·

Administration de la santé

Soins de santé

TI de la santé / CIO

Portabilité des données : santé publique vs soins privés selon le droit européen

Comprendre comment le RGPD (GDPR), l'EHDS et le droit national de la santé créent différentes obligations de portabilité des données pour les prestataires de santé publique et de soins privés en Europe

Portabilité des données des patients entre prestataires de santé publics et privés

Les organisations de santé opérant en Europe font face à une obligation légale en matière de portabilité des données des patients. Ce qui est moins bien compris, c’est que cette obligation ne s’applique pas de façon uniforme. Une clinique privée à Amsterdam, un hôpital public à Madrid et un prestataire à modèle mixte à Berlin peuvent tous traiter le même type de dossier patient, mais être soumis à des exigences légales sensiblement différentes lorsqu’un patient demande à transférer ses données ailleurs. La raison réside dans une caractéristique structurelle du droit de l’UE : les règles de protection des données sont établies au niveau supranational, mais la prestation de soins de santé reste une compétence nationale. La base juridique sur laquelle un prestataire traite les données des patients détermine quels droits de portabilité s’appliquent réellement. Comprendre les obligations en matière de sécurité et de confidentialité des données est un prérequis pour cette analyse.

Le cadre juridique : ce que le droit de l’UE exige réellement

Trois niveaux réglementaires distincts régissent la portabilité des données des patients en Europe. Ils interagissent différemment selon le type de prestataire.

Le premier est le Règlement général sur la protection des données (RGPD), qui établit le droit fondamental à la portabilité des données en vertu de l’article 20. Il comporte une limitation majeure qui restreint considérablement son application dans le secteur de la santé publique. Le deuxième est le règlement relatif à l’Espace européen des données de santé (EEDS), règlement (UE) 2025/327, entré en vigueur le 26 mars 2025. Le troisième niveau est constitué par la législation nationale de transposition, qui régit la manière dont les systèmes de santé publics gèrent l’accès aux dossiers et leur transfert.

Ces niveaux ne fonctionnent pas de manière indépendante. Le RGPD demeure le cadre principal de protection des données. L’EEDS introduit des obligations sectorielles qui s’y ajoutent. Comme le souligne l’analyse de Taylor Wessing sur la relation EEDS-RGPD, l’EEDS ne remplace pas le RGPD mais construit un cadre sectoriel par-dessus, avec une mise en œuvre progressive à partir de mars 2027 pour les dispositions générales et de mars 2029 pour les règles d’utilisation primaire et secondaire.

Article 20 du RGPD : où la distinction public-privé apparaît pour la première fois

L’article 20 du RGPD accorde aux individus le droit de recevoir leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement. Ce droit n’est pas universel. Il s’applique uniquement lorsque le traitement est fondé sur le consentement (article 6, paragraphe 1, point a), ou article 9, paragraphe 2, point a)) ou sur un contrat (article 6, paragraphe 1, point b)). Lorsque le traitement repose sur une obligation légale ou l’exécution d’une mission de service public, respectivement articles 6, paragraphe 1, points c) et e), l’article 20 ne s’applique pas.

C’est à ce moment que la distinction public-privé devient opérationnellement significative. La plupart des prestataires de soins de santé publics traitent les données des patients en vertu d’un mandat légal. Un service national de santé qui prend en charge un patient ne le fait pas sur la base d’un contrat avec ce patient, ni généralement sur la base du consentement. Il remplit une fonction publique légalement définie. Cela signifie que le droit à la portabilité du RGPD ne s’applique pas directement à la majorité du traitement des données dans les systèmes de santé publics de l’UE.

La conséquence pratique est que les patients souhaitant transférer leurs dossiers d’un hôpital public vers un spécialiste privé, ou d’un système de santé national à un autre, ne peuvent pas s’appuyer sur l’article 20 du RGPD. Ils doivent plutôt se tourner vers les dispositions nationales en matière de droit de la santé, qui varient considérablement d’un État membre à l’autre.

