Un nouveau règlement européen harmonise les règles de partage, d’accès et de réutilisation des données de santé à l’échelle de l’Union européenne. Un cadre inédit qui redéfinit les droits des patients, les obligations des détenteurs de données et les opportunités pour la recherche et l’innovation.

Vers de nouvelles règles d’accès aux données de santé

par Nos partenaires du Droit et du Chiffre

Publié le 28 mai 2026

Un nouveau règlement européen harmonise les règles de partage, d’accès et de réutilisation des données de santé à l’échelle de l’Union européenne. Un cadre inédit qui redéfinit les droits des patients, les obligations des détenteurs de données et les opportunités pour la recherche et l’innovation.

Par Me Clémence Bolla, avocate au Barreau de Grenoble.

Créé par un règlement européen publié le 5 mars 2025, l’Espace européen des données de santé (EEDS ou EHDS pour European Health Data Space) est le premier espace de données (data space) sectoriel à l’échelle européenne, élément central de la stratégie européenne pour les données.

L’EEDS part d’un postulat simple : des données de santé mieux utilisées, c’est une médecine plus efficace, une recherche plus rapide et des décisions publiques mieux éclairées. L’objectif est de mettre fin aux bases de données éclatées et parcellaires et aux restrictions d’accès imposées par leurs détenteurs, préjudiciables aux patients, aux professionnels, aux politiques publiques et à la recherche.

Cette ambition se déploie en deux temps. Le règlement impose la numérisation de tout le parcours de soins et interopérabilité entre les systèmes d’information, afin de constituer des bases de données de santé structurées et exploitables. Il favorise ensuite l’accessibilité de ces données en établissant des règles claires et unifiées au sein de l’Union européenne.

Un encadrement de tout le cycle de vie des données

L’EHDS régule deux types d’usages.

– L’utilisation primaire concerne le recours aux données pour prodiguer des soins et des services connexes (sociaux, administratifs, remboursement).

– L’utilisation secondaire désigne la réutilisation de données collectées à d’autres fins : recherche scientifique, développement et évaluation de produits mobilisant des données de santé (dispositifs médicaux, DMDIV, systèmes d’IA, applications numériques…) et élaboration de politiques publiques.

Des opportunités et des obligations pour tous les acteurs

Les patients reçoivent de nouveaux droits, dans la continuité du règlement général sur la protection des données (RGPD) : un accès facilité à leurs données et la possibilité de décider pourquoi et avec qui les partager.

Les professionnels de santé accéderont à davantage d’informations sur leurs patients, y compris hors frontières ou collectées par des outils tiers, ce qui doit améliorer la prise en charge, en contrepartie de nouvelles obligations de numérisation.

Les logiciels qualifiés de « systèmes de dossier médical électronique » seront soumis à de nouvelles exigences techniques (interopérabilité, journalisation, documentation, marquage de conformité).

Enfin, structures de recherche, medtechs, biotechs et techbios disposeront d’un large éventail de données de qualité pour préparer leurs études et concevoir de nouveaux produits, tandis que les détenteurs devront en donner accès à ceux qui souhaitent en faire un autre usage.

Un cadre harmonisé pour la réutilisation des données

Les données de santé sont utiles bien au-delà du soin : études rétrospectives et nouvelles méthodologies de recherche clinique, développement d’outils numériques, élaboration des politiques de santé publique, vigilance sanitaire. Il existe pourtant une véritable frilosité au partage, qui rend l’accès long et compliqué : crainte de ne pas respecter le cadre réglementaire (RGPD et loi Informatique et libertés), qui ne prévoit pas explicitement cette hypothèse, et volonté de valoriser les données pour compenser les coûts de collecte et de partage. L’apport majeur de l’EHDS est de fixer des règles unifiées sur les modalités d’accès.

Une nouvelle voie d’accès orchestrée par l’Orad

L’EHDS crée une procédure d’accès orchestrée par l’organisme responsable de l’accès aux données (Orad ou HDAB pour Health Data Access Body), institué dans chaque État membre.

