Le député européen Claude Rolin a rédigé une question parlementaire sur la vente de données de patients confidentielles par des hôpitaux belges à la multinationale américaine de traitement des informations médicales, Quintiles IMS.
Dans sa réponse du 4 janvier 2018, la Commission signale que les hôpitaux n'ont pas le droit de partager les données médicales de patients avec des firmes particulières, si ce n'est dans des cas strictement réglementés et explicitement prévus par la loi.
La Commission européenne a rappelé l'article 8 de la directive 95/46/CE, telle que transposée dans la loi nationale des États membres, édicte un régime strict de protection des données à caractère personnel relatives à la santé des individus. Celles-ci ne peuvent être traitées que sur la base de l'une des justifications énumérées à l'article 8(2)-(4) de la directive. En vertu de l'article 8(3), le traitement de ces données par les hôpitaux peut être justifié lorsque le traitement est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel, ou par une autre personne soumise à une obligation de secret équivalente. L'article 9 du règlement (UE) 2016/679, qui remplace la directive 95/46/CE à compter du 25 mai 2018, réaffirme ces règles strictes pour la protection des données relatives à la santé.
Les hôpitaux ne peuvent pas partager les données médicales des patients avec des sociétés privées, sauf dans les cas limitativement prévus dans la législation sur la protection des données. Ce partage des données ne peut se faire que sur la base d'une loi le prévoyant expressément et selon les modalités définies dans la loi, ou sur la base du consentement exprès des patients.
La Commission ne dispose pas de chiffres au niveau européen concernant d'éventuels cas similaires. La surveillance et le contrôle de l'application de la législation sur la protection des données relèvent de la compétence des autorités nationales, notamment des autorités de contrôle de la protection des données et des tribunaux, sans préjudice des compétences de la Commission en tant que gardienne des traités
Plus d’information : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+E-2017-006747+0+DOC+XML+V0//FR