RGPD et EHDS (règlement sur l’Espace européen des données de santé): Quelles règles pour le traitement des données de santé en Europe?

L’entrée en vigueur du règlement 2025/327¹ relatif à l’Espace Européen des Données de Santé (« EEDS » ou « EHDS » – European Health Data Space) le 26 mars 2025 constitue une avancée majeure dans l’élaboration d’un cadre commun pour l’accès, l’échange et la réutilisation des données de santé au sein de l’UE. Avec ce nouveau règlement, l’Union européenne entend engager une mutation profonde du cadre de gouvernance des données de santé. Il s’agit là, d’une véritable spécialisation du droit des données personnelles au service des politiques sectorielles européennes. Dès lors, ce nouveau texte ne s’inscrit pas en rupture avec le RGPD², mais vient plutôt s’y superposer.

I – EHDS et RGPD : Quelles précisions de la commission européenne?

Afin d’accompagner la mise en œuvre du règlement EHDS, la Commission européenne a publié une FAQ³, datée du 5 mars 2025, qui apporte de nombreuses précisions utiles. Ce document joue un rôle clé, y compris à clarifier les relations entre le RGPD, socle général de la protection des données personnelles et le cadre plus ciblé que constitue l’EHDS.

La Commission rappelle une chose essentielle : le RGPD est le principal cadre applicable en matière de protection des données personnelles (FAQ, Q57). Autrement dit, les principes classiques de licéité, minimisation, finalité, exactitude, sécurité, droits des personnes concernées, etc, conservent toute leur portée dans le cadre de l’EHDS. Toutefois, et c’est là que la subtilité commence, l’EHDS vient ajouter à ce corpus des obligations spécifiques adaptées aux réalités du secteur de la santé.

Prenons l’exemple du droit à la portabilité des données, tel qu’il est renforcé par l’article 7 de l’EHDS. Ce droit va bien au-delà de ce que prévoit le RGPD, puisqu’ici il s’applique indépendamment de la base légale du traitement en jeu. En effet, contrairement au RGPD, qui exige que ce droit soit lié à une base légale spécifique (consentement ou contrat), l’EHDS vient étendre ce droit à la portabilité (FAQ, Q11). Aussi, ce nouveau droit porte non seulement sur les données fournies directement par le patient, comme le prévoit le RGPD (ex : lorsqu’un patient signale une douleur au genou), mais s’étend aussi aux données observées (ex : une image de radiographie du genou) et aux données inférées (ex : un diagnostic concernant le genou du patient). On observe ici un glissement vers une portabilité élargie, pensée pour faciliter la continuité des soins à l’échelle de l’Union européenne.

Autre illustration, alors que le RGPD permet aux patients d’accéder à leurs données de santé (droit d’accès), le délai d’exercice de ce droit d’accès « primaire » peut être long et s’étendre jusqu’à un mois. La CNIL fixe ce délai à huit jours pour les données de santé, en particulier celles des dossiers médicaux⁴. En pratique, pour répondre à ce type de demande, les responsables de traitement doivent compiler, rechercher manuellement les données et peuvent éventuellement facturer ou refuser de faire droit aux personnes si les demandes sont excessives ou répétées. L’EHDS introduit une autre approche, avec un droit d’accès supplémentaire – libre et immédiat – aux données de santé électroniques (Art 3 EHDS), ce qui élimine la nécessité de rechercher et de compiler manuellement les données. Dans ce contexte, les responsables de traitement ne pourront ni refuser ni facturer l’accès aux données. En fin de compte, comme l’indique la rubrique du site du ministère de la santé dédiée à l’EHDS « Ces droits [EHDS] complètent et renforcent les droits déjà prévus par le RGPD. »⁵

En un mot, la FAQ confirme que l’EHDS n’entend pas écarter le RGPD, mais plutôt le compléter en l’adaptant aux enjeux spécifiques des données de santé, tant en matière de soins que de recherche. 

II – Gouvernance des données de santé : quels rôles et quelles responsabilités?

La FAQ permet de mieux comprendre les choix portés par la Commission. Celle-ci ne se contente pas de juxtaposer deux régimes, mais propose un cadre dans lequel le RGPD et l’EHDS se renforcent mutuellement.