En France, ce rôle devrait revenir à la Plateforme des données de santé (Health Data Hub). Les demandes lui seront adressées et elle vérifiera qu’elles poursuivent l’une des finalités prévues. Le règlement distingue des finalités autorisées (recherche scientifique, innovation, évaluation d’algorithmes, amélioration des soins, statistiques, enseignement, politiques publiques) et des finalités interdites (décision préjudiciable ou discriminatoire, publicité, marketing, produits préjudiciables, activités contraires à l’éthique nationale). Si la demande est autorisée, l’Orad la relaie aux détenteurs. Il restera toujours possible de s’adresser directement à eux. Certains détenteurs « de confiance » se verront en outre confier une partie de ses missions, notamment les entrepôts de données de santé en France.

Une obligation de donner accès, assortie de sanctions

L’EHDS crée une obligation de donner accès, assortie de sanctions financières, à un très large éventail de données : données issues d’un dossier médical, d’un dispositif médical ou d’une application bien-être, données administratives, données génétiques, génomiques et moléculaires, données des registres médicaux, de mortalité, de santé publique, de médicaments et de dispositifs, données d’essais et investigations cliniques, de cohortes, questionnaires et enquêtes et données des biobanques.

Elle vise tous les détenteurs (établissements de santé, fabricants de produits de santé, structures de recherche…) qui devront aussi communiquer annuellement à l’Orad une description de leurs données afin qu’il dispose d’un catalogue exhaustif. Seules sont exonérées les microentreprises (moins de dix personnes et chiffre d’affaires ou bilan annuel n’excédant pas deux millions d’euros).

Valorisation, propriété intellectuelle
et secret des affaires

Les détenteurs pourront percevoir des redevances proportionnelles aux coûts de mise à disposition, des tarifs réduits voire la gratuité pouvant bénéficier à certains acteurs. Elles couvriront notamment la pseudonymisation, l’anonymisation et la fourniture des données, mais non les coûts de collecte et de maintenance. Une partie reviendra à l’Orad pour l’instruction des demandes.

Le règlement aménage cette obligation de partage en présence de droits de propriété intellectuelle, de secret des affaires ou de protections propres à certaines données liées aux médicaments. En cas de risque grave de violation des droits du détenteur, l’Orad pourra refuser l’accès aux données. Le détenteur devra avoir été en mesure de faire part de ses droits, notamment son droit de producteur de bases de données, et d’apporter des justifications précises sur les risques qu’il encourt.

Les droits des personnes
dans le cadre de l’utilisation secondaire

Deux droits s’ajoutent à ceux du RGPD :

– Un droit de refus (opt-out) de l’utilisation secondaire, exerçable à tout moment et réversible ;

– Un droit d’être informé d’une constatation significative concernant sa santé, assorti d’un droit de refuser cette information.

Calendrier

L’entrée en application est progressive : le règlement sera applicable au 26 mars 2027, sauf exceptions : la plupart des dispositions sur l’utilisation secondaire au 26 mars 2029, celles sur les systèmes de dossiers médicaux et applications de bien-être au 26 mars 2031. Des actes d’exécution préciseront les modalités concrètes.

Les modalités de calcul des redevances et le respect des droits de propriété intellectuelle suscitent d’importants débats. Sa mise en œuvre suppose aussi une adaptation du cadre législatif français, avec un projet de loi attendu en 2026, et des travaux pilotés par la Délégation au numérique en santé (DNS) et, au niveau européen, via le projet TEHDAS 2.

Se préparer dès aujourd’hui

Pour les détenteurs, il est vivement recommandé de se préparer dès maintenant afin d’éviter des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial : cartographier les données concernées, recenser les coûts de collecte et de mise à disposition, identifier les droits de propriété intellectuelle et les secrets des affaires applicables, et adapter les contrats.

Pour les fabricants de logiciels, il faut déterminer si leur solution relève d’un « système de dossier médical électronique » ou d’une « application de bien-être », puis intégrer les nouvelles exigences techniques dans leur feuille de route.