du contenu du consentement.

Art. 2.Si le patient, lorsqu'il donne son consentement éclairé à l'accès aux données, souhaite exclure certains professionnels de la santé, il doit communiquer au responsable du traitement des données le nom du professionnel de la santé individuel auquel l'accès n'est pas accordé. Cette exclusion peut être enregistrée auprès de la plate-forme eHealth, comme le prévoit la loi du 21 août 2008Documents pertinents retrouvés type loi prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 source service public federal securite sociale Loi relative à l'institution et à l'organisation de la place-forme eHealth fermer relative à la création et à l'organisation de la plate-forme eHealth.

Une demande d'exclusion doit être présentée par le patient à l'avance, en respectant un délai raisonnable nécessaire au responsable du traitement pour s'organiser.

Si le responsable du traitement est un hôpital, un établissement de soins de santé ou une coopération de professionnels de la santé, il doit indiquer sur son site web comment ce droit peut être exercé. CHAPITRE 2. - APPLICATION DE L'ARTICLE 37 DE LA LOI

Art. 3.Par dérogation à l'article 1er, les professionnels de la santé chargés d'examiner le patient sans intention de préserver, de rétablir ou d'améliorer sa santé n'ont pas accès aux données de santé détenues et conservées par les professionnels de la santé chargés de préserver, de rétablir ou d'améliorer la santé du patient, sauf si un cadre légal spécifique prévoit non seulement une mission légale d'étude ou de contrôle, mais aussi la communication et le partage des données nécessaires à cet effet. CHAPITRE 3. - Disposition finale

Art. 4.Le ministre qui a la Santé publique dans ses attributions est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, le 15 décembre 2024.

PHILIPPE Par le Roi : Le Ministre de la Santé publique, F. VANDENBROUCKE