D’une part, l’EHDS repose sur une gouvernance dédiée, avec des structures nouvelles comme les « Health Data Access Bodies » (HDAB) ou organismes responsables de l’accès aux données de santé (Art 55 EHDS), chargées de la gestion des demandes d’accès aux données de santé pour un usage secondaire, en particulier à des fins de recherche (FAQ, Q35 et 36). Avant d’accorder toute autorisation pour un traitement secondaire, l’organisme en question s’assure que l’ensemble des critères de l’article 68 de l’EHDS sont remplis. Cela inclut, par exemple, la conformité des finalités de traitement avec celles prévues par le règlement EHDS, la proportionnalité des données demandées, ainsi que la mise en place de mesures techniques et organisationnelles qui doivent être respectées avant même le début du traitement. 

D’autre part, la Commission promeut une interopérabilité normative et technique, en imposant par exemple le format « EEHRxF » pour l’échange de données entre systèmes de dossiers de santé électroniques (EHR) (FAQ, Q16). Cette exigence dépasse les prescriptions du RGPD, qui reste silencieux sur les formats à utiliser, mais elle vise à rendre effectif le droit à la portabilité, l’accès transfrontalier aux soins et l’interopérabilité homogène entre les systèmes. À cet égard, la Commission précise que « l’EEHRxF sera un langage commun que les systèmes EHR devront être capables de comprendre les uns des autres. »

Ces orientations démontrent que l’EHDS a été pensé comme un instrument fonctionnel, avec l’idée qu’un encadrement sectoriel permet de mieux répondre aux attentes des acteurs en santé tout en maintenant un haut niveau de protection.

Pour éviter tout risque lié à une éventuelle violation de données personnelles, le respect complet de l’EHDS et du RGPD sera indispensable

III – Quels conseils pour les professionnels ?

Dans ce contexte, les professionnels — qu’ils soient responsables de traitement, DPO, fournisseurs de solutions numériques ou établissements de santé — doivent s’adapter à une double logique de conformité.

Il leur revient tout d’abord de garantir le respect des obligations élémentaires du RGPD : identification des bases légales, documentation des traitements mis en œuvre, respect des droits d’accès, de rectification, effacement, encadrement des sous-traitants, etc…

Mais ils doivent également intégrer les spécificités du règlement EHDS, qui imposent des démarches nouvelles comme :

• Assurer la mise en place des services d’accès sécurisés pour les patients comme pour les professionnels de santé (FAQ, Q7) ;
• Veiller à ce que les systèmes de dossiers de santé électroniques soient capables de lire et exporter les données au format EEHRxF, condition nécessaire pour garantir l’interopérabilité (FAQ, Q16) ;
• Être en mesure de gérer les demandes de restriction d’accès aux données, tout en mettant en place un mécanisme de « brise verre » permettant aux professionnels de santé d’accéder à toutes les informations nécessaires pour les soins des patients, notamment dans des situations critiques, comme lorsqu’un patient inconscient arrive aux urgences (FAQ, Q12) ;
• Anticiper la réutilisation encadrée des données à des fins secondaires, en lien avec les autorités nationales compétentes, etc. (FAQ, Q35).

Avec l’arrivée de l’EHDS, la logique de conformité évolue et ne repose plus uniquement sur l’entité responsable de traitement des données (ex : hôpital ou un professionnel de santé), mais aussi sur sa capacité à s’adapter à un cadre de réglementations qui se superposent les unes aux autres et à garantir l’interopérabilité avec les autres systèmes européens. 

Pour anticiper la nouvelle réglementation EHDS, les professionnels auront intérêt à réaliser un audit RGPD en amont permettant de mesurer leur conformité initiale.

IV – Quel est le cadre juridique de l’accès aux données de santé pour un usage secondaire ?

Le règlement EHDS marque une avancée majeure dans la régulation de l’utilisation secondaire des données de santé électroniques à caractère personnel, c’est-à-dire leur traitement à des fins autres que les soins directs : recherche, politiques publiques, innovation en santé, ou encore développement de dispositifs médicaux.

Concrètement, toute demande d’accès à ces données à des fins secondaires doit passer par des organismes spécifiques appelés Health Data Access Bodies (HDAB), désignés par les États membres. L’article 33 du règlement EHDS énumère les finalités légitimes de ce type d’accès : « amélioration des soins, surveillance de la sécurité des médicaments, élaboration de politiques sanitaires, statistiques officielles, intelligence artificielle de santé, etc. »

Un chercheur ou un industriel souhaitant réutiliser ces données ne pourra pas s’adresser directement à un hôpital ou à un fournisseur de données. Il devra présenter une demande complète à l’HDAB, justifiant la finalité, la proportionnalité et les garanties mises en œuvre. À cette fin, l’article 68 du règlement prévoit des critères stricts : pseudonymisation, documentation transparente, limitation d’accès, sécurité renforcée, etc.

