Nouveau règlement EEDS sur la réutilisation des données de santé : comment le système français va-t-il évoluer, et qui sera le nouvel « ORAD » ?

Le Règlement européen sur l'Espace européen des données de santé (EEDS) a été publié au journal officiel de l’Union européenne (UE) le 5 mars 2025 et est entré en vigueur le 25 mars 2025.

Le second volet de ce règlement consacré à l’utilisation « secondaire » des données va avoir un impact très fort sur tous les organismes et entreprises du secteur santé, dans tous les état membres de l’U.E. : santé publique, recherche en santé (essais cliniques, recherches non interventionnelles avec cohortes et registres,…), entrepôts de données de santé, évaluation des produits de santé, dispositifs médicaux ou de bien-être, développement de produits et services dans le domaine de la santé, intelligence artificielle, statistiques, enseignement, etc…

Les conséquences sont importantes à la fois pour les « utilisateurs » de données de santé qui devront obtenir les autorisations nécessaires et pour les « détenteurs » de données de santé qui seront dans l’obligation de les mettre à disposition. Le dispositif passera par la création d’Organismes Responsables de l’Accès aux Données (ORAD) avec une coordination nationale unique.

Parmi les questions qui se posent, celle de l’articulation du nouveau règlement avec les schémas déjà existants en France, notamment le rôle exercé par la Commission nationale de l’information et des libertés (CNIL) dans le cadre de la délivrance des autorisations pour l’utilisation secondaire des données de santé, système qui n’existe pas actuellement dans les autres pays de l’UE.

Aujourd’hui, la CNIL, la Plateforme des données de santé (PDS) également connue sous le nom de Health data hub (HDH), et le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) assurent chacun des fonctions proches de celles d’un ORAD.  Mais bien que plusieurs organismes puissent partager les responsabilités liées à l’ORAD, un seul devra assurer la coordination par État membre, conformément au règlement EEDS.

Certaines missions de l'ORAD étant déjà partiellement exercées en France, la question demeure de savoir quelle entité sera officiellement désignée comme ORAD. La préparation à l'entrée en application du règlement EEDS impose donc une évolution de la gouvernance française en la matière. La délégation au numérique en Santé (DNS) est chargée de préparer l’adaptation du cadre législatif français pour 2027. Une transformation institutionnelle importante doit être anticipée.

1. Que contient le règlement EEDS en synthèse ?

Le règlement EEDS représente une avancée significative dans la gestion et le partage des données de santé dans l’UE. Il vise à créer un marché unique des données, tout en assurant une protection renforcée des données personnelles. Sa publication marque le début d’une entrée en application progressive des mesures qu’il introduit avec des étapes clés fixées jusqu'en 2035 (article 105 du règlement).

Le règlement EEDS repose sur deux piliers : l’utilisation primaire et l’utilisation secondaire des données de santé.

L'utilisation primaire des données de santé correspond à leur collecte et à leur utilisation dans le cadre des actes de soins apportés à un patient. L'utilisation secondaire des données de santé concerne des usages qui ne visent pas la prise en charge directe du patient, mais qui permettent d’exploiter ensuite les données collectées et produites à l’occasion du soin, pour améliorer la recherche scientifique et l’innovation dans le domaine de la santé.

2. Quelles sont les règles prescrites par l’EEDS pour l’utilisation secondaire des données de santé ?

Le chapitre IV du règlement fixe les règles d’un cadre harmonisé pour la réutilisation des données déjà collectées.

Il s'applique à la fois aux données de santé personnelles et non personnelles liées à la santé, avec des finalités d'utilisation secondaire strictement encadrées.

Il prévoit notamment une procédure de demande d’accès aux données, ainsi qu’une obligation pour les détenteurs de données de rendre leurs données disponibles pour certaines finalités spécifiques, avec des garanties telles que des redevances, la protection des droits de propriété intellectuelle et le secret des affaires.

Pour la mise en œuvre de ces accès aux données de santé, le règlement EEDS prévoit la création de guichets uniques nationaux (Organisme d'accès aux données - ORAD, ou (« health data access body » – HDAB) dans chaque Etat membre : les ORAD seront chargés de délivrer les autorisations d'accès aux données pour une utilisation secondaire, et de mettre ces données à disposition des utilisateurs de manière sécurisée.