Comment les prestataires de soins de santé publics sont traités en vertu du droit de l’UE et du droit national

Les prestataires de soins de santé publics dans l’UE mettent en œuvre les droits d’accès et de transfert des dossiers des patients par le biais d’une législation sectorielle spécifique, et non via les dispositions du RGPD relatives à la portabilité. Les obligations existent, mais elles sont ancrées dans des cadres de droit de la santé qui diffèrent substantiellement selon la juridiction.

Dans les principaux marchés européens, la situation est fragmentée :

  • Les modèles nordiques (Danemark, Finlande, Suède) disposent d’une infrastructure nationale de dossiers médicaux relativement mature et de portails patients, avec des droits légaux d’accès aux dossiers intégrés dans la législation sanitaire. Le système Kanta de la Finlande, par exemple, offre aux patients un point d’accès numérique centralisé aux dossiers détenus par les prestataires publics.

  • L’Allemagne a introduit un droit légal pour les patients de recevoir des copies de leurs dossiers en vertu de la loi sur les droits des patients (Patientenrechtegesetz), les prestataires étant tenus de répondre sans retard injustifié. Le pays a également développé sa Telematikinfrastruktur (TI) comme épine dorsale nationale d’interopérabilité.

  • La France a mis en place la plateforme Mon Espace Santé comme espace de données de santé destiné aux patients, fournissant un accès aux dossiers des prestataires publics dans le cadre de la législation nationale sur la santé numérique.

  • Les systèmes publics d’Europe du Sud (Espagne, Italie, Portugal) disposent de droits d’accès légaux mais font face à une plus grande variation au niveau régional, la qualité de la mise en œuvre étant étroitement liée à la capacité des autorités sanitaires régionales.

L’essentiel est que ces obligations sont réelles et exécutoires, mais elles sont administrées par le biais de cadres ministériels de la santé, et non par les autorités de protection des données. Cela signifie que l’organisme de surveillance, le mécanisme d’application et les délais applicables peuvent tous différer de ceux qui s’appliquent à un prestataire privé en vertu du RGPD.

Comment les prestataires de soins de santé privés sont traités en vertu du RGPD

Les prestataires de soins de santé privés qui traitent les données des patients sur la base du consentement ou d’un contrat sont directement soumis à l’article 20 du RGPD. Cela concerne la majorité des cliniques privées, des cabinets de spécialistes et des services de diagnostic indépendants opérant dans l’UE lorsqu’aucun mandat légal ne régit la relation de traitement.

En vertu de l’article 20, les patients peuvent demander :

  • Leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine

  • La transmission directe de ces données à un autre responsable du traitement, lorsque cela est techniquement possible

  • Une réponse dans un délai d’un mois à compter de la demande, prolongeable de deux mois supplémentaires lorsque les demandes sont complexes ou nombreuses (avec notification au patient dans le premier mois)

Ce qui est considéré comme « données personnelles » aux fins de la portabilité dans un contexte clinique est plus large que ce que de nombreux prestataires privés supposent. Cela inclut les données fournies activement par le patient (informations d’inscription, antécédents médicaux lors de l’admission) et les données générées par la relation de service (dossiers de rendez-vous, comptes rendus médicaux, résultats de tests). Cela n’inclut pas les données dérivées ou déduites par le prestataire, une distinction qui devient pertinente lorsqu’on considère les codes cliniques générés par intelligence artificielle (IA, c’est-à-dire un système informatique capable de réaliser des tâches nécessitant habituellement l’intelligence humaine) ou les scores de risque.

« Lisible par machine » au sens du RGPD signifie un format qu’un ordinateur peut traiter automatiquement, tel que JSON, XML ou CSV, plutôt qu’un PDF numérisé ou un document imprimé. En pratique, de nombreux systèmes de dossiers médicaux privés peuvent exporter des données dans ces formats, mais produire une exportation structurée et cliniquement pertinente qui préserve le codage, la terminologie et les relations entre les dossiers constitue un défi technique distinct.

