STRATÉGIE IA ET DONNÉES DE SANTÉ : DÉFIS DE SOUVERAINETÉ ET CONFORMITÉ À L’ESPACE EUROPÉEN DE DONNÉES DE SANTÉ

La France se dote d’une nouvelle stratégie en matière d’intelligence artificielle et d’utilisation secondaire des données de santé. Entre patrimoine nationale de données de santé, hébergement souverain de la Plateforme de données de santé, et consultation sur l’IA en matière de santé, nous vous proposons dans cet article un panorama et une analyse des éléments clés présents au sein de la stratégie.

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a présenté le 1^erjuillet 2025 les premières étapes de la stratégie nationale en matière d’intelligence artificielle et d’utilisation secondaire des données de santé.

Cette stratégie vise à préparer l’entrée en vigueur en France du règlement européen sur l’espace de données de santé (EEDS ou EHDS pour European Health Data Space) et à favoriser l’usage secondaire des données de santé, ainsi que la mise en œuvre de nouvelles bases de données de santé.

La stratégie se décline en deux chapitres : Un premier chapitre dédié à l’exploitation du patrimoine national des données de santé qui avait fait l’objet d’une consultation publique l’année dernière. Un second chapitre relatif à l’intégration progressive et encadrée de l’intelligence artificielle dans le système de santé. Pour ce dernier, le ministre de la Santé a annoncé l’ouverture d’une consultation publique, dont la clôture est prévue pour le 22 septembre 2025.

Un agenda chargé en perspective ! Dans ce contexte, nous vous proposons de faire une synthèse des éléments essentiels et des enjeux à retenir de la stratégie.

Le chapitre premier dédié à la constitution du patrimoine de données de santé s’est appuyé en grande partie sur les travaux du rapport Marchand Arvier présenté le 5 décembre 2023, qui avaient pour objectifs de poser les bases d’une feuille de route en matière de réutilisation des données de santé, et s’intègre également dans le cadre de la feuille de route du numérique en santé publiée le 17 mai 2023 par le ministère de la Santé et de la Prévention de l’époque.

Soumise à consultation en fin d’année 2024, et ayant récupéré plus de 300 contributions, la « Stratégie interministérielle pour construire notre patrimoine national des données de santé 2025 – 2028 » avait vocation à définir les grandes orientations dans les années à venir pour développer les bases de données et l’usage secondaire des données de santé.

La stratégie sur l’utilisation secondaire des données est désormais finalisée, et l’horizon de ses prochaines étapes a pu être présenté par Monsieur Neuder le 1er juillet 2025.

Toujours construite autour des 4 axes qui avaient été présentés en 2024, (Favoriser la transparence et la confiance des citoyens, Constituer des bases de données d’intérêt réutilisables, Réunir les conditions nécessaires au partage et à la mise à disposition des données de santé, Faciliter et simplifier l’utilisation des données) la stratégie présente les différentes actions qui ont été déterminées dans le cadre des objectifs identifiés.

Parmi les actions identifiées, les plus importantes à relayer ici sont celles liées à la gouvernance des données de santé en France dans le cadre de l’EEDS (1), l’allégement des formalités liées à la mise à disposition des données (2), les redevances accordées aux détenteurs de données de santé (3).

La gouvernance des données de santé en France dans le cadre de l’EEDS

Le Forum des parties prenantes

Le premier changement à relever est celui de la transformation du Comité stratégique des données de santé (ci-après le « Comité ») vers un Forum des parties prenantes.

Ce Comité, créé par un arrêté du 29 juin 2021, est constitué auprès du ministre chargé de la santé des éléments d’orientation et de décision relatifs à la mise en œuvre et au développement du système national des données de santé (ci-après « SNDS »).

Le Comité a participé activement à différents chantiers dans le cadre de l’élaboration de la stratégie nationale relative à la constitution du patrimoine de données de santé, notamment au travers de ses différents groupes de travail qui ont récemment produit des livrables sur leurs travaux (« Financement », « Contrats types pour la mise à disposition des données hospitalières »).

Cette évolution du Comité en un Forum des parties prenantes tend à favoriser le dialogue entre les producteurs et ré-utilisateurs de données, en associant l’ensemble des acteurs aux orientations nationales à travers des collèges consultatifs : établissements de santé, professionnels de santé, recherche publique, industriels et filières, patients et usagers.

Ainsi, des modifications relatives à la composition et la gouvernance du Comité sont donc à prévoir d’ici la fin de l’année 2025, lesquelles devront être réalisées par voie d’arrêté.

L’Organisme responsable de l’accès aux données

Le règlement EEDS impose à chaque Etat membre la désignation, d’ici 2027, d’un ou plusieurs Organismes responsables de l’accès aux données (ORAD).

Les ORAD occupent un rôle central dans l’application du règlement EEDS et ont pour missions d’étudier la recevabilité des demandes d’accès aux données à des fins de réutilisation, d’autoriser et délivrer des permis d’accès aux données, d’obtenir de la part des détenteurs la fourniture de ces données puis de les préparer, le cas échéant les apparier et de les mettre ensuite à disposition des utilisateurs dans un environnement de traitement sécurisé.

