Le mois de mars 2025 marque un tournant pour les données de santé des patients. Tandis que la CNIL ouvre une consultation publique sur la gestion du dossier patient informatisé, l’Union européenne publie le règlement EHDS, instaurant un cadre commun pour l’usage sécurisé des données de santé à l’échelle du continent.
La protection des données des patients se situe au carrefour de plusieurs impératifs majeurs : leur caractère sensible, les exigences croissantes en matière de sécurité et le potentiel d’innovation qu’elles représentent pour les systèmes de soins. Face à ces enjeux, les législateurs et régulateurs s’efforcent de poser un cadre clair et protecteur pour les patients et professionnels concernés.
Dans un contexte de cybermenaces croissantes pour les établissements de santé, ces initiatives prennent un sens tout particulier. En effet, la CNIL a constaté une explosion des notifications de violations de données provenant des établissements de santé, passant de 16 en 2018 à 196 notifications en 2022. Ce chiffre, bien que lié à une augmentation du nombre des notifications depuis quelques années, témoigne de la vulnérabilité structurelle du secteur de la santé.
La création, la conservation et l’accès aux dossiers médicaux constituent donc un enjeu majeur de souveraineté, de conformité et de confiance, tant à l’échelle nationale qu’européenne.
Comment ces deux initiatives, nationale et européenne, s’articulent-elles ? Quels sont les impacts pour les professionnels et les établissements de santé ? Cet article propose des éléments d’analyse.
La CNIL a publié le projet de Recommandation Consacrée A La Conformité Et Sécurité Du Dossier Patient Informatisé (DPI). Dans une démarche de transparence et de collaboration, elle a choisi de soumettre ce projet à consultation publique dans un premier temps, invitant les professionnels du secteur à faire part de leurs observations jusqu’au 26 mai 2025.
Cette consultation s’inscrit dans un contexte de vigilance accrue. En effet, entre 2020 et 2023, la CNIL a mené 13 contrôles dans des établissements de santé, révélant des failles importantes en matière de sécurité des données et d’atteintes au secret médical, tel que l’accès par des professionnels à des dossiers patient sans habilitation. Ces constats ont conduit la CNIL à mettre en demeure les établissements concernés. En février 2024, l’autorité a d’ailleurs rappelé publiquement les exigences en matière de confidentialité et d’accès aux dossiers médicaux informatisés.
Ce projet de Recommandation vise à clarifier et consolider les règles relatives à la conservation, l’accessibilité et la sécurisation des dossiers médicaux. Elle regroupera, en un seul document, les exigences issues du Code de la santé publique, du RGPD et de la Loi Informatique et Libertés, afin d’offrir aux professionnels une lecture simplifiée et opérationnelle du cadre applicable.
Le document, structuré en 16 fiches pratiques sur 47 pages, aborde l’ensemble des dimensions du dossier patient informatisé : typologie des données concernées, relations avec les sous-traitants et les éditeurs de logiciels, mesures de sécurité, durées de conservation, modalités de transmission, et obligations d’information du patient. Ces fiches s’appuient sur des exemples concrets issus des contrôles menés par la CNIL.
Adopté le 11 février 2025 et publié en mars de la même année, le Règlement(UE) 2025/327, dit règlement EHDS (European Health Data Space), constitue un pilier majeur de la transformation numérique du secteur de la santé en Europe. Il vise un double objectif : faciliter l’accès aux données de santé tout en renforçant la souveraineté numérique européenne.
Ce texte ambitieux s’articule autour de trois axes principaux :
● Un accès européen aux données de santé pour les soins (usage primaire) : Le Règlement EHDS prévoit que chaque patient européen pourra accéder, en ligne, à son dossier médical électronique (DME), le stocker, le consulter et le partager en toute sécurité, quel que soit l’État membre où il se situe. Cet accès et cette interopérabilité visent à garantir la continuité des soins, y compris encas de déplacement.
● Une harmonisation du cadre applicable aux fabricants de DME : Les fabricants de DME seront désormais soumis à des obligations strictes de documentation, de certification, et de conformité à des normes techniques européennes communes, notamment en matière de sécurité et d’interopérabilité. La mise sur le marché d’un DME sera conditionnée à l’obtention du marquage CE, garantissant sa conformité réglementaire. À défaut, des sanctions pourront être prononcées, notamment si le système présente un risque pour la sécurité des personnes ou encas d'absence de documentation technique.
● Un encadrement de l’usage secondaire des données de santé : Le Règlement EHDS consacre la notion d’« usage secondaire » des données de santé, à savoir leur exploitation à des fins autres que le soin : recherche, étude, intelligence artificielle, amélioration des politiques de santé publique, etc. Dans ce cadre, les chercheurs pourront notamment accéder à des données anonymisées, via un guichet unique, selon des modalités strictement encadrées.
L’entrée en vigueur du Règlement EHDS sera progressive, à compter du 27 mars 2027, avec certaines dispositions différées jusqu’en 2031, afin de laisser le temps nécessaire à l’adaptation et à la mise en conformité des acteurs concernés.
En décembre 2024, l’Autorité belge de protection des données infligeait une amende de 200 000 euros à un hôpital, à la suite d’une cyberattaque par rançongiciel. Une sanction inédite dans le secteur de la santé, qui rappelle à quel point les données médicales sont devenues des actifs sensibles, exposés et hautement stratégiques. Les établissements de santé sont en première ligne et doivent intégrer les problématiques de cybersécurité et de gestion des accès aux dossiers patients dans leur organisation quotidienne, sous peine de risquer d’importantes sanctions.
Dans ce contexte, la Recommandation de la CNIL et le Règlement EHDS s’inscrivent dans une dynamique convergente :mieux encadrer et sécuriser l’usage des données de santé, au service des patients comme des professionnels.
La CNIL, en rassemblant au sein d’un document unique les principales obligations applicables au dossier patient informatisé, propose un outil structurant, lisible et opérationnel. Il convient de saluer cet effort de clarification qui répond à un besoin concret des établissements et de leurs conseils.
Du côté de l’Union Européenne, l’effort de régulation, bien que salutaire, se heurte à une complexité croissante du cadre juridique applicable , marquée par une prolifération des textes, des risques de contradiction et une hétérogénéité des terminologies. Le simple exemple du dossier patient — désigné comme « dossier patient informatisé » en France et « dossier médical électronique » dans l’Union —illustre cette difficulté. Ce manque d’harmonisation sémantique nuit à la lisibilité d’ensemble et risque de freiner la mise en conformité des acteurs.
Une chose est certaine : le suivi régulier des évolutions législatives et réglementaires devient indispensable.Les établissements de santé devront se tenir informés des adaptations à venir, anticiper les obligations nouvelles et, le cas échéant, ajuster leurs pratiques pour assurer leur conformité à toutes ces évolutions.
Restons attentifs et attentives aux évolutions et futures mises à jour de la Recommandation de la CNIL !
Pour toute question ou accompagnement, n’hésitez pas à nous solliciter en écrivant à cbeaussier@squairlaw.com.
Clémentine Beaussier, avocate associée chez Squair