L’Espace européen des données de santé : combler l’écart entre les secteurs

Le règlement EEDS est l’évolution la plus importante dans ce domaine. Son ambition centrale est d’établir un cadre cohérent pour l’accès et la portabilité des données de santé qui s’applique à la fois aux prestataires publics et privés, comblant ainsi l’écart créé par la dépendance du RGPD à la base juridique.

L’EEDS introduit plusieurs mécanismes directement pertinents :

  • Un droit de portabilité renforcé pour l’utilisation primaire en vertu de l’article 3, paragraphe 8, qui va au-delà de l’article 20 du RGPD en supprimant la restriction liée à la base juridique et en couvrant les données traitées en vertu de toute base juridique au titre de l’article 9 du RGPD, et pas seulement le consentement ou le contrat. Cependant, ce droit s’applique uniquement aux détenteurs de données du secteur de la santé et de la sécurité sociale. Cela signifie que les patients peuvent demander la portabilité de leurs données de santé auprès de prestataires publics de ce secteur qui étaient auparavant exclus du champ d’application de l’article 20 du RGPD.

  • L’infrastructure MyHealth@EU, qui permet l’accès transfrontalier aux données de santé des patients dans les États membres participants, avec des points de contact nationaux coordonnant l’interopérabilité.

  • Des formats de données standardisés, avec HL7 FHIR qui s’impose comme référence d’interopérabilité pour les systèmes de dossiers médicaux en vertu des exigences de l’EEDS.

  • Les organismes d’accès aux données de santé (OADS), qui régiront l’utilisation secondaire des données de santé par les chercheurs, l’industrie et les organismes publics, sous réserve d’un système de permis plutôt que du consentement individuel.

Comme le confirme le briefing juridique de Skadden sur l’EEDS, tous les prestataires de soins de santé établis dans l’UE, y compris les hôpitaux, les cliniques et les cabinets privés, sont soumis aux mêmes obligations de conformité EEDS en matière de partage de données, d’interopérabilité et d’accès des patients. Le non-respect entraîne des amendes équivalentes à celles du RGPD.

La littérature académique signale d’importantes ambiguïtés dans le texte de l’EEDS. Une analyse évaluée par les pairs dans Computer Law & Security Review relève une tension entre le considérant 12, qui appelle à ce que la portabilité s’applique à tout responsable du traitement de données, privé ou public, et l’article 3, paragraphe 8 lui-même, qui limite les obligations aux détenteurs de données « du secteur de la santé et de la sécurité sociale ». La portée précise de ce qui qualifie un détenteur de données de santé dans les cas limites (applications de bien-être, prestataires de santé au travail, plateformes de télémédecine) reste sujette à interprétation.

Délais de transfert des dossiers : une comparaison par type de prestataire et par marché

Les délais de réponse aux demandes de portabilité et de transfert de dossiers varient considérablement selon le type de prestataire, la loi applicable et la juridiction.

Contexte

Cadre applicable

Délai

Prestataire privé (base consentement/contrat)

Article 20 du RGPD

Un mois ; prolongeable de deux mois

Prestataire public (base mission de service public)

Droit national de la santé

Varie selon l’État membre

Allemagne (privé et public)

Loi sur les droits des patients

Sans retard injustifié

France

Législation nationale sur la santé numérique

Varie selon le type de dossier

Post-EEDS (tous prestataires)

Dispositions d’utilisation primaire de l’EEDS

À préciser dans les actes d’exécution

L’EEDS devrait introduire des délais plus harmonisés dans les États membres, mais les délais spécifiques pour les demandes de portabilité destinées aux patients dans le cadre de l’utilisation primaire de l’EEDS seront déterminés par des actes d’exécution et la transposition par les États membres.

