Contact
Nous contacter

L’espace européen des données de santé (EHDS) : quel impact pour les professionnels de santé ?

  • Publié le: 31 mars 2025

I. Présentation du règlement EHDS

Dans le cadre de sa stratégie numérique, l’Union Européenne développe plusieurs espaces européens de données1 qui ont pour but de faciliter le partage de données dans différents secteurs tels que l’environnement, l’agriculture ou le secteur social2

Le règlement 2025/3273 relatif à l’Espace Européen des Données de Santé (« EEDS » ou « EHDS » – European Health Data Space) fait partie de cette stratégie européenne et est le premier espace sectoriel mis en place, dédié aux données de santé. 

Publié le 5 mars 2025 au journal officiel de l’UE, ce règlement vise à améliorer l’accès, l’échange et la réutilisation des données de santé au sein de l’UE en s’appuyant sur des réglementations existantes4 comme le RGPD, le règlement sur la gouvernance des données (Data Governance Act), le règlement sur les données (Data Act) et la directive NIS2.

1. Objectifs de l’EHDS

L’EHDS a vocation à répondre à trois grands défis5 :

  • Garantir aux citoyens un accès direct et simplifié à leurs données de santé à travers l’UE ;
  • Assurer la continuité des soins dans l’UE en permettant aux professionnels de santé des 27 États membres d’accéder aux données de santé de leurs patients ;
  • Créer un cadre sécurisé et harmonisé pour la réutilisation des données de santé pseudonymisées à des fins de recherche, d’innovation et de politique publique, en prévoyant, entre autres, des obligations sur la mise à disposition des données pour ces finalités secondaires (Art 51).

2. Différents volets de l’EHDS

Le règlement s’articule autour de quatre grands axes :

  • Le premier concerne l’utilisation primaire des données de santé (Chapitre II) qui correspond à l’utilisation des données de santé pour la prise en charge d’un patient. Par exemple, il s’agit du traitement de données de santé électroniques dans le cadre de soins, afin d’évaluer, de maintenir ou de rétablir l’état de santé d’un patient. Cette utilisation primaire est large et peut aussi prendre la forme de prescription, de dispensation, de fourniture de médicaments et de dispositifs médicaux, ainsi que des services sociaux, administratifs ou de remboursement lié aux soins (Art 2.2.d) ;
  • Le second volet porte sur l’utilisation secondaire (Chapitre IV) lorsqu’il est envisagé de donner accès et de valoriser les données de santé à des fins secondaires comme la recherche et l’innovation, en particulier dans le développement de nouveaux traitements et médicaments. Cette utilisation est qualifiée de « secondaire » parce qu’elle ne sert pas directement à la prise en charge de patients mais plutôt à traiter des données de santé dans un second temps, à des fins de recherche, d’innovation et de politique de santé publique (Art 2.2.e) ;
  • La certification des outils numériques de santé et leur mise sur le marché (Chapitre III) ;
  • Des règles plus générales qui définissent la gouvernance, la formation, les délais d’application ou encore les sanctions en cas de non-respect des dispositions (voir entre autres Chapitres V, VI et VIII).

II. Principales obligations du règlement

  • les fournisseurs de soins de santé doivent mettre en œuvre les nouveaux droits des patients tels que l’accès à leurs données de santé (Art 3), leur portabilité (Art 7), ainsi que les mécanismes de refus (opt-out) pour les dossiers médicaux électroniques (Art 10) ;
  • les fabricants de systèmes de DME (dossiers médicaux électroniques) sont soumis à de nombreuses obligations (Art 30), en particulier en matière d’interopérabilité et compatibilité (ex : Maintien de la conformité des logiciels tout au long du cycle de vie), de conformité et de certification (ex : marquage CE), de documentation et information (ex : établissement et mise à jour de la documentation technique), de sécurité (ex : prise de mesures correctives en cas de non-conformité, y compris le retrait ou le rappel des produits), de suivi et gestion des réclamations (ex : mise en place de canaux de réclamation et information des distributeurs).
  • les détenteurs de données de santé sont tenus de mettre à disposition certains ensembles de données de santé électroniques (ex : données de santé des DME, données sur les pathogènes, etc.) pour des finalités secondaires comme la recherche scientifique et l’élaboration de politiques (Art 53), avec des protections pour les secrets d’affaires et la propriété intellectuelle (Art 52).
  • les utilisateurs de données (Art 2.2.u) comme les chercheurs et les institutions devront obtenir des autorisations de traitement de données (Art 2.2.v) auprès des organismes nationaux d’accès aux données de santé pour toute utilisation secondaire.

III. Un espace des données de santé assurant un haut niveau de protection des données

1. Imbrication de l’EHDS avec le RGPD

Le règlement sur l’espace européen des données de santé assure un haut niveau de protection des données. En effet, il s’appuie sur d’autres réglementations européennes, telles que le RGPD6,  qui constitue la référence en matière de protection des données à caractère personnel. C’est d’ailleurs le RGPD qui définit les données de santé comme des données sensibles7 qui doivent bénéficier d’un cadre de protection renforcé.

