Le Règlement (UE) 2025/327 relatif à l’espace européen des données de santé (EEDS [1]) est l’un des piliers de l’Union européenne de la santé [2], mise en place pour tirer les enseignements de la pandémie de Covid-19.
Cette pandémie avait mis en exergue l’absence de coordination des pays européens pour protéger la santé des citoyens et la nécessité d’obtenir des données de santé respectant les principes « FAIR » : faciles à trouver, accessibles, interopérables et réutilisables [3].
I. La participation obligatoire des Etats membres à MaSanté@EU.
L’EEDS impose aux Etats-membres de participer à MaSanté@EU : une plateforme qui rend interopérable les systèmes de dossiers médicaux électroniques (DME) utilisés par les prestataires de soins de santé [4].
Ils devront, dès 2027, se doter d’un système de DME conforme aux exigences édictées par la Commission, s’ils traitent des données de santé électroniques lors des prestations de soins de santé [5].
MaSanté@EU rend les données des patients accessibles aux professionnels de santé quel que soit l’Etat membre d’affiliation ou de traitement de ce patient [6]. Cette plateforme permet également aux pharmacies de recevoir des prescriptions électroniques établies dans d’autres Etats membres et auront le droit de les délivrer [7].
Il faut relever que de nombreux pays se sont portés volontaires pour intégrer MaSanté@EU bien avant le Règlement EEDS.
Dès 2021, la France a rendu la plateforme MaSanté@EU accessible aux professionnels de santé, via le portail Sesali. Ce dernier permet aux professionnels de santé d’accéder aux dossiers médicaux de patients européens dont l’Etat d’affiliation avait également intégré MaSanté@EU. On compte à présent, parmi ces pays la Finlande, l’Estonie, la Tchéquie, le Luxembourg, le Portugal, la Croatie, Malte, Chypre, la Grèce, la Belgique, la Suède, l’Autriche, l’Italie, la Hongrie, l’Irlande, la Pologne, l’Allemagne, l’Espagne, la Slovénie, la Lituanie, la Slovaquie, la Lettonie, la Bulgarie et les Pays-Bas.
Au choix des Etats-membres, des services supplémentaires pourront être mis en place à partir des systèmes de DME tels que des services de télémédecine, de santé mobile, d’échange ou de vérification de carnets de vaccination, etc [8].
A partir du 26 mars 2029, les systèmes de DME comporteront obligatoirement les données de santé dites « prioritaires ». Il s’agit des résumés des dossiers de patients, des prescriptions électroniques et des dispensations électroniques. A partir de 2031 cette obligation s’étendra à d’autres types de données tels que les examens d’imagerie médicale et les rapports de sortie d’hôpital [9].
Par ailleurs, il faut noter que la France a lancé Mon Espace Santé, application permettant déjà aux patients français de centraliser leurs documents de santé et aux professionnels d’accéder à ces documents. Reste que Mon Espace Santé devra être conforme aux exigences du règlement EEDS et aux futures exigences de la Commission pour garantir l’interopérabilité des systèmes de DME [10].
En effet, pour uniformiser la qualité des données à l’échelle de l’UE, et favoriser leur compréhension dans l’ensemble des Etats-membres, la Commission fixera des
« exigences en matière de qualité des données », comprenant, entre autres, une sémantique prédéfinie, au plus tard le 26 mars 2027 [11].
Relevons qu’en 2022, le Comité Permanent des Médecins Européens [12] avait souligné la charge administrative que représenterait un tel mécanisme, augmentant le temps administratif au détriment de la qualité de la relation médecin-patient.
II. La réutilisation des données de santé des patients via DonnéesDeSanté@EU.
L’EEDS a la particularité d’encadrer l’utilisation secondaire (la réutilisation) des données de santé électroniques, fondée sur des données pseudonymisées ou anonymisées afin d’empêcher l’identification des patients [13].
Un catalogue des ensembles de données de santé disponibles dans chaque Etat-membre sera rendu public mais leur accès est encadré.
a) Un accès aux données de santé soumis à autorisation.
Les « organismes responsables de l’accès aux données de santé » seront chargés d’étudier lesdites demandes d’accès.
Celles-ci ne seront autorisées que pour l’une des finalités prévues par le texte, parmi lesquelles on compte :
- l’élaboration de politiques par des organismes du secteur public,
- la production de statistiques officielles,
- les activités d’enseignement dans les secteurs de la santé,
- l’optimisation des traitements et la fourniture des soins de santé etc [14].