Exigences de format : données structurées, interopérabilité et ce que les systèmes doivent prendre en charge

Le RGPD exige que les données portables soient fournies dans un format lisible par machine, mais n’impose pas de norme technique spécifique. Cela a entraîné une variation significative dans la pratique, certains prestataires fournissant des exportations JSON ou XML et d’autres proposant des fichiers CSV qui manquent de notes structurées ou de contexte terminologique.

L’EEDS aborde directement cette question. Comme le confirme l’analyse d’A&O Shearman sur les exigences des systèmes de dossiers médicaux de l’EEDS, le règlement exige que les détenteurs de données de santé maintiennent des données structurées et interopérables dans des formats compatibles avec le cadre technique de l’EEDS, avec HL7 FHIR comme norme émergente pour l’échange de données cliniques.

Pour les systèmes de dossiers médicaux opérant dans des environnements publics et privés, cela crée plusieurs exigences pratiques :

  • La capacité d’exporter des données cliniques structurées dans des formats conformes à HL7 FHIR, en préservant les codes SNOMED CT, les classifications CIM et la terminologie des médicaments

  • Des portails d’accès destinés aux patients leur permettant de consulter, télécharger et transmettre leurs dossiers sans intervention administrative

  • La journalisation de tous les événements d’accès et d’exportation de données, pour démontrer la conformité aux obligations de responsabilité du RGPD et aux contrôles d’accès de l’EEDS

  • L’interopérabilité avec l’infrastructure nationale des systèmes de dossiers médicaux (comme la TI allemande, Mon Espace Santé en France ou Kanta en Finlande) le cas échéant

Les systèmes existants dans les institutions publiques posent un défi particulier. De nombreux systèmes de santé nationaux fonctionnent sur des plateformes de dossiers médicaux qui n’ont pas été conçues pour l’exportation de données structurées. Le coût et la complexité de la mise à niveau ou du remplacement de ces systèmes sont substantiels. La recherche sur l’infrastructure sécurisée conforme à l’EEDS souligne que satisfaire aux exigences de l’article 50 en matière d’environnements de traitement sécurisés et de normes d’interopérabilité nécessite un investissement technique important, en particulier dans les institutions qui ont historiquement exploité des systèmes cloisonnés et non interopérables.

Conditions de consentement et base juridique : pourquoi elles changent tout

La base juridique sur laquelle un prestataire s’appuie pour traiter les données des patients est la variable la plus déterminante pour établir quelles obligations de portabilité s’appliquent. Ce n’est pas un détail technique : c’est le fondement de toute l’analyse de conformité.

Pour les prestataires de soins de santé publics, les bases pertinentes sont généralement l’article 6, paragraphe 1, point c) (obligation légale) et l’article 6, paragraphe 1, point e) (mission de service public), combinés à l’article 9, paragraphe 2, point h) (fins de soins de santé ou de protection sociale) pour les données de catégorie particulière. Ces bases excluent le prestataire de l’article 20 du RGPD mais n’éliminent pas toutes les obligations liées à la portabilité. Le droit national de la santé régit toujours l’accès et le transfert des dossiers.

Pour les prestataires de soins de santé privés, la situation est plus complexe. Beaucoup traitent des données sur la base d’une combinaison de fondements : le consentement pour les utilisations facultatives (marketing, participation à la recherche), le contrat pour la relation de traitement principale, et dans certains cas l’obligation légale pour les déclarations obligatoires. Le droit à la portabilité en vertu de l’article 20 du RGPD ne s’attache qu’aux données traitées sur la base du consentement ou du contrat. Cela signifie qu’un prestataire privé doit être capable d’identifier, au niveau du dossier, quelles données ont été traitées sur quelle base.

