Entrée en application du Data Act européen : quelles perspectives pour les établissements publics de santé ?

Le Règlement européen sur les données (« Data Act », (UE) 2023/2854), applicable depuis le 12 septembre 2025, s’inscrit dans la stratégie européenne pour les données (2020) qui vise à créer un marché unique des données, et à renforcer la compétitivité et la souveraineté numérique de l’UE.

Ce texte impose de nouvelles obligations aux prestataires techniques bien connus des hôpitaux (hébergeurs, etc.), modifiant l’équilibre de leurs relations contractuelles et représente ainsi une opportunité pour ces derniers à saisir pour (re)négocier des contrats à des conditions plus avantageuses, à condition d’anticiper ces évolutions et d’adapter sa stratégie sans délai !

Pour rappel, deux textes législatifs composent le socle juridique général autour de la gouvernance et la gestion des données dans l’UE, à savoir :

• Le Règlement (UE) 2018/1724 sur la gouvernance des données ou « Data governance act » (DGA) entrée en vigueur le 23 juin 2022 et en application depuis le 24 septembre 2024 ;
• Le Règlement (UE) 2023/2854 sur les données ou « Data Act» entrée en vigueur le 11 janvier 2024 et en application le 12 septembre 2025.

À noter que le Règlement (UE) 2025/327 relatif à l’espace européen de données de santé (EEDS) contribue également à la stratégie européenne pour les données, au même titre que les règlements européens relatifs au DMA (pour Digital Markets Act) du 14 septembre 2022 (Règlement (UE) 2022/1925) et au DSA (pour Digital Services Act) du 19 octobre 2022 (Règlement (UE) 2022/2065).

En effet, là où le DGA et le Data Act viennent encadrer de manière générale le marché unique de la donnée dans l’UE, le règlement EEDS adopte une approche plus sectorielle et ne concerne que le marché de la donnée de santé en venant préciser les règles complétant et/ou dérogeant au cadre général posé par le DGA et le Data Act.

Le DGA vient créer un cadre de confiance pour faciliter le partage des données entre secteurs (public, privé, recherche), en établissant des mécanismes neutres et sécurisés (ex. : intermédiaires de données, « data altruism », faciliter la réutilisation des données publiques). Il ne rend pas le partage obligatoire, mais en organise les conditions pour qu’il soit sécurisé, équitable et interopérable.

Le Data Act vient quant à lui poser des obligations concrètes pour libérer les données, notamment celles générées par les objets connectés (IoT) ou les services numériques.

À noter que ces règlements couvrent tout type de données, qu’elles soient personnelles ou non-personnelles.

Le Data Act concerne une large variété d’acteurs, tels que les :

• fabricants de produits connectés mis sur le marché de l’UE ;
• fournisseurs de services connexes associés à des produits connectés mis sur le marché de l’UE ;
• fournisseurs de services de traitement de données mis sur le marché de l’UE ;
• Détenteurs de données ;
• Organismes du secteur public qui demandent aux détenteurs de données de mettre des données à disposition lorsqu’il existe un besoin exceptionnel de disposer de ces données pour exécuter une mission spécifique d’intérêt public ;

Les acteurs de la santé principalement concernés par le Data Act sont notamment les fabricants de dispositifs médicaux numériques (DM), considérés comme des « détenteurs de données » et des « fabricants de produits connectés ».

À ce titre, les fabricants de DM connectés doivent notamment :

• mettre à disposition des utilisateurs (patients, professionnels de santé) les données générées y compris les métadonnées pertinentes nécessaires à l’interprétation et à l’utilisation de ces données, sans frais, dans un format structuré, lisible par machine et interopérable (article 3.1 du Data Act) ;
• Informer obligatoirement l’utilisateur, avant la conclusion du contrat, sur un ensemble d’informations portant notamment sur la nature des données générées, les modalités d’accès/extraction/stockage/effacement des données, les moyens de communication mis en œuvre pour le contacter, etc… (article 3.2 et 3.3 du Data Act).
• Ne pas rendre difficile pour les utilisateurs l’exercice de leurs droits ou la prise de décision, y compris en offrant des choix à l’utilisateur d’une manière qui ne serait pas neutre ou visant à compromettre son autonomie, la prise de décision ou le choix des utilisateurs ou d’une partie de ces derniers (article 4.4 du Data Act).
• Ne pas mettre à la disposition de tiers les données à caractère personnel relatives aux produits à des fins commerciales ou non-commerciale autres que l’exécution de leur contrat avec l’utilisateur (article 4.13 du Data Act) ;
• Etc…

Les hébergeurs de données de santé sont également concernés par les dispositions du Data Act, dans la mesure où ces derniers sont assimilés à des « fournisseurs de services de traitement de données ».

Les services de traitement de données sont définis par le Data Act comme des services numériques « permettant un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services » (article 2.8 du Data Act).

Dès lors, les hébergeurs de données de santé qui délivrent des prestations d’hébergement permettent à leurs clients d’accéder à un ensemble de ressources informatiques configurables, telles que la mise à disposition et le maintien en condition opérationnelle d’infrastructures virtualisées d’un système d’information (article R.1111-9.3° du Code de la santé publique qui recense les classes d’activités d’hébergement pouvant faire l’objet d’une certification prévue par l’article L.1111-8 du Code de la santé publique).

À ce titre, les hébergeurs de donnée de santé doivent notamment dans le cadre du Data Act :

• Prévoir contractuellement le droit pour le client de changer de prestataire ainsi que l’informer des modalités d’un tel changement (articles 25 et 26 du Data Act).
• Supprimer progressivement les frais de changement de fournisseur, qui seront définitivement interdits d’ici le 12 janvier 2027 (article 29 du Data Act).
• Fournir des interfaces ouvertes et documentées pour faciliter la portabilité des données et en assurer leur interopérabilité (article 30.2 et 30.3 du Data Act).
• Prendre toutes les mesures techniques organisationnelles et juridiques adéquates y compris des contrats afin d’empêcher l’accès international des autorités publiques et l’accès des autorités publiques de pays tiers à l’Union européenne aux données traiter par le fournisseur de services de traitement de donnée (article 32 du Data Act).

Certaines de ces exigences sont déjà connues des hébergeurs de données de santé en France, qui doivent se conformer aux dispositions du Code de la santé publique relatives à l’hébergement de données de santé (HDS), et prévoir dans leurs contrat d’hébergement l’ensemble des mentions prévues par l’article R.1111-11 du Code de la santé publique.

À noter que les exigences de la certification HDS se cumulent aux exigences posées par le Data Act, même si celles-ci sont parfois alignées comme dans le cadre de la souveraineté des données

En effet, certaines exigences relatives à la souveraineté des données prévues par l’article 32 du Data Act sont reprises dans la nouvelle version du référentiel HDS issue de l’arrêté du 26 avril 2024, qui consacre un chapitre 7 aux exigences de souveraineté des données (exigences n°28 à n°31).

Ainsi, le Data Act offre de nouvelles marges de négociation pour les établissements de santé auprès de leurs prestataires qui ne devront pas être ignorées afin de préserver leurs droits et leurs intérêts.