Chaque État membre devra désigner un ou plusieurs ORAD. L’Etat membre qui désigne plusieurs ORAD devra désigner un ORAD coordonnateur pour maintenir un point d’entrée unique.

L’article 57 du règlement précise les différentes missions confiées aux ORAD qui incluent la délivrance des autorisations d'accès aux données de santé dans le cadre d'une utilisation secondaire (« data permits »¹) , le contrôle de la conformité des détenteurs et utilisateurs de données, ou encore le maintien de la transparence et garantie des droits des citoyens par un système d'information public.

• Les questions autour de la désignation de l’ORAD en France

Le règlement EEDS impose un système de « data permits » proche de l’autorisation prévue par la loi « informatique et libertés » (LIL), prérogative exercée depuis longtemps par la CNIL. En effet, les traitements de données personnelles dans le cadre de recherches, études ou évaluations en santé sont régis en France par la LIL.

Selon l'article 66 de la LIL, deux types de formalités auprès de la CNIL sont nécessaires en fonction de la nature du traitement : (i) soit une déclaration de conformité à un référentiel ou méthodologie de référence (MR) publié par la CNIL (ii) soit, si le projet ne correspond pas à un référentiel ou à une MR de la CNIL, une demande d'autorisation auprès de la CNIL.

Ces formalités s'appliquent à des cas spécifiques d’utilisation secondaire des données de santé :

- traitements hors recherche, comme les entrepôts de données de santé,

- traitements de recherche, études et évaluations en santé comme les recherches n'impliquant pas la personne humaine (RNIPH) . Dans le cas de recherches, le dossier de demande doit d’abord être déposé à la Plateforme de Données de Santé (PDS) pour avis du CESREES, puis auprès de la CNIL pour obtenir l’autorisation de la CNIL.

La CNIL, forte de son expertise en matière de RGPD, a développé une doctrine abondante et détaillée, et 13 référentiels, dont le référentiel entrepôt de données de santé et les méthodologies de référence applicables aux recherches n'impliquant pas la personne humaine (MR-004 à MR-008). Elle évalue les demandes d’autorisations en vérifiant l'intérêt public, le respect du principe de minimisation, les modalités d'exercice des droits et la durée de conservation des données, ce qui est proche de la mission du futur ORAD.

Les autorisations délivrées par la CNIL garantissent aujourd’hui une sécurité juridique et sont une marque de conformité du demandeur tant avec la LIL qu’avec le RGPD. 

Pour mener à bien les missions de l'ORAD, il est essentiel de saisir pleinement les enjeux liés à la recherche en santé et de posséder une compréhension globale de la réglementation en vigueur. La doctrine élaborée par la CNIL au fil des années pourrait constituer un atout précieux dans ce contexte.

La désignation de l’ORAD soulève donc des questionnements quant au rôle central déjà exercé par la CNIL en matière d’usage secondaire des données. Il convient cependant de noter que la CNIL ne remplit pas aujourd’hui toutes les missions de l’ORAD listées par le règlement. Par exemple, le rôle de l'ORAD en matière de transparence et de publication des résultats est actuellement rempli par la PDS avec son répertoire public, comme prévu à l'article 110 du décret « informatique et libertés La PDS a été créée en 2019 pour faciliter la mise à disposition des données de santé à destination des porteurs de projets d’intérêt public dans le respect des droits des personnes.

• Une question abordée par le rapport Jérôme Marchand Arvier et la stratégie interministérielle sur la réutilisation des données de santé

Le règlement précise que les autorités de contrôle nationales de protection des données personnelles (telles que la CNIL en France) et l’ORAD devront coopérer aux fins de l’exécution du règlement, dans les limites de leurs compétences respectives, mais n’apporte pas d’éclaircissements² quant à l’identité de l’ORAD.

La question de l’identité de l’ORAD a cependant été évoquée par le rapport sur la réutilisation des données de santé en recherche « Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé » et reprise par la première version de la stratégie interministérielle sur la réutilisation secondaire des données de santé « Stratégie interministérielle pour construire notre patrimoine national des données de santé.  2025-2028 ». Ces deux textes analysent les conséquences de l’application du règlement EEDS et émettent entre autres des recommandations quant à la désignation de l’ORAD.