Les prestataires à modèle mixte, tels que les cliniques privées sous contrat pour fournir des services au sein d’un système de santé public, ou les hôpitaux publics avec des services pour patients privés, font face à l’analyse la plus complexe. Le conseil d’Arnold & Porter sur l’EEDS note que la définition de « détenteur de données de santé » de l’EEDS s’applique à toute personne morale ayant le droit ou l’obligation de traiter des données de santé personnelles, qu’elle soit nominalement publique ou privée. Les personnes physiques et les microentreprises (moins de 10 employés et chiffre d’affaires annuel ou bilan total n’excédant pas 2 millions d’euros) sont exclues par défaut des obligations de détenteur de données de santé, bien que les États membres puissent étendre ces obligations à ces entités.

Une analyse indexée sur PubMed du cadre d’utilisation secondaire de l’EEDS note que la conception du règlement reflète un choix politique délibéré de s’éloigner du consentement comme mécanisme principal de gouvernance des données de santé, en le remplaçant par un système basé sur des permis administré par les organismes d’accès aux données de santé pour l’utilisation secondaire. Pour l’utilisation primaire, le droit de portabilité renforcé en vertu de l’article 3, paragraphe 8 contourne la dépendance à la base juridique, mais seulement une fois que les dispositions pertinentes de l’EEDS entreront en vigueur en mars 2029.

Portabilité transfrontalière : que se passe-t-il lorsque les patients se déplacent entre États membres

La portabilité transfrontalière des dossiers est le domaine où la fragmentation est la plus aiguë et où l’EEDS devrait avoir l’impact pratique le plus important. Actuellement, un patient se déplaçant de France aux Pays-Bas, ou un travailleur transfrontalier recevant des soins dans un autre État membre, ne dispose d’aucun mécanisme fiable pour s’assurer que ses dossiers de santé le suivent. Les systèmes de dossiers médicaux nationaux utilisent différents modèles de données, différents systèmes de codage et différents protocoles d’accès.

L’EEDS aborde cette question par le biais de l’infrastructure MyHealth@EU, qui exige que les États membres participent à l’échange transfrontalier de données de santé via des points de contact nationaux. L’infrastructure s’appuie sur le cadre existant epSOS/eHealth Digital Service Infrastructure (eHDSI) mais élargit considérablement sa portée et son mandat juridique.

La recherche sur la mise en œuvre des organismes d’accès aux données de santé de l’EEDS identifie plusieurs défis persistants pour l’utilisation secondaire transfrontalière des données de santé : maturité inégale des systèmes de santé numériques dans les États membres, normes de qualité des données variables et absence de cadres de gouvernance harmonisés pour les organismes d’accès aux données de santé. Ces défis s’appliquent avec une force égale, voire supérieure, à la portabilité transfrontalière pour l’utilisation primaire, où l’infrastructure technique et juridique pour un transfert fluide des dossiers reste sous-développée dans la plupart des États membres.

Pour les prestataires opérant dans les régions frontalières, comme la frontière franco-allemande, le corridor Benelux ou le marché du travail transfrontalier nordique, ou desservant des populations de patients internationalement mobiles, la solution pratique actuelle consiste à recourir à des dossiers détenus par les patients (papier ou numériques) en attendant que l’infrastructure de l’EEDS soit opérationnelle.

Implications pratiques pour l’infrastructure informatique dans les environnements mixtes public-privé

Pour les décideurs gérant l’informatique dans des environnements de soins à la fois publics et privés, l’analyse juridique ci-dessus se traduit par un ensemble d’exigences opérationnelles concrètes.

La prise en charge de plusieurs bases juridiques au sein d’une même plateforme constitue le défi le plus immédiat. Un système de dossiers médicaux utilisé dans un environnement à modèle mixte doit être capable d’enregistrer et d’appliquer différentes bases de traitement pour différentes catégories de données et populations de patients, et de générer des exportations de portabilité qui reflètent correctement quelles données sont éligibles en vertu de l’article 20 du RGPD par rapport à celles qui seront couvertes par l’article 3, paragraphe 8 de l’EEDS une fois en vigueur.

