Utilisation secondaire des données de santé au titre de l’EHDS, quelles conditions d'accès ?
Skip to main content
Demande de renseignements sur le site web : France (FR)
Insight

Utilisation secondaire des données de santé au titre de l’EHDS, quelles conditions d'accès ?

Marguerite Brac de La Perrière
17/10/2025
Léa Rogerie
 
Digital illustration of floating molecular structures with interconnected spheres and lines on a gradient background transitioning from purple to blue. The image represents molecular or atomic models, commonly used in scientific and chemical contexts.

Locations

France

Le Règlement relatif à l’espace européen des données de santé [1] (ci-après “EHDS”) s'inscrit dans la "Stratégie européenne pour les données" présentée par la Commission le 19 février 2020 et poursuit les objectifs fixés par le Règlement sur la gouvernance européenne des données [2] (ci-après "DGA") dans le cadre d'une approche sectorielle appliquée au domaine de la santé.
L'EHDS, publié le 5 mars 2025, est entré en vigueur le 25 mars 2025. Son entrée en application débutera à compter du 26 mars 2027 et vise à améliorer "l’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et la maîtrise de ces données [utilisation primaire des données], tout en permettant la réutilisation de certaines données à des fins d’intérêt général [utilisation secondaire des données]".
En matière de santé, l'Union Européenne "prend des mesures conformément au principe de subsidiarité" selon lequel l'Union intervient seulement si les objectifs de l'action envisagée ne peuvent être atteints de manière suffisante par les États membres. Ainsi, l’EHDS laisse des marges de manœuvre aux Etats Membres pour sa mise en œuvre dans les limites que le texte fixe. En France, la Délégation du Numérique en Santé ("DNS") a notamment conduit une phase de concertation publique au printemps 2025 dans la perspective de l'adaptation nécessaire du cadre législatif français.
En mai 2024, l’action conjointe TEHDAS2 a été lancée, portée par les pays européens, en vue d'établir des lignes directrices à l’attention de la Commission européenne pour préparer les actes d'exécution, et des États membres pour faciliter l'adaptation par chacun de leur droit national.

Mécanisme commun d'accès aux données de santé à des fins d'utilisation secondaire

L'utilisation secondaire est définie comme "le traitement de données de santé électroniques [pour des finalités limitativement autorisées - dont la recherche et l'innovation -], autres que les finalités initiales pour lesquelles ces données ont été collectées ou produites".

L'EHDS établit un mécanisme commun d'accès aux données de santé électroniques à des fins d'utilisation secondaire concernant aussi bien les données de santé électroniques à caractère personnel, qu'à caractère non personnel, et créant une obligation de mise à disposition des données à la charge des "Détenteurs" de données de santé. Les Détenteurs seront notamment les prestataires et chercheurs dans les secteurs des soins de santé ou des soins, et les acteurs qui développent des produits ou des services destinés à ce secteur.

En vertu de ce mécanisme, une personne physique ou morale (futur "Utilisateur") peut présenter à un organisme responsable de l'accès (ci-après "ORAD") une demande (1) d'accès à des données de santé incluant des données personnelles ou (2) de données dans un format statistique anonymisé :

  1. La demande d'accès aux données de santé nécessite la délivrance d'une "autorisation de traitement de données" par l'ORAD.
    L’ORAD vérifie notamment que les finalités de réutilisation correspondent à celles autorisées par l’EHDS et que le traitement repose sur une base légale conforme au "RGPD". L'ORAD vérifie qu'il existe une justification suffisante de ce que la finalité ne peut être réalisée à l’aide de données anonymisées.  
  2. Une demande de données de santé pour les finalités autorisées dans le but d’obtenir une réponse uniquement dans un format statistique anonymisé que l’ORAD est chargé d’évaluer.

Conformément à une autorisation de traitement de données (1) ou à une demande de données de santé approuvée (2), l’EHDS crée, à la charge des Détenteurs, une obligation de mise à disposition des données à l’ORAD.

Ce mécanisme d'accès combine les délais applicables à l'ORAD et aux Détenteurs pour mettre en œuvre leurs obligations respectives, portant à 8 ou 9 mois minimum la durée de la procédure.

Afin d'assurer l'articulation avec les principes du RGPD, si la mise à disposition concerne des données à caractère personnel de santé, l'EHDS crée l'obligation légale, au sens de l'Art. 6.1.c) du RGPD et fonde l'exception de traitement conformément à l'Art. 9.i) [intérêt public dans le domaine de la santé] et 9.2.j) [recherche scientifique], pour le Détenteur, de mettre à disposition les données.