Ce système ne vient pas abroger le RGPD mais s’y articule : le consentement explicite des personnes concernées n’est pas toujours exigé, à condition que les traitements respectent les bases légales prévues (intérêt public ou recherche scientifique). Cela illustre bien la spécialisation sectorielle du droit des données à l’échelle européenne.

Enfin, le HealthData@EU – un réseau sécurisé mentionné à l’article 55 – jouera un rôle-clé pour la circulation transfrontalière des données personnelles à des fins secondaires. Il garantit un accès contrôlé et sécurisé dans l’ensemble de l’Union, tout en assurant l’harmonisation des pratiques.

V – Quels impacts pour les citoyens et leur dossier médical électronique ?

L’une des innovations majeures de l’EHDS réside dans l’instauration d’un accès renforcé des citoyens à leurs données de santé électroniques, à travers des plateformes nationales intégrées au portail européen « MyHealth@EU ».

Chaque citoyen de l’Union aura ainsi droit à un accès immédiat, sécurisé, gratuit et standardisé à son dossier médical électronique (DME), incluant ordonnances, résultats d’examens, antécédents médicaux, diagnostics, vaccinations, etc. Ce droit est consacré par l’article 3 du règlement EHDS. Contrairement au RGPD, qui impose parfois des délais, l’EHDS introduit une logique de transparence immédiate.

Les systèmes nationaux devront être compatibles avec un format européen unique, appelé EEHRxF (European Electronic Health Record Exchange Format), permettant une portabilité transfrontalière des données. Cela signifie qu’un patient traité à Rome ou à Paris pourra, en cas d’urgence, transmettre instantanément ses antécédents à un service hospitalier à Berlin ou Lisbonne. Ce mécanisme est un des piliers de la logique d’interopérabilité prônée par le règlement.

Le règlement prévoit également un droit de restriction d’accès, permettant au citoyen de limiter la visibilité de certaines informations sensibles, sauf en cas de nécessité vitale (principe du « bris de glace », article 14). Le patient garde ainsi un contrôle renforcé sur ses données, sans pour autant compromettre la continuité des soins.

Ce cadre favorise l’émergence de nouveaux services de santé numériques personnalisés, tout en consolidant la protection des données personnelles dans un secteur particulièrement sensible.

Accompagner la conformité EHDS et RGPD avec un cabinet d’avocats

L’entrée en vigueur du règlement EHDS marque une étape décisive dans la structuration juridique de la donnée de santé en Europe. Il impose aux acteurs du secteur une double exigence : garantir une conformité renforcée aux principes du RGPD, tout en intégrant les nouvelles obligations sectorielles issues de l’EHDS, qu’il s’agisse d’interopérabilité, de portabilité, ou d’accès sécurisé aux données de santé électroniques.

Face à cette complexité croissante, les établissements de santé, les professionnels libéraux, les éditeurs de logiciels de santé ou les industriels du médicament ont tout intérêt à anticiper ces évolutions, tant pour éviter les risques juridiques que pour tirer parti des opportunités offertes par l’économie de la donnée en santé.

Notre cabinet accompagne ses clients dans la mise en conformité de leurs traitements, l’analyse juridique des dispositifs numériques, la rédaction de politiques internes et le dialogue avec les autorités compétentes. Nous intervenons également dans le cadre de litiges ou de contrôles relatifs au traitement des données de santé, que ce soit devant la CNIL ou les juridictions compétentes.

N’hésitez pas à nous contacter pour évaluer votre situation, sécuriser vos projets ou obtenir un accompagnement juridique sur mesure dans le cadre de la mise en œuvre du règlement EHDS.

Sources :

1. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202500327 – Règlement (UE) 2025/327 du 11 février 2025 relatif à l’espace européen des données de santé (EHDS) ↩︎
2. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ↩︎
3. https://health.ec.europa.eu/document/download/4dd47ec2-71dd-49fc-b036-ad7c14f6ed68_en?filename=ehealth_ehds_qa_en.pdf&prefLang=fr – Commission européenne, Frequently Asked Questions on the European Health Data Space (FAQ) ↩︎
4. https://www.cnil.fr/fr/cnil-direct/question/exercice-des-droits-informatique-et-libertes-dans-quel-delai-doit-me-repondre – CNIL, Exercice des droits « Informatique et Libertés » : dans quel délai doit-on me répondre ? ↩︎
5. https://sante.gouv.fr/ministere/europe-et-international/l-union-europeenne-de-la-sante/article/l-espace-europeen-des-donnees-de-sante – Ministère de la santé, l’espace européen des données de santé ↩︎