Dans une FAQ publié le 5 mars 20258 dédiée à l’EHDS, la Commission européenne a apporté des précisions sur l’articulation entre ces deux règlements (pt 56). Actuellement, les droits des patients sur leurs données de santé sont principalement régis par le RGPD, ce qui leur permet d’accéder et d’obtenir une copie de leurs données personnelles. Cependant, l’exercice de ce droit d’accès « primaire » trouve ses limites, notamment par des délais de réponse pouvant aller jusqu’à un mois. La CNIL précise que ce délai est porté à 8 jours en ce qui concerne les données de santé, en particulier celles des dossiers médicaux9. Dans la pratique, pour répondre à une demande de droit d’accès, les organisations concernées doivent compiler les données et mobiliser des ressources pour répondre aux demandes, et il leur est possible de refuser un accès ou d’appliquer des frais en cas de demandes excessives ou répétées.

Dans sa FAQ, la Commission admet que dans le domaine de la santé, l’accès immédiat aux données de santé est essentiel. C’est pourquoi l’EHDS consacre un droit d’accès supplémentaire permettant aux personnes d’accéder librement et immédiatement à leurs données de santé électroniques (Art 3). Cela évite, en pratique, la recherche et la compilation manuelles des données. Ici, les responsables de traitement ne pourront ni refuser des demandes fréquentes ni facturer l’accès aux données.

Le RGPD encadre strictement le traitement des données de santé, celui-ci étant, par principe interdit, sauf exceptions prévues à son article 9. Des garanties appropriées doivent être mises en place pour le traitement des données de santé (considérant 52). L’EHDS va dans ce sens puisqu’il limite et définit les finalités pour lesquelles des données de santé électroniques peuvent être traitées à des fins d’utilisation secondaire (Art 53), prévoit des procédures d’autorisation pour le traitement de ces données par des utilisateurs (Art 68), prévoit des obligations de protection comme l’utilisation d’environnements sécurisés (Art 73) et bien d’autres dispositions qui concourent à un haut niveau de protection des données.

En complément du cadre européen proposé par l’EHDS, découvrez comment procéder correctement à l’anonymisation des données personnelles et respecter le droit à l’oubli afin de respecter pleinement les exigences légales en vigueur.

2. Les autorisations de traitement : gages d’un haut de niveau de protection des données pour les traitements secondaires

En imposant une procédure d’autorisation préalable pour tout traitement secondaire, le règlement EHDS renforce la protection des données de santé. 

L’EHDS introduit ainsi un garde-fou supplémentaire pour l’utilisation secondaire des données. Avant toute autorisation de traitement secondaire, un organisme responsable de l’accès aux données de santé (Art 55) vérifie que l’ensemble des critères de l’article 68 de l’EHDS sont remplis : ex, conformité des finalités du traitement avec celles définies par le règlement, la proportionnalité des données demandées, ainsi que la mise en place de mesures techniques et organisationnelles scrupuleusement respectées avant même que le traitement ne commence. En plus, le règlement impose la pseudonymisation ou l’anonymisation des données (Art 66.3 et Art 68.1.c) pour tout traitement secondaire, ce qui renforce la protection des données. En effet, ces mécanismes permettent soit de remplacer les données directement identifiantes par des données indirectement identifiantes10 ou de rendre impossible et de manière irréversible l’identification d’une personne à partir d’un jeu de données11. En conséquence, les données sont davantage protégées et l’identification des personnes est rendue plus complexe, voire impossible.

Alors que le RGPD offre un premier cadre robuste pour le traitement des données de santé avec des mécanismes de prévention préalables comme l’analyse d’impact sur la protection des données (AIPD) ou les autorisations de traitement de données de santé délivrées par la CNIL, le règlement EHDS semble aller au-delà de ce que prévoit le RGPD. En effet, en exigeant une autorisation préalable pour tout traitement secondaire des données de santé, sous réserve de respecter l’intégralité des conditions prévues à l’article 68, l’octroi d’une autorisation peut être refusé en cas de non-respect d’un seul critère. A l’inverse, une autorisation peut être octroyée à ceux qui remplissent l’intégralité des critères.

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommesà votre disposition pour vous accompagner dans tous vos projets. Que vous soyez unestartup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguersereinement dans le paysage complexe de la réglementation et de la conformité. Contactez un avocat expert en protection des données personnelles pour sécuriser vos projets dès aujourd’hui.

Sources

  1. https://esante.gouv.fr/espace-europeen-donnees-sante#content-41683 ↩︎
  2. https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L_202500327 – considérant 80 ↩︎
  3. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32025R0327 – Règlement EHDS ↩︎
  4. https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space-regulation-ehds_fr ↩︎
  5. https://esante.gouv.fr/espace-europeen-donnees-sante#content-41697 ↩︎
  6. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – RGPD ↩︎
  7. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – RGPD, Art 9.1 ↩︎
  8. https://health.ec.europa.eu/latest-updates/frequently-asked-questions-european-health-data-space-2025-03-05_en?prefLang=fr ↩︎
  9. https://www.cnil.fr/fr/cnil-direct/question/exercice-des-droits-informatique-et-libertes-dans-quel-delai-doit-me-repondre ↩︎
  10. https://www.cnil.fr/fr/tag/pseudonymisation ↩︎
  11. https://www.cnil.fr/fr/technologies/lanonymisation-de-donnees-personnelles ↩︎

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille +33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36

Nous contacter

Catégories

Partager

Articles associés

Tous nos articles sur le droit du numérique