Espace européen des données de santé : vers une révolution sectorielle ?

Les objectifs du texte

L’espace européen de données de santé est le premier espace sectoriel approuvé en Europe, visant à garantir la sécurité et la libre circulation des données de santé dans l’Union européenne. L’EEDS (ou EHDS en anglais pour “European Health Data Space”) est composé de deux piliers, avec d’une part, l’amélioration de l’accès et du contrôle des individus à leurs données de santé, tant au niveau national qu’européen, et d’autre part, la réutilisation des données à des fins de recherche, d’innovation, de réglementation et de politique publique. 

Le calendrier

Le règlement relatif à l’espace européen des données de santé (EEDS ou EHDS) a été publié le 5 mars 2025 au Journal officiel de l’Union européenne (UE). “Ce texte, très attendu en Europe et en France, permettra de donner une impulsion européenne à la politique ambitieuse du numérique en santé que l’on connaît en France depuis quelques années” déclarait le ministère de la Santé le 25 avril 2024, au lendemain de l’adoption du projet par le Parlement européen.

L’EEDS est entré en vigueur le 26 mars 2025 et son entrée en application s’étalera au cours des deux à six prochaines années et nécessitera des adaptations de la réglementation en vigueur en France, en particulier concernant l’usage secondaire des données. Il faut compter “quatre ans pour les articles relatifs à l’utilisation secondaire des données, quatre à six ans pour les articles relatifs à l’utilisation primaire des données de santé et jusqu’à dix ans pour la participation des pays tiers ou des organisations internationales à HealthData@EU [l’infrastructure conçue pour l’utilisation secondaire des données, ndlr]” a indiqué Me Florence Eon-Jaguin, avocate au sein du Cabinet WITHLAW et experte en droit de la santé, à l’occasion d’un webinar co-animé par l’APSSIS et l’AFCDP.

L’étape la plus importante aura lieu le 26 mars 2029, lorsque les échanges de données seront opérationnels pour les catégories prioritaires relevant de l’usage primaire, à l’instar des résumés de patients. Dans le même temps, les règles relatives à l’usage secondaire s’appliqueront à la plupart des catégories de données. Les dernières catégories de données seront concernées en 2031. 

Les bénéfices attendus

Le processus législatif a été entamé en mai 2022 par la Commission européenne, qui estimait à 5,5 Mds € les économies réalisables sur 10 ans dans l’Union européenne grâce à l’amélioration de l’accès aux données de santé et à l’échange de ces dernières dans le domaine des soins. 

Fluvia Raffaelli, responsable Unité Santé numérique de la DG Santé de la Commission européenne, a souligné que le règlement tel qu’il se profile allait apporter des bénéfices pour toutes les catégories d’acteurs. “Les citoyens n’auront plus à garder eux-même l’historique de leurs données de santé et pourront retrouver électroniquement en un seul lien [leurs données] en France ou dans un autre pays, pendant les vacances ou à l’occasion d’un voyage d’affaires. Les professionnels pourront bénéficier d’un historique plus complet, ainsi que de la possibilité de partager leurs données avec d’autres confrères [européens]. Les industriels pourront aussi profiter de ce marché à travers la normalisation des datasets et la possibilité de créer un marché unique de plus grande taille” a-t-elle fait part, en avril dernier, lors d’une conférence organisée par la Direction au numérique en santé (DNS), chargée de coordonner l’application de ce texte européen dans l’Hexagone.

L’usage primaire des données de santé

Le chapitre 2 du texte s’attache à l’usage primaire des données de santé en Europe et aux droits des patients. L’EEDS vise à faciliter l’accès des citoyens à leurs données de santé, en instaurant notamment un accès direct et gratuit aux dossiers médicaux électroniques, ainsi qu’un droit d’opposition (la technique de “l’opt-out” a ici été retenue : si la personne ne s’oppose pas à l’utilisation des données, il est considéré qu’elle a donné son accord), de masquage et de rectification des données. Un service de traduction permettra aux médecins ou aux résidents étrangers de consulter les données dans leurs langues maternelles. 

Ces nouvelles règles faciliteront la prise en charge transfrontalière, en permettant aux professionnels de santé d’accéder aux données des patients qu’ils soignent. Treize pays de l’Union européenne, dont la France, se sont déjà connectés à l’infrastructure qui a été mise en place par la Commission européenne (MyHealth@EU) et ont ouvert leurs points de contact nationaux pour mettre en place deux premiers cas d’usage transfrontaliers : le résumé patient (le volet concernant la synthèse médicale) et la e-prescription. Les professionnels de santé français peuvent accéder via le service en ligne Sesali.fr (Service Européen de SAnté en LIgne) au volet de synthèse médicale des patients européens. À noter que les résumés de patients et les services de e-prescription existent déjà dans les deux tiers des Etats membres et sont le plus souvent consultés via un portail en ligne.

