Règlement EHDS : un renforcement en demi-teinte de la cybersécurité des données de santé
Adopté dans le cadre de la stratégie européenne pour les données lancée en 2020 et établissant un marché unique et souverain des données en Europe, le règlement européen relatif à l'espace européen des données de santé (règlement EHDS) est entré en vigueur le 26 mars 2025. Premier espace de données commun de l'Union européenne consacré à un domaine spécifique et pilier européen des données de santé, il mutualise les données de tous les patients du continent à travers un cadre commun qui favorise leur utilisation et leur échange.
Ces données feront l'objet d'un usage dit "primaire" permettant aux citoyens de consulter en ligne, de stocker et de partager leurs dossiers médicaux électroniques dans toute l'UE. L'usage dit "secondaire" de ces données permettra aux secteurs de la recherche et de l'innovation d'y accéder "pour des raisons d'intérêt commun" en faveur de la santé précise le règlement. Le texte interdit certaines utilisations secondaires comme celles relatives à l'évaluation des demandes d'assurance ou à la publicité.
Cybersécurité des dossiers médicaux électroniques
Le règlement EHDS harmonise et renforce les règles de sécurité régissant les systèmes de dossiers médicaux électroniques (DME). Permettant les usages primaires et secondaires des données de santé, le texte les définit comme étant "tout appareil ou logiciel destiné par son fabricant à être utilisé pour le stockage, l'intermédiation, l'importation, l'exportation, la conversion, l'édition ou la consultation des dossiers médicaux électroniques".
Le règlement exige des fabricants de ces systèmes qu'ils se conforment aux "exigences essentielles" du cyber resilience act (CRA) entré en vigueur le 10 décembre 2024 et assurant un niveau élevé de cybersécurité des produits comportant des éléments numériques. Pour cela, ils doivent veiller à ce que "des procédures soient en place pour garantir que la conception, le développement et le déploiement des composants logiciels harmonisés" de leur système soient conformes au CRA. Ils doivent prouver cette conformité au moyen d'une documentation technique et d'un marquage CE sous peine de sanction.
Devant être élaborée avant même la mise sur le marché du système DME, cette documentation doit contenir une évaluation des risques de cybersécurité du produit. De plus, elle doit contenir les résultats des tests réguliers de la conformité du DME au règlement. Aussi, l'interopérabilité du système de DME étant exigée par le texte, elle doit démontrer la manière dont celui-ci interagit avec du matériel informatique et des logiciels étrangers. Les contrôles de ces obligations seront effectués par des autorités de santé numérique que chaque Etat membre devra désigner au plus tard en 2027.
Stockage des données en dehors de l'UE
Cependant, le règlement laisse la possibilité aux Etats membres de stocker les données de santé de leurs citoyens en dehors de l'UE, précise au JDN Cyril Aufrechter, membre associé de l'Institut droit et santé de l'université Paris Cité. Or cela peut compromettre gravement la protection des données de santé, estime Paul-Olivier Gibert, président de l'Association française des correspondants à la protection des données à caractère personnel : "Même si le RGPD donne une possibilité de droit de suite sur les données, les degrés de protection ne seront pas les mêmes et cela créera une possibilité pour des acteurs non soumis au droit de l'UE d'y accéder".
En 2022, le Comité européen de la protection des données et le contrôleur européen de la protection des données avaient alerté le législateur européen. Dans un avis sur le règlement EHDS qui était en préparation, ils avaient estimé que celui-ci devrait contenir "une obligation de stocker ces données dans l'UE". En 2023, la Commission nationale de l'informatique et des libertés (Cnil) leur avait emboîté le pas en expliquant, dans un rapport d'information déposé au Sénat, que "le volume, l'étendue et la nature sensible des données de santé concernées (près de 500 millions d'habitants de l'UE) justifient d'instaurer dans le règlement une obligation de stockage de celles-ci sur le territoire de l'Union, par un prestataire soumis au seul droit européen, afin d'en assurer un contrôle pleinement efficace."
Laissant aux Etats membres le choix de la localisation de stockage de ces données, il est très probable que la France décide de suivre l'avis de la Cnil. Et pour cause, elle impose aux hébergeurs de données de santé à caractère personnel d'obtenir la certification hébergeur de données de santé (HDS). Or la dernière version de cette certification, publiée en 2024, oblige ces hébergeurs à stocker leurs données uniquement au sein de l'Espace économique européen.
Toutefois, précise Cyril Aufrechter, il y a "de fortes chances pour qu'il y ait au moins un ou deux Etats membres" qui autorisent le stockage des données en dehors de l'UE. Et comme le règlement mutualise les données de santé au sein de l'UE, des données de patients français pourraient "passer par un autre pays et être hébergées hors d'Europe", selon Paul-Olivier Gibert.
Les prochaines étapes
Entré en vigueur le 26 mars 2025, la Commission adoptera jusqu'en mars 2027 les principaux actes d'exécution du règlement qui permettront une mise en œuvre progressive du texte. Les dispositions principales du règlement entreront en application dans tous les Etats membres en mars 2029. Les autres dispositions s'appliqueront au plus tard en 2031.