Nouvel "Espace européen des données de santé" : que faut-il en attendre ?

Depuis 2020, l'Union européenne (UE) entend devenir la première puissance internationale dans l'exploitation des données industrielles, c'est-à-dire les données à caractère personnel et non personnel générées par les secteurs économiques et sociaux européens. Le but de cette stratégie est double : 

• il s'agit, d'une part, de renforcer l'économie européenne en favorisant l'innovation et la création de valeur fondée sur le partage des données ;
• d'autre part, de développer l'intelligence artificielle (IA) que l'UE considère comme une technologie dont la maîtrise conditionne sa place sur la scène internationale, afin de contribuer à l'autonomie numérique de l'UE. 

Pour atteindre ces objectifs, l'UE a adopté le 19 février 2020 une stratégie européenne sur les données dans laquelle elle annonce la mise en œuvre d'une série de mesures juridiques, techniques et politiques afin de favoriser le partage des données, dont notamment le règlement sur la gouvernance de données (Data Gouvernance Act ou DGA, entré en application le 24 septembre 2023), le règlement sur les données (Data Act ou DA, qui entre en application le 12 septembre 2025), et le Règlement sur l'IA (Artificial Intelligence Act ou AI Act, entré en application progressivement depuis le 2 février 2025).

L'un des objectifs de cette stratégie est de bâtir des espaces communs de données qui peuvent se définir comme des environnements dont la fonction est de soutenir le partage des données au sein d'un secteur en apportant des réponses adaptées à ses contraintes et ses spécificités de nature juridique, technique et structurelle. L'UE prévoit ainsi la création de 14 espaces communs de données dans de nombreux domaines stratégiques ou d'intérêt public, tels la finance, les transports, l'agriculture, l'énergie ou encore l'environnement. À ce jour, l'espace commun de données le plus ambitieux est celui dédié au partage des données de santé, étant donné qu'il soulève des enjeux industriels mondiaux majeurs au sein desquels l'UE possède de nombreux atouts à faire valoir. Il est aussi le plus abouti car il a bénéficié d'un soutien politique extrêmement fort à la suite de la pandémie mondiale du Covid-19 de 2020. Il concerne le partage des données entre l'ensemble des acteurs européens : individus, administrations, entreprises, instituts de recherche, etc.

L'EEDS s'inspire également de la "Plateforme des données de santé" (en anglais "Health Data Hub") inaugurée en France à partir de 2019 pour favoriser l'exploitation des données du Système national des données de santé, à savoir les données à caractère personnel recueillies de manière obligatoire et utilisées par les services et les établissements publics de l'État, les collectivités territoriales, les professionnels de santé, et les organismes de sécurité sociale. Un consortium mené par la Plateforme des données de santé a d'ailleurs obtenu des financements européens pour préparer l'exécution de l'EEDS et la création d'un espace européen de l'IA en santé.

Pour construire l'EEDS, la Commission européenne a adopté le 3 mai 2022 une proposition de règlement qui a été négociée jusqu'à l'obtention d'un accord interinstitutionnel le 14 mars 2024 entre les co-législateurs européens (Conseil de l'Union européenne et Parlement européen). 

Le règlement (UE) n° 2025/327 sur l'espace européen des données de santé (European Health Data Space ou EHDS) a été adopté le 11 février 2025 et publié au Journal officiel de l'UE le 5 mars 2025. Il entrera en application directement dans les États membres (c’est-à-dire sans transposition) de manière différée à partir du 26 mars 2027. Des actes d'exécution et délégués doivent également être préparés et adoptés pour préciser sa mise en œuvre.

L'EEDS se compose de trois éléments principaux : des infrastructures, des règles et des structures de gouvernance européenne et nationale. 

Les règles

L'EEDS instaure, premièrement, des règles adaptées à la circulation des données de santé à travers deux régimes qu'il convient de distinguer strictement car ils s'appliquent à des données partiellement différentes tout en s'adressant à des personnes distinctes : il s'agit des régimes de l'utilisation "primaire" et "secondaire" des données de santé.