Interopérabilité, traçabilité et DPI

Pour anticiper l’ouverture du marché des dossiers patients informatisés, un socle d’exigences communes devra être fixé pour tous les pays européens, regroupées en deux catégories : un modèle d’interopérabilité et un module de traçabilité des accès (qui couvrira la sécurité et la protection des données). Charge aux éditeurs de logiciels de vérifier si leurs outils sont conformes à ces règles. Cette procédure d’auto-certification s’appliquera aux logiciels de DPI, aux dispositifs médicaux ainsi qu’aux modules d’IA connectés à ces DPI. Ces principes ne sont “pas inconnus au bataillon” note Me Florence Eon-Jaguin, qui précise que “le RGPD impose déjà des mesures de traçabilité, ainsi que la PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé)”. 

La DNS assure que Mon espace santé aura un rôle à jouer dans l’application du règlement en France. Concernant l’harmonisation des dossiers patients informatisés, ce chantier est déjà entamé à travers la Vague 2 du Ségur du numérique en santé.

L’usage secondaire des données de santé

Le volet sur l’utilisation secondaire des données de santé (chapitre 4) est une pierre angulaire de l’EEDS. Il garantit un cadre commun en Europe pour la réutilisation des données de santé à des fins de recherche, d’innovation, d’élaboration des politiques et de réglementation, dans un cadre sécurisé. Il précise aussi les modalités de la mise à disposition de ces données de santé dans laquelle un rôle central est accordé aux organismes responsables de l’accès aux données de santé (ORAD) qui doivent être désignés dans chaque État membre.

Les études qui éclairent les décisions réglementaires sont actuellement souvent réalisées dans un petit ensemble des bases de données regroupées dans quelques États membres, ce qui limite la taille de leurs échantillons géographiques et démographiques. “La réutilisation des données de santé offre un potentiel considérable, notamment pour la recherche et le développement, pouvant ainsi contribuer à la création de nouveaux médicaments, de dispositifs médicaux, de produits et de services de soins de santé à des prix abordables et équitables pour les citoyens de l’Union européenne”, souligne Me Florence Eon-Jaguin. D’autres finalités sont interdites, telle que la réutilisation des données de santé à des fins de publicité et de marketing auprès des professionnels de santé. Ces derniers cas d’usage peuvent être “source d’interprétation” pour les DPO, constate l’experte.

Le HDH au centre

Pour la France, la Stratégie nationale pour l’utilisation secondaire des données de santé a été présentée le 30 septembre 2024 par le ministère de la Santé et de l’Accès aux soins. Ce document confirme que la Plateforme des Données de Santé – PDS (nom officiel du Health Data Hub) joue “un rôle central au sein de l’écosystème actuel des données de santé qui fait de lui le candidat pour l’ORAD coordinateur.” Le document rappelle que “la PDS a déjà joué un rôle préfigurateur dans le cadre du projet HealthData@EU, ainsi que son rôle clé de chef de file européen dans les deux actions conjointes de préfiguration TEHDAS [“Towards the European Health Data Space”, ndlr] puis TEHDAS 2”, suggérant ainsi que ses missions doivent être “étendues” afin de “mettre en oeuvre au niveau national les principes de l’EEDS”.

Ce que cela signifie pour les détenteurs de données

Les détenteurs de données de santé devront mettre à disposition les données pour permettre leur réutilisation. Ce système permettra aux chercheurs, entrepreneurs et pouvoirs publics de voir où sont les données et par qui elles sont détenues. À noter qu’en France, le mécanisme d’accès permanent au SNDS sera maintenu.

En échange de la mise à disposition des données anonymisées, le détenteur percevra une redevance prévue dans le règlement EEDS. Cette rémunération compensera les coûts induits pour les détenteurs de données, surtout si les dispositifs requièrent de lourds investissements et de l’expertise. Le document sur la stratégie interministérielle dans l’Hexagone précise que les coûts et les besoins en financement des détenteurs de droits feront l’objet d’une première analyse d’impact avant une analyse financière. En outre, les travaux menés par le Comité stratégique des données de santé sur les entrepôts de données de santé hospitaliers ont conduit à une première estimation de leurs besoins financiers entre 60 et 90 millions d’euros par an pour les CHU. 

Les détenteurs bénéficieront de garanties spécifiques de protection de leurs données couvertes par des droits de propriété intellectuelle et/ou des secrets des affaires. Parallèlement à ces procédures, le règlement accorde la possibilité aux États membres d’introduire une procédure spécifique par laquelle un détenteur de données de santé peut être désigné comme “détenteur de confiance”, ce qui lui donne la possibilité de traiter directement les demandes d’accès qui lui seront transmises.