Les obligations d’audit et de journalisation s’appliquent aux deux cadres. Les exigences de responsabilité du RGPD (article 5, paragraphe 2) imposent aux responsables du traitement de démontrer leur conformité, ce qui, en pratique, signifie journaliser tous les événements d’accès, d’exportation et de transfert de données. L’EEDS ajoute d’autres exigences de journalisation pour les interactions avec les organismes d’accès aux données de santé et les échanges transfrontaliers.

Les décisions d’architecture d’interopérabilité prises aujourd’hui détermineront la préparation à la conformité en 2027-2029. La loi européenne sur les données (règlement (UE) 2023/2854), applicable depuis le 12 septembre 2025, ajoute d’autres obligations de partage de données pour les dispositifs médicaux connectés et les outils de santé numériques, créant une couche de conformité supplémentaire pour les prestataires privés utilisant des équipements cliniques compatibles IoT ou des dispositifs de surveillance de la santé portables. Pour un aperçu plus large du paysage réglementaire, consultez notre guide sur les réglementations européennes sur l’IA dans le secteur de la santé.

Les portails d’accès destinés aux patients deviennent de plus en plus une exigence de conformité. Le RGPD (par le droit d’accès en vertu de l’article 15) et l’EEDS (par le droit d’accès pour l’utilisation primaire) exigent que les patients puissent accéder à leurs données de manière opportune et accessible. Les prestataires qui s’appuient sur des processus de demande manuels, tels que des formulaires papier, des équipes administratives ou une livraison postale, s’exposent à la fois à un risque de conformité et à une inefficacité opérationnelle à mesure que le volume des demandes augmente.

Principales lacunes de conformité à évaluer avant la mise en œuvre de l’EEDS

Les domaines les plus courants où les prestataires publics et privés ne répondent actuellement pas à la norme de conformité émergente sont identifiables à partir de l’analyse juridique et technique ci-dessus. Pour les équipes informatiques et de conformité élaborant des feuilles de route avant les échéances progressives de l’EEDS, les éléments suivants représentent les lacunes les plus prioritaires :

  • Formats de dossiers non lisibles par machine : De nombreux prestataires, en particulier dans les systèmes publics, produisent encore de la documentation médicale dans des formats tels que des PDF numérisés ou des formats propriétaires anciens qui ne peuvent pas être traités automatiquement. Satisfaire aux exigences de format de l’EEDS nécessitera soit le remplacement du système, soit des solutions intermédiaires capables de transformer les sorties existantes en exportations conformes à HL7 FHIR.

  • Absence de portails d’accès aux données en libre-service pour les patients : Les prestataires qui n’ont pas encore déployé de portails patients en libre-service devront développer ou acquérir cette capacité. Le cadre d’utilisation primaire de l’EEDS suppose l’accès numérique par défaut.

  • Documentation de consentement peu claire dans les environnements privés : Les prestataires privés qui s’appuient sur le consentement comme base juridique pour certains traitements doivent être en mesure de démontrer que le consentement a été donné librement, de manière spécifique, éclairée et sans ambiguïté, et doivent pouvoir lier les enregistrements de consentement à des catégories de données spécifiques à des fins de portabilité.

  • Systèmes de dossiers médicaux existants qui ne peuvent pas exporter de données structurées : Il s’agit de la principale lacune d’infrastructure dans les systèmes de santé publics. La recherche IMPaCT-Data sur l’infrastructure conforme à l’EEDS montre que satisfaire aux exigences de sécurité et d’interopérabilité de l’article 50 de l’EEDS exige un investissement technique substantiel, et que de nombreux déploiements de systèmes de dossiers médicaux du secteur public existants manquent de l’architecture nécessaire sans remédiation significative.

  • Classification peu claire du traitement à modèle mixte : Les prestataires qui opèrent dans des modalités publiques et privées sans cartographie claire des activités selon leur base juridique sont exposés à un risque de conformité au RGPD et à l’EEDS. Une cartographie documentée des activités de traitement, mise à jour pour refléter les obligations de détenteur de données de santé de l’EEDS, est un prérequis fondamental.