Le régime de l'utilisation primaire des données de santé assure leur partage pour contribuer à la continuité des soins des individus dans l'Union. Il peut s'agir, par exemple, d'un ressortissant français qui se rend en Allemagne et qui doit être hospitalisé durant son séjour à la suite d'un accident. Le personnel hospitalier allemand pourra accéder au dossier médical du patient en France pour personnaliser les soins qu'il lui apporte en tenant compte de ses caractéristiques personnelles (antécédents, allergies, maladies, etc.).

Ce régime s'applique aux seules données à caractère personnel relevant de deux catégories définies par le Règlement général sur la protection des données (RGPD) :  

• les "données concernant la santé" que le RGPD définit comme "les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne" (article 4, § 15 du RGPD)
• les "données génétiques" que le RGPD définit comme "les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question" (article 4, § 13 du RGPD).

Le régime de l'utilisation primaire des données de santé favorise doublement leur partage. Dans un premier temps, il renforce les droits que confère le RGPD aux individus sur les données de santé qui les concerne en garantissant leur accès immédiat, gratuit et dans un format électronique. De même, il reconnaît aux individus la possibilité de partager leurs données de santé avec les destinataires de leur choix ou d'imposer à une personne qui les détient de les transmettre immédiatement et gratuitement à une autre personne. Les États membres sont aussi tenus de mettre en place des services permettant aux individus d'accéder à leurs données de santé, de les compléter, ou de demander leur rectification. Dans un second temps, l'EEDS favorise l'accès des professionnels de santé aux données de leurs patients à travers, notamment, l'utilisation de systèmes de dossiers médicaux électroniques, à l'image du dossier médical partagé en France.

Le régime de l'utilisation secondaire des données de santé promeut, quant à lui, leur partage pour des finalités d'intérêt général (recherche scientifique, statistiques publiques, activités réglementaires, innovation, développement technologique, etc.) tout en excluant certaines utilisations (activités de publicité ou de marketing, activités contraires aux dispositions éthiques fixées dans le droit national, etc.). Il s'adresse à un large spectre de données dans la mesure où il couvre autant les données à caractère personnel et non personnel, que les données protégées par des droits de propriété intellectuelle ou du secret des affaires. De manière plus précise, il s'applique aux données détenues par toute personne, physique ou morale, publique ou privée, du secteur de la santé et des soins, de même qu'aux données détenues par une personne qui effectue des recherches dans ces secteurs. Il en va principalement des données de santé détenues par les administrations (établissements publics de santé, ministères, etc.), les professionnels de santé (médecins, chirurgiens-dentistes, etc.), les entreprises (laboratoires pharmaceutiques, mutuelles complémentaires, etc.), la société civile (fédérations de patients, ordres professionnels, etc.) ou les centres de recherche publics ou privés. 

En outre, le régime de l'utilisation secondaire des données de santé s'applique uniquement à certaines catégories de données, telles les données génétiques, génomiques et épigénomiques (la nature des mécanismes modifiant de manière réversible, transmissible et adaptative l'expression des gènes), les données administratives relatives à la santé, ou bien les données sur les facteurs sociaux, économiques et environnementaux impactant la santé.

Les infrastructures

L'EEDS met en place, deuxièmement, deux infrastructures européennes pour soutenir le partage des données de santé au sein des États membres ou, éventuellement, entre l'UE et les États tiers.

La première infrastructure, désignée MaSanté@UE, porte sur l'utilisation primaire des données de santé et existe d'ores et déjà car elle est prévue par la directive (UE) n° 2011/24 sur les soins de santé transfrontaliers. Cependant, seule une poignée d'États membres a rejoint cette infrastructure et l'EEDS se contente d'imposer à tous les États membres d'y adhérer. La seconde infrastructure se nomme "DonnéesDeSanté@UE" et concerne l'utilisation secondaire des données de santé. Elle est nouvelle et les États membres ont également l'obligation de la rejoindre.

