Règlement européen des données de santé : quels impacts ?
Le 11 février 2025, le règlement (UE) 2025/327 du Parlement européen et du Conseil « relatif à l’espace européen des données de santé » (EEDS) [1] a été adopté.
L’EEDS est le premier espace de données commun de l’UE d’une série de plusieurs espaces à venir qui vont être déployés par l’UE (11) dans le cadre de la stratégie numérique européenne. Cet EEDS ne s’applique qu’au secteur de la santé.
Il est question de « faciliter l’accès aux données de santé électroniques aux fins de l’utilisation primaire [2] des données de santé électroniques et de l’utilisation secondaire [3] de ces données » (article 1er, §1).
Concrètement, le règlement européen des données de santé introduit des règles pour :
2.1 Entrée en vigueur du règlement européen des données de santé
Il est entré en vigueur le 26 mars 2025 mais ne s’appliquera pas immédiatement.
En effet, la Commission doit adopter, avant mars 2027, plusieurs « actes d’exécution » fixant des règles détaillées pour la mise en œuvre opérationnelle du règlement.
Exemples concernant plusieurs exigences :
- ► en matière de qualité des données pour l’enregistrement dans un système de DME ;
- ► à propos du format européen d’échange des dossiers médicaux électroniques ;
- ► quant au mécanisme interopérable et transfrontière d’identification et
- ► concernant l’authentification pour les personnes physiques et les professionnels de la santé.
2.2 Entrée en application du règlement européen des données de santé
L’application du règlement sera progressive, comme détaillé ci-après.
3.1 Ce qui est prévu par le règlement européen des données de santé
Au niveau européen, l’utilisation des données de santé dans le cadre du soin apporté à un patient (« utilisation primaire ») par les patients et les professionnels de santé se fera via MaSanté@UE (MyHealth@EU).
En France, Sesali (SErvice européen de SAnté en LIgne) est le point d’entrée à MaSanté@UE. Il permet déjà actuellement aux professionnels de santé français habilité d’accéder à la synthèse médicale d’un patient provenant d’un autre pays de l’UE.
► 26 mars 2029. Cette plateforme permettra l’échange des catégories dites « prioritaires » de données de santé électroniques [4] à savoir « résumés des dossiers de patients, prescriptions électroniques, dispensations électroniques ».
► 26 mars 2031. Cette plateforme permettra ensuite l’échange de catégories dites « supplémentaires » de données de santé électroniques, à savoir « examens d’imagerie médicale et comptes rendus d’imagerie médicale, résultats d’examens médicaux et rapports de sortie d’hôpital ».
Un format européen d’échange des DME sera instauré.
3.2 Impacts du règlement européen des données de santé pour les patients
Les droits des personnes physiques garantis par le RGPD sont censés être respectés, en ce qui concerne tant l’utilisation primaire que l’utilisation secondaire de leurs données personnelles de santé électroniques (article 1er, §2).
En effet, conformément au RGPD, les personnes physiques auront en effet notamment les droits suivants dans le cadre de l’utilisation primaire de leurs données :
- ► accéder « au moins aux données de santé électroniques à caractère personnel les concernant qui appartiennent aux catégories prioritaires de données de santé électroniques à caractère personnel à des fins d’utilisation primaire » [5] et qui sont traitées pour la prestation de soins de santé par l’intermédiaire des « services d’accès aux données de santé électroniques » (article 3) ;
- ► obtenir une rectification de leurs données (article 6) ;
- ► la portabilité de leurs données (article 7) ;
- ► limiter l’accès des professionnels de la santé et des prestataires de soins de santé à tout ou partie de leurs données entrant dans les catégories prioritaires (article 8) ;
- ► obtenir des informations sur l’accès aux données (article 9) ;
- ► potentiellement (en fonction des États membres), le droit (réversible) de refuser l’accès à leurs données enregistrées dans un système de DME par l’intermédiaire des services d’accès aux données de santé électroniques. Ce droit pourrait être remis en cause par la nécessité d’un traitement de données nécessaire pour protéger les intérêts vitaux de la personne concernée (article 10) ; et
- ► s’opposer à l’utilisation secondaire de ses données de santé électroniques.