Une limite réelle de l’état actuel des connaissances mérite d’être reconnue. L’analyse académique des dispositions de portabilité de l’EEDS identifie des ambiguïtés non résolues dans le texte du règlement qui ne seront clarifiées que par des actes d’exécution, la transposition par les États membres et, éventuellement, des orientations des autorités de contrôle ou de la jurisprudence. Les décideurs devraient considérer les évaluations de conformité actuelles comme des hypothèses de travail susceptibles d’être révisées à mesure que le cadre réglementaire évolue, plutôt que comme des conclusions définitives.

L’évolution du concept de données de santé à travers le RGPD, la loi sur la gouvernance des données et l’EEDS reflète une trajectoire politique délibérée vers un accès accru aux données et une portabilité intersectorielle. Le rythme de mise en œuvre et le degré d’harmonisation atteints dans la pratique dépendront fortement des choix de transposition nationaux qui sont encore en cours dans les États membres de l’UE.

Questions fréquemment posées

▶ Le RGPD donne-t-il aux patients le droit de transférer leurs données de santé depuis n’importe quel prestataire ?

Non. Le droit à la portabilité des données du Règlement général sur la protection des données en vertu de l’article 20 s’applique uniquement lorsque le traitement est fondé sur le consentement ou un contrat. La plupart des prestataires de soins de santé publics traitent les données des patients en vertu d’un mandat légal, ce qui signifie que l’article 20 ne s’applique pas à eux. Les patients souhaitant transférer des dossiers d’un hôpital public doivent s’en remettre au droit national de la santé, qui varie considérablement d’un État membre de l’UE à l’autre.

▶ Qu’est-ce que l’Espace européen des données de santé et quand s’applique-t-il ?

L’Espace européen des données de santé (EEDS) est un règlement de l’UE (règlement (UE) 2025/327) entré en vigueur le 26 mars 2025. Il introduit un cadre sectoriel spécifique pour l’accès et la portabilité des données de santé qui s’ajoute au Règlement général sur la protection des données, sans le remplacer. Les dispositions générales s’appliquent à partir de mars 2027, les règles d’utilisation primaire et secondaire suivant en mars 2029. Il s’applique à tous les prestataires de soins de santé établis dans l’UE, y compris les hôpitaux publics et les cliniques privées.

▶ Comment l’EEDS modifie-t-il les droits de portabilité par rapport au RGPD ?

L’EEDS introduit un droit de portabilité renforcé en vertu de l’article 3, paragraphe 8, qui supprime la restriction liée à la base juridique présente dans l’article 20 du RGPD. Cela signifie que les patients pourront demander la portabilité de leurs données de santé auprès de prestataires publics qui étaient auparavant exclus du champ d’application du RGPD. Cependant, ce droit s’applique uniquement aux détenteurs de données du secteur de la santé et de la sécurité sociale, et il n’entre en vigueur qu’en mars 2029.

▶ Quel format les prestataires doivent-ils utiliser lorsqu’ils répondent à une demande de portabilité ?

En vertu du RGPD, les données portables doivent être fournies dans un format structuré, couramment utilisé et lisible par machine tel que JSON, XML ou CSV. Un PDF numérisé ou un document imprimé ne répond pas à cette exigence. L’EEDS va plus loin en exigeant que les détenteurs de données de santé maintiennent des données structurées et interopérables compatibles avec le cadre technique de l’EEDS, HL7 FHIR s’imposant comme norme pour l’échange de données cliniques.

▶ Combien de temps un prestataire privé a-t-il pour répondre à une demande de portabilité des données ?

En vertu de l’article 20 du RGPD, un prestataire privé traitant des données sur la base du consentement ou d’un contrat doit répondre dans un délai d’un mois à compter de la réception de la demande. Lorsque les demandes sont complexes ou nombreuses, ce délai peut être prolongé de deux mois supplémentaires, à condition que le prestataire en informe le patient dans le premier mois. Les prestataires publics sont régis par le droit national de la santé, et les délais varient selon l’État membre.