Le rapport « Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé », ou rapport Jérôme Marchand-Arvier publié le 19 janvier 2024 recommande de désigner la PDS comme unique organisme responsable de l'accès aux données de santé (guichet unique), tout en prévoyant l’intervention de la CNIL pour délivrer un avis conforme dans les cas sensibles, notamment lorsque les demandes d'accès ne relèvent pas d'un référentiel ou d'une méthodologie de référence.

Si cette recommandation du rapport était suivie, la PDS verrait alors ses missions élargies ce qui nécessiterait une adaptation du cadre législatif.  La mise en œuvre de cette recommandation aurait également un impact considérable sur le modèle français actuel et notamment sur le rôle de la CNIL.

Le rapport avait toutefois initialement envisagé une répartition des rôles entre la PDS et la CNIL : la PDS concentrée sur les activités opérationnelles et la mise à disposition des données, et la CNIL dans la continuité de son rôle d'autorité de protection des données resterait chargée de recevoir les déclarations de conformité aux référentiels, de délivrer les autorisations d'accès et d'exercer un contrôle a posteriori.

Les recommandations du rapport Jérôme Marchand Arvier ont été reprises par la Stratégie interministérielle pour la réutilisation secondaire des données de santé publiée fin septembre 2024, et soumise à consultation publique.  Cette stratégie vise à promouvoir l'utilisation secondaire des données de santé et à préparer la mise en œuvre du chapitre IV du règlement EEDS.

Elle rappelle que la PDS a initié un répertoire national des projets, en collaboration avec la CNIL, qui anticipe déjà certaines exigences du règlement EEDS pour un ORAD coordonnateur pour centraliser l’information sur les usages secondaires des données de santé et faciliter l’exercice des droits des citoyens.

Le projet de stratégie propose la réalisation d'une analyse d'impact du règlement EEDS concernant les futures fonctions des ORAD, en particulier l'ORAD coordonnateur, ainsi que ses implications à la fois pour la PDS pour la CNIL et pour le CESREES³.

3. Quelles conclusions ?

Au niveau national, le règlement EEDS pose la question de la coordination entre le rôle de l’ORAD pour l’accès aux données de santé et les compétences exclusives de la CNIL, notamment sur le contrôle de la conformité des traitements aux règles de la LIL et du RGPD, pour éviter un chevauchement des missions.

Il faudra décider qui de la CNIL et/ou de la PDS sera/seront en charge des missions de l’ORAD, et pour quelles missions respectives, et qui assurera la coordination.

Lors du webinaire de l’Agence du numérique en santé (ANS) sur le règlement EEDS, animé par la Délégation du numérique en santé (DNS) le 19 mars 2025, la question de l’ORAD a été identifiée comme un sujet central de concertation. Il a été précisé que l’ORAD devra prendre en charge des missions variées, et qu'aucun organisme en France ne les remplit toutes actuellement.

La question reste ouverte : comment organiser au niveau national les compétences de l'ORAD et qui endossera ces responsabilités ? La définition et la répartition de ces missions ne sont pas encore décidées, bien que quelques indications soient présentes dans les rapport et stratégie évoquées ci-dessus.

4. Prochaines étapes

La Délégation au numérique en Santé (DNS) est chargée de coordonner et préparer l'application du règlement en France, qui nécessite des ajustements législatifs et réglementaires. 
Pour préparer ces ajustements, la DNS a initié en mars 2025 une série de consultations avec l'écosystème numérique en santé. Les arbitrages et consultations menés permettront éclaircir les questions actuelles, notamment en ce qui concerne la gouvernance et la désignation de l’ORAD.

Une nouvelle phase de concertation publique sur la mise en œuvre du règlement EEDS s’est ouverte le 28 avril 2025 pour l’adaptation du cadre législatif français pour 2027. Des fiches thématiques sont proposées pour recueillir l’avis des participants sur des sujets majeurs tels que la gouvernance du numérique en santé (désignation des autorités compétentes).  Cette concertation doit permettre de réfléchir à des mécanismes de gouvernance adaptés au contexte national.

_________

[1] La procédure d’accès aux données est fixée par la Section 3 du chapitre IV du règlement.

[2] Article 65 du règlement.

[3] Axe 1 de la stratégie proposée.