Trois précisions doivent être apportées sur ces infrastructures. 

Il s'agit, tout d'abord, d'infrastructures décentralisées, ce qui signifie qu'elles assurent l'accès transfrontalier aux données sans les héberger, à la différence de la "Plateforme des données de santé" en France. En conséquence, les données de santé restent hébergées dans chaque État membre. 

Ces infrastructures européennes s'appuient, ensuite, sur des réseaux constitués par des points de contact nationaux, à savoir des portails organisationnels et techniques permettant de se connecter à l'infrastructure européenne. Chaque État membre est tenu de désigner un point de contact national pour chacune de ces deux infrastructures européennes. Au final, les participants autorisés à accéder à ces plateformes relèvent de deux catégories. Il peut s'agir, d'un côté, des points de contact de chaque État membre, lesquels relient eux-mêmes d'autres prestataires nationaux de soins de santé (médecins, hôpitaux, cliniques, pharmacies, etc.) et, de l'autre, les institutions, organes et organismes de l'Union qui participent à la recherche, à l'analyse et à la politique de santé. D'autres personnes de pays tiers ou d'organisations internationales peuvent participer à ces infrastructures européennes, le cas échéant. 

Enfin, alors que les États membres sont responsables des points de contact nationaux connectés aux infrastructures européennes, la Commission européenne est responsable du fonctionnement technique des infrastructures.

Les structures de gouvernance

L'EEDS crée des structures européennes et nationales de gouvernance. Au niveau national, les États membres sont tenus de désigner deux entités de gouvernance distinctes : une "autorité de santé numérique" (pour le régime de l'utilisation primaire des données de santé) et un "organisme responsable de l'accès aux données de santé" (pour le régime de l'utilisation secondaire des données de santé). Ces deux entités ont des fonctions similaires qui consistent à contrôler et accompagner la mise en œuvre des règles sur l'EEDS (vérifier le respect des règles relevant de leur compétence, informer les parties prenantes et les personnes intéressées, assurer une coopération avec la Commission européenne et les autres autorités pertinentes, etc.).

Au niveau européen, un "Comité de l'espace européen des données de santé" est créé, lequel est présidé par la Commission européenne et regroupe les représentants des États membres, des autorités de régulation (Comité européen de la protection des données, Contrôleur européen de la protection des données, etc.), des experts, des observateurs, des parties prenantes et, en cas de besoin, des tiers concernés. Le rôle du Comité de l'espace européen des données de santé est de superviser les actions des entités de gouvernance nationales, tout en simplifiant leur coopération et l'échange d'informations entre les États membres (coordination des pratiques nationales, diffusion des informations auprès du public, etc.). 

Les données de santé sont, la plupart du temps, des données à caractère personnel avec la conséquence que leur traitement doit répondre aux exigences du RGPD. Cependant, l'application de ce texte va être adaptée aux finalités d'utilisation des données de santé. Pour l'utilisation primaire des données de santé, les règles du RGPD s'appliquent pleinement et les droits des individus sont même renforcés. Pour l'utilisation secondaire des données de santé, l'EEDS définit un équilibre subtil pour concilier le besoin d'exploiter ces données avec l'impératif de leur protection. 

Pour y parvenir, l'EEDS aménage certaines dispositions du Règlement général sur la protection des données-RGPD (obligation d'information des personnes concernées par le traitement de leurs données de santé, etc.) tout en imposant le recours à certaines technologies de protection des données comme l'anonymisation, la pseudonymisation (remplacer les données directement identifiantes par des données indirectement identifiantes comme des alias). 

Depuis l'adoption du règlement sur l'EEDS une phase de préparation s'est ouverte au niveau européen et dans chaque État membre pour adopter ses mesures de mise en œuvre, désigner ses autorités de régulation, informer les citoyens ou encore former les professionnels au maniement de ces nouveaux outils.