▶ Quelles obligations de portabilité s’appliquent aux prestataires à modèle mixte ?

Les prestataires à modèle mixte, tels que les cliniques privées sous contrat pour fournir des services au sein d’un système de santé public, font face à l’analyse de conformité la plus complexe. L’EEDS définit un « détenteur de données de santé » comme toute personne morale ayant le droit ou l’obligation de traiter des données de santé personnelles, qu’elle soit nominalement publique ou privée. Cela signifie que les prestataires à modèle mixte ont besoin d’une cartographie claire des activités selon leur base juridique pour évaluer avec précision leurs obligations en vertu du RGPD et de l’EEDS.

▶ Comment fonctionne la portabilité transfrontalière pour les patients se déplaçant entre États membres de l’UE ?

Actuellement, il n’existe aucun mécanisme fiable pour que les patients se déplaçant entre États membres s’assurent que leurs dossiers de santé les suivent. Les systèmes de dossiers médicaux nationaux utilisent différents modèles de données, systèmes de codage et protocoles d’accès. L’EEDS aborde cette question par le biais de l’infrastructure MyHealth@EU, qui exige que les États membres participent à l’échange transfrontalier de données de santé via des points de contact nationaux. Jusqu’à ce que cette infrastructure soit opérationnelle, les dossiers détenus par les patients restent la solution de transition pratique pour les patients internationalement mobiles.

▶ Quelles sont les lacunes de conformité les plus courantes que les prestataires devraient combler avant les échéances de l’EEDS ?

Les lacunes les plus prioritaires identifiées dans l’article sont : la documentation médicale stockée dans des formats non lisibles par machine tels que des PDF numérisés ; l’absence de portails d’accès aux données en libre-service destinés aux patients ; une documentation de consentement peu claire dans les environnements privés ; des systèmes de dossiers médicaux existants qui ne peuvent pas exporter de données structurées dans des formats conformes à HL7 FHIR ; et l’absence d’une cartographie documentée des activités de traitement distinguant le traitement de mission de service public du traitement fondé sur le consentement ou le contrat.

▶ L’EEDS s’applique-t-il aux petits cabinets privés et aux microentreprises ?

Les personnes physiques et les microentreprises, définies comme des organisations de moins de 10 employés et dont le chiffre d’affaires annuel ou le bilan total n’excède pas 2 millions d’euros, sont exclues par défaut des obligations de détenteur de données de santé en vertu de l’EEDS. Cependant, les États membres ont la possibilité d’étendre ces obligations à ces entités par le biais de la législation nationale de transposition, de sorte que les prestataires de cette catégorie devraient suivre de près la mise en œuvre dans leur propre juridiction.

▶ Que signifie l’EEDS pour les systèmes de dossiers médicaux dans les institutions publiques ?

Les institutions publiques font face à un défi d’infrastructure important. De nombreux systèmes de santé nationaux fonctionnent sur des plateformes de dossiers médicaux qui n’ont pas été conçues pour l’exportation de données structurées. Satisfaire aux exigences de l’article 50 de l’EEDS en matière d’environnements de traitement sécurisés et de normes d’interopérabilité exige un investissement technique substantiel. La recherche citée dans l’article confirme que de nombreux déploiements existants dans le secteur public manquent de l’architecture nécessaire pour assurer la conformité à l’EEDS sans travaux de remédiation significatifs.

Commencez avec Tandem dès aujourd’hui

Rejoignez les milliers de soignants pour qui nous automatisons les tâches administratives

Commencez avec Tandem dès aujourd’hui

Rejoignez les milliers de soignants pour qui nous automatisons les tâches administratives

Commencez avec Tandem dès aujourd’hui

Rejoignez les milliers de soignants pour qui nous automatisons les tâches administratives