Les missions de l’ORAD peuvent être portées par plusieurs entités au niveau national, mais coordonnées par un seul ORAD par État membre.

En France, la stratégie précise que les missions de l’ORAD sont aujourd’hui majoritairement assurées par la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») et la Plateforme de données de santé (ci-après « PDS » ou « HDH » pour Health Data Hub).

On note que la stratégie n’évoque plus le rôle du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES), pourtant évoqué lors de la consultation organisée en octobre 2024.

On peut également souligner l’absence de retour sur l’analyse d’impact du règlement EEDS annoncé lors de la consultation en octobre 2024 sur les futures fonctions du ou des ORAD, et en particulier de l’ORAD coordonnateur et ses implications notamment sur la PDS, la CNIL et le CESREES.

À ce titre, la stratégie évoque l’étude de différents scénarios concernant la désignation de l’ORAD en France, et annonce un projet de loi en 2026 à ce sujet.

La gestion des droits des personnes concernées

La stratégie évoque la mise en place d’un portail de transparence unique géré par la PDS à destination des citoyens, leur permettant d’exercer leurs droits sur la réutilisation de leurs données présents au sein du SNDS et des bases hébergées par la PDS.

Ce portail s’inscrit dans l’objectif de simplifier l’exercice des droits et améliorer l’information des personnes, et doit faire l’objet de l’élaboration, d’ici la fin de l’année 2025, d’un formulaire national d’exercice des droits pour le SNDS.

En outre, et afin d’appréhender la mise en œuvre pratique des droits des personnes prévus dans le cadre du règlement EEDS, un groupe de travail dédié est annoncé par la stratégie d’ici la fin de l’année 2025.

En effet, le règlement EEDS prévoit pour la réutilisation secondaire des données de santé un principe de réutilisation par défaut, auquel la personne peut exercer son droit de refus. De même, la personne concernée a le droit d’être tenue informée en cas de constatation significative relative à son état de santé (article 61.5 du règlement EEDS) qui pourrait survenir lors de la réutilisation de ses données, auquel il peut s’il le souhaite s’opposer (article 58.3 du règlement EEDS).

Les modalités d’exercice de ces droits devront donc être clairement définies, tant celles-ci posent des interrogations sur le plan technique (interface d’exercice des droits, synchronisation entre les portails existants et leur articulation avec les régimes déclaratifs de la CNIL via ses méthodologies de référence et référentiels).

L’allégement des formalités liées à la mise à disposition des données

Le régime déclaratif auprès de la CNIL

Plusieurs actions sont abordées par la stratégie pour alléger les procédures tendant à obtenir la mise à disposition de jeux de données de santé.

La stratégie évoque notamment la généralisation du recours au régime déclaratif aux méthodologies de références et référentiels de la CNIL afin d’accélérer et simplifier la mise à disposition des données de santé, et pour que le régime de l’autorisation devienne désormais exceptionnel.

À ce titre, la CNIL avait organisé une consultation publique en 2024 relative à l’adaptation de ses référentiels, et avait publié sur son site internet la synthèse des consultations.

Des groupes de travail pour mettre à jour ses référentiels santé, en concertation avec les acteurs concernés, devaient être mis en place au cours du premier semestre 2026, en lien également avec la PDS.

La CNIL n’a depuis plus communiqué à ce sujet, qui devait par ailleurs exposer les modalités pratiques auprès des acteurs souhaitant participer à ces groupes, comme elle l’avait évoqué lors de son webinaire du 10 décembre 2024 sur les retours de la consultation. Un retard sur le programme semble donc avoir été pris à ce sujet.

 La dispense d’avis préalable du CESREES

Toujours dans l’optique de réduire le recours aux procédures d’autorisation, la stratégie évoque également le fait d’inscrire la dispense d’avis préalable du CESREES en cas d’avis du comité scientifique et éthique (CSE) local dans la loi.

Les CSE sont présentés comme une alternative au CESREES, dont les modalités d’application de leur régime devront faire l’objet d’un décret d’application afin de garantir leur indépendance pour instruire les dossiers ainsi que les voies de recours en cas d’avis négatif.

Ce point est consacré dans le projet de loi de simplification de la vie économique (article 22) qui a été adopté par l’Assemblée nationale le 17 juin dernier, qui précise que :

« les demandes d’autorisation relatives à des études ou à des évaluations ainsi qu’à des recherches n’impliquant pas la personne humaine et ayant fait l’objet d’un avis favorable d’un comité scientifique et éthique local peuvent être dispensées d’un avis préalable du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé ».

Le projet de loi est désormais devant la commission mixte paritaire, mais l’horizon de son adoption définitive reste difficile à entrevoir.

À relever également que le Comité stratégique des données de santé a réalisé des livrables pour accompagner les CSE sur le plan opérationnel, à travers l’élaboration de guides sur la gouvernance d’accès aux données : Modèles d’avis, règlement intérieur, fiche d’évaluation et fiche de recevabilité. Ces ressources sont présentes sur le site internet de la PDS.