Pour la mise en œuvre de l’EHDS, la France devra désigner un ou plusieurs ORAD, soit des organismes publics existants, soit des entités créées à cet effet. Les ORAD pourront percevoir des redevances pour la mise à disposition des données de santé à l’utilisateur à des fins d’utilisation secondaire. Ces redevances doivent être proportionnelles au coût de la mise à disposition et ne doivent pas restreindre la concurrence et peuvent notamment inclure "une compensation pour les coûts exposés par le détenteur de données de santé pour la compilation et la préparation des données de santé électroniques".

Procédure simplifiée d'accès aux données via les Détenteurs de données de santé de confiance

Les Etats membres ont une marge de manœuvre pour établir une procédure de désignation de Détenteurs de confiance pour lesquels la "délivrance d’une autorisation de traitement de données peut être mise en œuvre de manière simplifiée, afin d’alléger la charge administrative".
Seuls pourront être désignés comme tels, les Détenteurs qui remplissent des conditions strictement énumérées par l'EHDS, incluant notamment le fait de pouvoir donner accès aux données de santé via "un environnement de traitement sécurisé", et disposer de "l'expertise nécessaire pour évaluer les demandes".

Bien que la désignation de Détenteurs de confiance accélère la procédure d'accès, l'ORAD reste responsable de la délivrance de l’autorisation finale de traitement de données. Il n'est pas lié par la proposition du Détenteur de confiance.

Les fiches présentées par la DNS prévoient de déployer en France ce mécanisme d'accès simplifié. L'Etat membre n'a de marge de manœuvre que sur la procédure de désignation des Détenteurs de confiance, et non sur la procédure simplifiée d'accès.

Rôle des entités d'intermédiation de données de santé dans le mécanisme d'accès

L’EHDS crée également la notion d’entité d’intermédiation de données de santé (ou "EID"), à savoir des "personnes morales capables de traiter, de mettre à disposition, d’enregistrer et d’échanger des données de santé électroniques, fournies par les détenteurs de données, à des fins d’utilisation secondaire, et de fournir ou limiter l’accès à ces données."
L'EHDS permet aux Etats membres, dans leur droit national, d’exiger que des EID de santé "exécutent les obligations de certaines catégories de détenteurs de données de santé". La France envisage d'user de cette marge de manœuvre, pour toutes les catégories de Détenteurs dans un objectif d'efficience.

Toutefois, les entités d’intermédiation de données de santé ne peuvent exécuter les obligations des Détenteurs de confiance [3], aussi la France devrait prévoir qu'ils puissent les assister pour ce faire, voire leur permettre d'accéder à désignation grâce aux prestations qu'ils fournissent.

Préservation des arrangements contractuels ou autres mécanismes existants

Le mécanisme commun d'accès aux données de santé emporte des délais très contraignants d'accès aux données de santé.
Dans ce contexte, il est heureux que l'EHDS prévoit explicitement que ce mécanisme commun d'accès aux données de santé à des fins d'utilisation secondaire s'applique "sans entraver ou remplacer les arrangements contractuels ou autres mécanismes existants".

Ainsi, et de manière alternative au recours au mécanisme commun d'accès aux données de santé créé par l'EHDS, les Détenteurs ou les EID pourront contractualiser directement avec les utilisateurs pour mettre les données de santé à disposition, dans les délais qu'ils conviennent, aux conditions qu'ils définissent.
A cet égard, l'EHDS détermine la qualification des acteurs en vertu du RGPD uniquement s'agissant du mécanisme d'accès aux données qu'il crée, mais ne préjuge pas des qualifications des acteurs dans le cadre d'un partage de données de santé de gré à gré.

Ainsi, le mécanisme commun d'accès créé par l'EHDS offre un nouveau cadre pour faciliter la réutilisation des données, tout en préservant les relations directes entre les acteurs, afin favoriser la recherche et l'innovation, afin selon le projet de bénéficier du mécanisme le plus en adéquation avec les besoins et le calendrier des Utilisateurs.

[1] Règlement (UE) 2025/327 du Parlement européen et du Conseil du 11 février 2025 relatif à l’espace européen des données de santé ("EHDS")

[2] Règlement (UE) 2022/868 portant sur la gouvernance des données du 30 mai 2022

[3] EHDS, cons. 59.

Cet article a aussi été publié sur le site dsih.fr

Domaines d'expertise

Santé Numérique / E-santé