Le droit d’accès s’en trouvera amélioré dans la mesure où le patient pourra visualiser ses données de santé personnelles électroniques, rapidement et gratuitement, dans un format européen normalisé.
3.3 Impacts pour les détenteurs de données de santé (professionnels de santé)
Les professionnels de santé pourront avoir accès aux données de santé électroniques à caractère personnel pertinentes et nécessaires des personnes physiques qu’ils traitent, par l’intermédiaire des services d’accès des professionnels de la santé, quels que soient l’État membre d’affiliation et l’État membre de traitement (article 11).
Lorsque l’État membre d’affiliation de la personne physique traitée et l’État membre de traitement de cette personne physique diffèrent, l’accès transfrontière aux données de santé électroniques à caractère personnel de la personne physique traitée est fourni par l’intermédiaire de MaSanté@UE (MyHealth@EU), plateforme centrale d’interopérabilité pour la santé numérique (article 11).
Cet accès comprend au minimum les « catégories prioritaires de données de santé électroniques à caractère personnel à des fins d’utilisation primaire » (résumés des dossiers de patients, les prescriptions électroniques, les dispensations électroniques, les examens d’imagerie médicale et comptes rendus d’imagerie médicale, les résultats d’examens médicaux et les rapports de sortie d’hôpital) (article 23).
3.4 Impacts pour les opérateurs économiques (fabricants, mandataires, importateurs, distributeurs)
Marquage CE ou labellisation. Le règlement établie des règles communes pour :
- ► les systèmes de DME, soumis à une procédure de marquage CE, en ce qui concerne deux types de critères de conformité : interopérabilité et traçabilité des accès au dossier médical ;
- ► les applications de bien-être interopérables avec un système de DME, soumises à une procédure de labellisation (article 47).
Marquage CE – Lien avec la règlementation DM et le Règlement européen sur l’IA.
Le règlement prévoit une procédure d’auto-certification européenne pour ces logiciels. Les systèmes de DME devront ainsi s’être vus délivrer un marquage CE avant leur mise sur le marché ou mise en service (article 41), indiquant que le système de DME est conforme au présent règlement.
Le règlement précise que certains composants logiciels des systèmes de DME pourraient être considérés comme des DM au titre du règlement (UE) 2017/745 ou comme des DMDIV au titre du règlement (UE) 2017/746 du Parlement européen et du Conseil et rappelle que les logiciels ou modules de logiciels qui relèvent de la définition d’un DM, d’un DMDIV ou d’un « système d’IA à haut risque » doivent être certifiés (voir à cet égard mon article sur l’impact du RIA en santé) (article 27).
Les notions de mise sur le marché et de mise en service sont encore reprises ici s’agissant des DME (cf. RIA et nouvelle directive sur la responsabilité du fait des produits défectueux).
Dans ce contexte, les opérateurs économiques (fabricants, mandataires, importateurs, distributeurs) de systèmes de DME en question devront non seulement se conformer aux règlements européens précités (RDM, RDMDIV et/ou RIA) mais également au règlement sur l’EEDS.
Remboursement : il est prévu que les États membres peuvent maintenir ou définir des règles spécifiques pour l’acquisition, le financement ou le remboursement de systèmes de DME dans le contexte de l’organisation, de la fourniture ou du financement de services de soins de santé, à condition que ces règles soient conformes au droit de l’Union et n’affectent pas le fonctionnement ou la conformité des composants logiciels harmonisés des systèmes de DME.
4.1 Ce qui est prévu par le règlement européen des données de santé
Au niveau européen, l’utilisation des données de santé à des fins de recherche, d’innovation ou de politique de santé publique (« utilisation secondaire ») se fera via DonnéesSanté@UE / (HealthData@EU).
- ► 2029, le 26 mars : cette plateforme permettra la réutilisation de la plupart des catégories de données (exemples : dossiers patients).
- ► 2031, le 26 mars : cette plateforme permettra la réutilisation des autres catégories de données (données génomiques, par exemple).
- ► 2034, le 26 mars : les pays tiers et les organisations internationales pourront demander à participer à HealthData@EU.
4.2 Impacts du règlement européen des données de santé pour les patients
La réutilisation des données des patients est encadrée : par principe, les données réutilisées sont anonymes ; par exception, elles sont pseudonymisées.