Les demandeurs, qui peuvent être établies dans un pays tiers [15], devront également respecter les principes de minimisation des données, de limitation des finalités [16] et de sécurité [17].
b) L’interdiction de certaines utilisations des données de santé.
Dans ce contexte, certaines utilisations des données de santé électroniques sont prohibées et notamment :
- celles visant à prendre des décisions concernant une personne sur la base de ses données, par exemple pour le bénéfice de contrat d’assurance ou de crédit,
- les activités de publicité et de marketing,
- la mise au point de produits et services susceptibles de porter préjudice à la société au sens large (boissons alcoolisées, produits du tabac ou tout produit conçus pour créer une dépendance).
Le texte interdit également le fait d’identifier ou de tenter de réidentifier les personnes physiques auxquelles se rapportent les données obtenues [18]. Les résultats de l’utilisation des données de santé devront également être anonymisés.
c) Le rôle majeur des détenteurs de données de santé.
Après la délivrance d’une autorisation d’accès aux données de santé, les « détenteurs de données de santé » devront mettre à disposition les données qu’ils détiennent, éventuellement contre redevance [19].
L’expression « détenteurs de données de santé » désigne les professionnels de santé, les chercheurs dans les secteurs des soins de santé ou des soins, les maisons de repos, les centres de jour, les entreprises ayant des activités commerciales et technologiques liées aux soins, les applications [20] de bien-être [21].
Les données devant être mises à disposition sont celles provenant des systèmes de DME mais aussi d’autres données telles que des données administratives, celles provenant d’enquêtes dans le domaine de la santé ou de biobanques etc [22].
Les personnes physiques et les micro-entreprises ne sont en revanche pas concernées par ces obligations [23].
III. Le renforcement des droits des patients sur leurs données de santé.
L’EEDS complète les droits des patients sur leurs données de santé dans le cadre de leur utilisation primaire [24].
Les droits des patients étaient, certes, fixés par le Règlement général sur la protection des données [25], mais le Règlement EEDS va plus loin, en garantissant un accès immédiat et gratuit aux catégories prioritaires de données de santé électroniques enregistrées dans un système de DME [26], sauf limitation prévue par l’Etat membre.
Des services d’accès aux données de santé électroniques doivent être créés dans chaque pays. Par l’intermédiaire de ce service d’accès, les personnes concernées pourront :
- insérer des informations dans leur DME, mais non modifier celles qui ont été insérées par les professionnels de santé,
- demander la rectification de leurs données de santé électroniques à caractère personnel en ligne,
- exercer leur droit à la portabilité des données, y compris lorsqu’un prestataire de soins de santé est situé dans un autre Etat membre,
- limiter l’accès à leurs données,
- obtenir des informations sur l’accès à leurs données de santé électroniques à caractère personnel [27].
Les patients auront le droit de refuser l’accès à leurs données de santé enregistrées dans un système de DME, sauf si ces données sont nécessaires à la protection de leurs intérêts vitaux ou celles d’une autre personne [28].
Par ailleurs, ils disposent aussi du droit d’introduire une réclamation devant une « Autorité de santé numérique », qui dans chaque Etat membre sera responsable de l’exécution de la gouvernance sur l’utilisation primaire [29].
Enfin, les patients pourront refuser le traitement de leurs données à des fins d’utilisation secondaire, à tout moment et sans motif [30].
IV. Entrée en application et sanctions prévues par le Règlement EEDS.
L’EEDS est entré en vigueur le 26 mars 2025. Il entrera progressivement en application entre le 26 mars 2027 et le 26 mars 2035, compte tenu de la nécessité d’une préparation tant par les professionnels de santé que par les autres détenteurs de données et par les Etats membres de l’UE.
A compter de ces dates, en cas de violation du règlement, le détenteur ou l’utilisateur de données de santé risque une amende qui ne peut excéder 20 000 000 d’euros ou 4% de son chiffre d’affaires s’il s’agit d’une entreprise.
C’est l’organisme responsable de l’accès aux données de santé qui sera compétente pour prononcer cette sanction.
En définitive, l’espace européen des données de santé crée de nouvelles infrastructures techniques pour permettre une libre circulation des données de santé tout en garantissant une transparence de fonctionnement aux patients.
