EEDS : le long chemin vers l’adoption dans le droit français

Le Règlement relatif à l’Espace européen des données de santé (EEDS) est directement applicable en droit français, mais beaucoup d’éléments du texte doivent encore être clarifiés pour s’adapter au cadre législatif national. C’est le rôle de la DNS de coordonner ces travaux d’adaptation avec les parties prenantes de l’écosystème du numérique en santé. Lors de la journée d’échange consacrée à ce sujet, le 30 septembre 2025, les acteurs publics et privés mobilisés ont débattu des principaux risques du texte et des responsabilités des futures entités qui encadreront son application.

Les acteurs face aux risques

Les intervenants des tables rondes ont notamment alerté sur les risques du règlement sur la vie privée des personnes, le modèle économique des industriels et l’organisation du système de soins :

• Nemanja Milenkovic, directeur médical de Cegedim Santé, voit l’absence de standardisation de la donnée comme un frein à l’interopérabilité. “Le FHIR est le standard plébiscité mais il est difficile à intégrer, car cela demande de l’expertise. Or, peu d’ingénieurs sont formés à ces standards d’interopérabilité”, évoque-t-il. Pour seconder son analyse, Julien Bezin, Associate Professor – MCU-PH de l’Université de Bordeaux, a eu l’occasion de mener un cas d’usage sur l’EEDS contenant de l’IA. En tant que chercheur qui manipule la donnée, il observe que l’accès aux données et l’interopérabilité sont les deux défis majeurs. “Nous avons constaté des délais d’accès très long aux données, des complexités réglementaires qui sont en voie d’amélioration avec les travaux de la PDS [autre nom donné au HDH, ndlr], explique-t-il. Il faut que la donnée soit prête à l’emploi pour être utilisée. Ce qu’on a pu constater sur notre use case, c’est que l’interopérabilité est majeure. Un travail d’harmonisation des terminologies est toujours en cours. Ce sont les défis majeurs de la mise à disposition des données. D’un point de vue de notre use case, nous avons aussi rencontré des problèmes d’interopérabilité au niveau des outils dans les différents systèmes décentralisés, puisqu’il fallait traduire les scripts dans des langages différents.”
• Pour Jean-Baptiste Lapeyrie, directeur par intérim de l’Agence du Numérique en Santé (ANS), la sécurité est un enjeu fort. La notion de “bulles sécurisées”, qui émerge dans le cadre du règlement, fait référence aux services à valeur ajoutée rendus possibles par le partage de données sécurisé. “Il n’y aura pas de développement du numérique en santé sans pilier cyber fort” déclare Jean-Baptiste Lapeyrie. “Aujourd’hui, l’EEDS s’articule avec NIS II, qui devrait être prochainement transcrit dans le règlement national. L’ANS se situe dans cette conduite double. Au-delà de l’investissement, nous y parviendrons grâce à une approche collective”, défend-il.
• Francis Mambrini, président de la fédération des éditeurs d’informatique médicale et paramédicale ambulatoire (FEIMA), souligne une “vigilance sur les coûts” pour “ne pas fragiliser le tissu industriel” et rétribuer “à la juste valeur les détenteurs de données”. Les délais sont, selon lui, un facteur à avoir en tête dans la juste valorisation puisque “40% du temps d’un essai clinique est consacré à la recherche de patients”, rappelle-t-il.
• Enfin, l’accès aux données des Européens par des acteurs extra-européens (cf. encadré) est une crainte exprimée par Brice Bottegal, public product strategy manager de Doctolib, dans le cadre de l’usage secondaire des données à des fins de recherche.

De nouveaux rôles à clarifier

De nouvelles catégories d’acteurs vont apparaître. Il ressort pour l’heure des interrogations sur les rôles et les attentes des uns et des autres.

• Les organismes responsables de l’accès aux données (ORAD), ou en anglais “health data access body” (HDAB), seront chargés de délivrer les autorisations d’accès aux données pour une utilisation secondaire, et de mettre ces données à disposition des utilisateurs de manière sécurisée. Emmanuel Bacry, chief scientific officer du HDH, constate que “les missions de l’ORAD étaient aujourd’hui surtout assurées par la CNIL et la Plateforme des données de santé (PDS)”. La PDS est impliquée à date dans plusieurs projets européens, dont un pilote EHDS pour les usages secondaires et la mise en place d’un standard de catalogue de métadonnées, et un autre projet (SHAIPED) visant à comprendre l’articulation entre l’EEDS et l’AI Act. Sur la question des autorisations d’accès, “la CNIL voudrait capitaliser sur les méthodes de référence existantes et réserver le régime d’autorisation aux recherches les plus sensibles”, fait remarquer Marie Zins, commissaire en charge des données de santé à la CNIL. 
• Les détenteurs de données constituent de nouveaux rôles au sein du règlement européen. Selon Vincent Vuiblet, professeur des universités et praticien hospitalier du CHU de Reims, “les EDS hospitaliers jouent un rôle dans l’accès aux données et l’interaction avec l’ORAD”. Il insiste sur la qualité des données, qui doit être “primordiale”, devant le volume. “Face à la multiplicité des EDS, les CHU souhaitent créer un espace de données fédéré, qui garantira un unique point d’entrée”pour accéder aux EDS portés par les 32 CHU” présente Vincent Vuiblet. “Cet espace de données doit être un relais indispensable à l’ORAD. Dans ses phases suivantes, ce projet doit pouvoir aussi agréger d’autres acteurs, notamment Unicancer” ajoute-t-il.
• Les entités d’intermédiation de la donnée (EID) sont des acteurs qui “aident les détenteurs de données à préparer la donnée pour les partager”, explique Barbara Bensoussan Sellam, directrice juridique de Lifen. Une entreprise comme Lifen peut tomber dans cette catégorie, même si les EID n’englobent pas l’ensemble de ses activités. “Nous essayons de trouver notre place, explique Barbara Bensoussan Sellam. Les EID sont des entités qui aident les détenteurs de données à préparer la donnée qu’ils détiennent pour la mettre à disposition des demandeurs. C’est difficile de trouver notre place, car nous ne traitons pas uniquement de l’anonymisation et pseudonymisation de la donnée. Nous faisons également de la structuration des données, un traitement qui va au-delà de la préparation. Le modèle économique qui touche au travail de préparation à la donnée sera encadré par les systèmes de redevance. Mais tous les traitements qui vont au-delà de cette mise à disposition pourront être soumis à des contrats de gré à gré. Il y a un besoin de clarification du texte.”