Datactu Juridique #22
JUIN 2025
Me Raphaël Cavan et Me Laurence Huin ont participé à la rédaction de cette lettre.
ÉDITO
Bonjour,
Nous commençons notre Datactu de ce mois par l’interview de Monsieur Laurent Pierre, Conseiller santé numérique au sein de la FHF, qui nous livre son analyse sur les exigences posées par le règlement EHDS aux établissements publics de santé, alors même que le système de redevances liée à la mise à disposition des données de santé n’est pas encore déterminé et questionne encore.
Nous verrons ensuite que La Commission Nationale de l’Informatique et des Libertés (« CNIL ») a publié le 16 mars dernier une consultation publique sur son dernier projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI), laquelle prend très prochainement fin le 16 juin prochain. Ce projet de recommandation propose des fiches thématiques variées autour de la gestion du DPI, telles que notamment une fiche traitant les données composant le DPI, une autre sur la sécurisation des échanges de données, ou encore sur l’information des personnes concernées.
Autre point d’importance, l’agence de l’Union européenne pour la cybersécurité (« ENISA » pour European Union Agency for Cybersecurity) nous apprend dans un communiqué de presse publié sur son site internet le 13 mai 2025 que la base de données européenne des vulnérabilités a été mise en ligne et est désormais opérationnelle.
Quel est le détail de cette base de données ? Quel est l’objectif sous-jacent à son déploiement ?
C’est que nous vous proposons de découvrir dans notre article dédié.
Le 29 mai 2025, la CNIL a publié une synthèse de dix nouvelles sanctions prononcées dans le cadre de sa procédure simplifiée. Pour rappel, cette procédure permet à la formation restreinte de la CNIL de prononcer des amendes d’un montant maximal de 20 000 euros en cas d’infractions ne soulevant pas de difficultés particulières.
Nous vous proposons un rappel instructif des principes du RGPD sur l’obligation de notification en cas de violation de données – une procédure essentielle pour tout établissement !
Enfin, alors que la décision permettant de transférer librement des données personnelles vers le Royaume-Uni arrivait à expiration en juin 2025, l’Union européenne a décidé de prolonger temporairement cette autorisation de six mois, jusqu’en décembre 2025 en attendant d’analyser les conséquences des futures réformes britanniques en matière de protection des données.
Nous vous en donnons quelques éléments.
SOMMAIRE
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES PUBLICATIONS
•Interview de Monsieur Laurent Pierre, conseiller numérique de la FHF
par Me Raphaël Cavan
• Projet de recommandation Dossier patient informatisé (DPI) de la CNIL
par Me Raphaël Cavan
La Commission Nationale de l’Informatique et des Libertés (« CNIL ») a publié le 16 mars dernier une consultation publique sur son dernier projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI), laquelle prend très prochainement fin le 16 juin prochain.
Ce projet de recommandation propose des fiches thématiques variées autour de la gestion du DPI, telles que notamment une fiche traitant les données composant le DPI, une autre sur la sécurisation des échanges de données, ou encore sur l’information des personnes concernées.
• Le chantier NIS 2 avance en Europe mais piétine un peu en France
par Me Raphaël Cavan
L’agence de l’Union européenne pour la cybersécurité (« ENISA » pour European Union Agency for Cybersecurity) nous apprend dans un communiqué de presse publié sur son site internet le 13 mai 2025 que la base de données européenne des vulnérabilités a été mise en ligne et est désormais opérationnelle.
• Nouvelles sanctions prononcées par la CNIL en 2025 dans le cadre de la procédure simplifiée : un rappel nécessaire des principes du RGPD (minimisation ; sécurité et violation des données)
par Me Raphaël Cavan
Le pouvoir de sanction de la Commission Nationale Informatique et Libertés (ci-après « CNIL ») découle de l’article 20 de la loi Informatique et Libertés, lui permettant d’imposer des amendes administratives en cas de manquement au Règlement sur la protection des données à caractère personnel (ci-après « RGPD »).
Le 29 mai 2025, la CNIL a publié une synthèse de dix nouvelles sanctions prononcées dans le cadre de sa procédure simplifiée. Pour rappel, cette procédure permet à la formation restreinte de la CNIL de prononcer des amendes d’un montant maximal de 20 000 euros en cas d’infractions ne soulevant pas de difficultés particulières.
• CEPD et décision d’adéquation sur les données personnelles avec l’Angleterre
par Me Raphaël Cavan
Alors que la décision permettant de transférer librement des données personnelles vers le Royaume-Uni arrivait à expiration en juin 2025, l’Union européenne a décidé de prolonger temporairement cette autorisation de six mois, jusqu’en décembre 2025 en attendant d’analyser les conséquences des futures réformes britanniques en matière de protection des données.
• Espace européen de données de santé : à l’heure de la concertation !
par Me Raphaël Cavan
Le Parlement européen a adopté le règlement sur l’espace européen des données de santé ou « European Health Data Space » (« EHDS ») qui est entré en vigueur le 26 mars 2025.
Ce règlement vise à faciliter l’accès aux données de santé et leur échange entre les Etats membres, tant pour soutenir la fourniture des soins de santé aux patients (1er pilier :« utilisation primaire des données »), que pour permettre la réutilisation des données de santé, notamment à des fins de recherches scientifiques ou l’élaboration des politiques dans le domaine de la santé, l’innovation, ou encore la sécurité des patients (2ème pilier : « réutilisation ou utilisation secondaire des données »).
Dans ce contexte, la Délégation au numérique en santé (DNS) a lancé le 28 avril 2025 une concertation publique (dans des délais très courts) pour anticiper la mise en œuvre du règlement EHDS en France avec pour objectif, et non des moindres, d’adapter le cadre législatif français d’ici mars 2027. Des fiches ont été publiées à cette fin afin de restituer le contexte et les enjeux qui se posent aux acteurs de la santé avec l’arrivée du règlement.
Nous vous proposons de faire le point sur les enjeux posés aux établissements publics de santé, détenteurs de données de santé concernés par le règlement EHDS , que ce soit dans le cadre de l’usage primaire et l’usage secondaire des données de santé.
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES PUBLICATIONS
Le Data Act (UE 2023/2854), en vigueur depuis septembre 2025, rebat les cartes pour les hôpitaux dans leurs négociations avec les prestataires. Anticipez dès maintenant !
IA Act & EEDS : Qui surveille les SIA à haut risque et DME en France ? Décryptage des rôles ANSM et ANS, marquage CE et enjeux 2025 pour les acteurs santé.
Cette lettre est réalisée par le
DÉPARTEMENT SANTÉ NUMÉRIQUE
Le département Santé numérique du Cabinet Houdart & Associés dispose d’une expertise en matière de recherche clinique et de traitement des données à caractère personnel et particulièrement appliqué au secteur de la santé.
Il accompagne des organismes du secteur de la santé, aussi bien en conseil qu’en contentieux, notamment devant la formation restreinte de la CNIL.
Les intervenants du département Santé Numérique sont en mesure d’intervenir sur différentes matières du droit : traitement des données de santé, systèmes d’information, recherche, propriété immatérielle et innovation.
Une question, une demande ?
Contactez nous :
par téléphone : +33(0)1 40 21 45 45
par mail : [email protected]
Depuis novembre 2024, elle est partenaire du pôle Santé Numérique du cabinet Houdart et associés et contribue à ce titre à Datactu.