Après plus de deux ans et demi de négociation, le texte (UE) 2025/327 relatif à l’Espace Européen des Données de Santé (EEDS), adopté par le Parlement européen et le Conseil le 11 février 2025, vient d’être publié au Journal officiel de l’Union européenne. Il entrera en vigueur le 25 mars 2025 avec une mise en application progressive. Ce dispositif, qui s’inscrit dans la mise en œuvre de la stratégie européenne pour les données adoptée le 19 février 2020 vise à instaurer un cadre commun harmonisé pour l’accès, l’utilisation et la réutilisation sécurisée des données de santé au sein de l’Union européenne. Il est le premier espace de données sectoriel d’une série de plusieurs à venir et poursuit une triple ambition : renforcer les droits individuels en matière d’accès et de contrôle des données de santé, faciliter leur utilisation sécurisée pour diverses finalités telles que les soins médicaux, la recherche, l’innovation et l’élaboration des politiques publiques, et établir un cadre juridique et technique harmonisé pour améliorer le fonctionnement du marché intérieur européen des systèmes de dossiers médicaux électroniques (DME).
Le dispositif encadre en premier lieu l’utilisation primaire des données de santé, c’est-à-dire les données mobilisées dans le cadre du soin (chapitre II). Ce volet s’applique notamment aux « données concernant la santé » (art. 4, paragraphe 15 RGPD) et aux « données génétiques » (art. 4, paragraphe 13 RGPD). Il renforce significativement les droits des individus en leur garantissant un accès direct, immédiat et gratuit à leurs données de santé électroniques, avec la possibilité de les transmettre sans frais ni délai injustifié à un destinataire de leur choix. En parallèle, le règlement facilite l’accès des professionnels de santé aux données électroniques indispensables à la prise en charge des patients, y compris dans un cadre transfrontalier, grâce à la mise en place de l’infrastructure européenne MaSanté@UE.
Le texte prévoit, en deuxième lieu, un volet relatif à l’utilisation secondaire qui vise à promouvoir le partage des données de santé à des fins d’intérêt général (chapitre IV). Il couvre un large éventail de données, qu’elles soient personnelles, non personnelles ou protégées par des droits de propriété intellectuelle ou du secret des affaires. Sont concernées les données détenues par des acteurs publics ou privés du secteur de la santé et de la recherche. Ce volet introduit deux avancées majeures : un droit d’opposition, permettant aux individus de refuser l’utilisation de leurs données, sauf exception pour des motifs d’intérêt public majeurs, et une liste précise de finalités autorisées, excluant notamment les usages discriminatoires ou commerciaux. Pour encadrer cette utilisation et garantir la sécurité des données, le texte prévoit la désignation d’organismes responsables de l’accès aux données de santé. Il met également en place l’infrastructure européenne DonnéesDeSanté@UE, destinée à faciliter les échanges transfrontaliers. Enfin, afin d’assurer une répartition équitable des charges, le texte instaure un système de redevances et prévoit des garanties spécifiques pour la protection des droits de propriété intellectuelle, assurant ainsi une rémunération proportionnelle aux coûts engagés par les organismes mettant leurs données à disposition.
En parallèle, le texte introduit des mesures visant à renforcer la sécurité et la fiabilité des outils numériques de santé (chapitres III). Il impose notamment la certification obligatoire de ces outils afin d’assurer leur sécurité, leur conformité et leur interopérabilité. Les logiciels de gestion des dossiers médicaux et les dispositifs médicaux interconnectés doivent ainsi inclure des composants logiciels harmonisés (interopérabilité et journalisation) et porter un marquage CE attestant leur conformité aux normes européennes. En complément, des obligations strictes en matière de cybersécurité sont instaurées pour renforcer la protection des systèmes de gestion de données de santé face aux risques informatiques. Le texte prévoit également des sanctions dissuasives en cas de non-conformité.
Enfin, le texte encadre également la gouvernance du dispositif (chapitre VI). Il prévoit une organisation à deux niveaux. Au niveau national, chaque État membre doit désigner deux entités distinctes : une autorité de santé numérique, chargée de superviser l’utilisation primaire des données de santé, et un organisme responsable de l’accès aux données de santé, dédié à l’évaluation des demandes d’accès aux données anonymisées ou pseudonymisées dans le cadre de leur utilisation secondaire. Au niveau européen, un Comité de l’espace européen des données de santé est instauré pour coordonner les actions des entités nationales et faciliter l’échange d’informations entre les États.