Dans ce dernier cas, les patients disposent du droit de s’opposer à l’utilisation secondaire de ses données de santé électroniques.
4.3 Impacts pour les détenteurs de données de santé (professionnels de santé)
Les détenteurs de données de santé mettent à disposition à des fins d’utilisation secondaire conformément au chapitre IV les catégories de données de santé électroniques visées par l’article 51 (données de santé électroniques provenant de DME, données administratives liées aux soins de santé, données génétiques, épigénomiques et génomiques humaines, données de santé provenant de dispositifs médicaux, etc.).
Les États membres peuvent prévoir, dans leur droit national, que des catégories de données de santé électroniques supplémentaires sont mises à disposition à des fins d’utilisation secondaire en application du présent règlement.
4.4 Impacts pour les utilisateurs de données de santé (chercheurs, entreprises, autorités publiques susceptibles d’utiliser les données aux fins de recherche, d’innovation ou de politique de santé publique)
Les utilisateurs de données de santé pourront accéder aux données précitées conformément à une autorisation de traitement de données délivrée en vertu de l’article 68, une demande de données de santé approuvée en vertu de l’article 69 ou, dans les situations visées à l’article 67, paragraphe 3, une approbation d’accès émanant du participant autorisé à DonnéesDeSanté@UE (HealthData@EU) visé à l’article 75 concerné. Les demandes devront être strictement motivées.
Des utilisations sont expressément interdites, telles que l’accès aux données aux fins de prendre des décisions préjudiciables à une personne physique ou un groupe de personnes physiques sur la base de leurs données de santé électroniques ou pour l’exercice d’activités de publicité ou de marketing.
Le règlement prévoit que les organismes responsables de l’accès aux données de santé fournissent les données de santé électroniques dans un format anonymisé, lorsque la finalité du traitement par l’utilisateur de données de santé peut être réalisée à l’aide de ces données, compte tenu des informations fournies par l’utilisateur de données de santé.
Toutefois, lorsque l’utilisateur de données de santé a suffisamment démontré que la finalité du traitement ne peut pas être réalisée à l’aide de données, les organismes responsables de l’accès aux données de santé donnent accès aux données de santé électroniques dans un format pseudonymisé.
Les informations nécessaires pour annuler la pseudonymisation ne sont accessibles qu’à l’organisme responsable de l’accès aux données de santé ou à une entité qui agit en tant que tiers de confiance conformément au droit national.
Enfin, le règlement prévoit, au titre des obligations des utilisateurs de données de santé que « les résultats ou l’aboutissement de l’utilisation secondaire ne contiennent que des données anonymisées » (article 61).
Nos avocats peuvent vous accompagner. Vous pouvez me contacter par mél : isabelle-chivoret@lexing.law
Détenteurs ou utilisateurs de données de santé personnelles électroniques, éditeurs de DME, notre cabinet vous accompagne afin d’être conforme au Règlement européen des données de santé. N’hésitez pas à nous contacter pour bénéficier d’un accompagnement personnalisé !
[2] Le traitement de données de santé électroniques pour la fourniture de soins de santé en vue d’évaluer, de maintenir ou de rétablir l’état de santé de la personne physique à laquelle ces données se rapportent, y compris la prescription, la dispensation et la fourniture de médicaments et de dispositifs médicaux, ainsi que pour les services sociaux, administratifs ou de remboursement pertinents (article 2).
[3] Le traitement de données de santé électroniques aux fins énoncées au chapitre IV du présent règlement, autres que les finalités initiales pour lesquelles ces données ont été collectées ou produites (article 2).
[4] Il est prévu que les États membres peuvent prévoir, dans leur droit national, l’accès à des catégories de données de santé électroniques à caractère personnel supplémentaires et leur échange, à des fins d’utilisation primaire en application du présent chapitre.
[5] Les résumés des dossiers de patients, les prescriptions électroniques, les dispensations électroniques, les examens d’imagerie médicale et comptes rendus d’imagerie médicale, les résultats d’examens médicaux et les rapports de sortie d’hôpital.
Sommaire
- 1. Introduction
- 2. Prochaines étapes pour son application en France
- 3. Utilisation des données à des fins de soins (utilisation primaire)
- 4. Utilisation des données à des fins de recherche, d'innovation ou de politique de santé publique (utilisation secondaire)