Les redevances accordées aux détenteurs de données de santé

La stratégie annonce la poursuite des travaux relatifs à la détermination des redevances accordées aux détenteurs des données de santé.

À ce titre, la stratégie précise que le Forum des parties prenantes (ancien Comité stratégique des données de santé) aura la charge de réaliser des travaux relatifs :

• À l’étude de scénarios d’une financement pérenne ;
• Au développement de leviers incitatifs (SIGAPS, MERRI, Publications, Clauses dans les appels à projets) ;
• À l’harmonisation des pratiques d’accès, de contractualisation, de gestion des droits de propriété intellectuelle, des modalités et durées d’embargo scientifique avant publications, notamment en lien avec les modalités de redevances prévues par les règlements EEDS et Digital service act (« DSA»). Pour rappel, les redevances accordées aux établissements publics de santé prévues par le règlement EEDS sont exclusives de celles prévues par le DGA (article 42 Règlement EEDS).

Il peut être relevé que le Comité stratégique des données de santé a publié le 19 juin dernier des grilles de redevances pour l’accès aux données de santé présentes auprès des entrepôts de données de santé hospitaliers, ainsi qu’un contrat-type pour simplifier et accélérer la contractualisation entre établissements de santé et acteurs privés.

Le Comité précise que ces grilles ne sont pas opposables, mais que leur utilisation fera l’objet d’un suivi dans l’optique de préciser les recettes des entrepôts générées par redevances.

Par ailleurs, les travaux sur les redevances réalisés dans le cadre de l’action conjointe du groupe TEDHAS 2, auquel la Délégation au numérique en santé (« DNS ») prend part, seront soumis à consultation à compter de la rentrée 2025.

Ces travaux visent à alimenter la ligne directrice de la Commission européenne relative aux redevances, en vue des actes d’exécution à venir que celle-ci adoptera.

À relever que la stratégie évoque également pour la première fois depuis la consultation sur la stratégie organisée l’année dernière la possibilité pour les détenteurs de données de santé de réaliser des partenariats en dehors des redevances accordées prévues par le règlement EHDS, par le biais de conventions dédiées, sans toutefois évoquer la nécessité de modifier l’article L.1111-8.VII du Code de la santé publique qui empêche « tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l’accord de la personne concerné […] ».

Un hébergement contesté de longue date

Dans le cadre de l’objectif de la stratégie d’assurer un hébergement souverain de la PDS (3.2), un marché public visant à proposer une solution de mise à disposition de la copie de la base principale du SNDS (« solution intercalaire ») gérée par la PDS, actuellement hébergée auprès de Microsoft Azure, a été annoncé.

L’absence de souveraineté derrière l’hébergement des données de santé de la PDS a très souvent été critiquée et relayée dans l’actualité de ces dernières années, et a même été contestée en justice devant le Conseil d’État à plusieurs reprises.

En effet, le dernier épisode de la saga lié à l’hébergement des données de santé du SNDS assuré par le géant américain remonte au 25 juin 2025, dans le cadre d’un recours formé par Cleyrop (plateforme de gestion des données) et Clever Cloud (fournisseur de cloud).

Le recours visait à annuler la décision du ministre de la Santé de ne pas adopter une nouvelle solution technique pour protéger les données hébergées par PDS des divulgations illégales aux autorités américaines dans un délai de deux ans à partir de novembre 2020, et à enjoindre l’État d’adopter une telle solution. Les requérants se sont appuyés sur un courrier de février 2023 du ministère de la Santé à la CNIL, reconnaissant l’absence de solution d’hébergement alternatif viable pour les données de santé de la PDS.

Ce courrier demandait à la CNIL d’évaluer les demandes d’autorisation de la PDS au cas par cas, « sur la base du fonctionnement actuel », et non de manière globale sur l’hébergement des données de santé composant l’ensemble du SNDS (Système National des Données de Santé). Pour les requérants, ce choix marquait un renoncement à l’objectif de souveraineté fixé en novembre 2020 visant à quitter Azure sous deux ans.

Le Conseil d’État a rejeté le recours des requérants, estimant que le courrier attaqué ne révélait « l’existence d’aucune décision du ministre susceptible de faire l’objet d’un recours en excès de pouvoir ». Il a interprété le courrier comme une proposition adressée à la CNIL d’une solution temporaire en attendant la migration des données vers un hébergeur soumis exclusivement au droit français et/ou de l’Union européenne.

À ce titre, Madame Stéphanie Combes, directrice de la PDS, auditionnée par le Sénat le 14 mai 2025 sur les coûts et les modalités effectifs de la commande publique, n’hésite d’ailleurs pas à s’appuyer sur les décisions rendues par le Conseil d’Etat lors de divers contentieux engagés contre la PDS, à la suite de la publication de la loi SREN visant expressément la PDS à obtenir un hébergement certifié SecNumCloud, ou encore lors de l’autorisation délivrée par la CNIL au projet d’entrepôt de données de santé EMC2, pour appuyer la position retenue par la PDS concernant le choix de recourir à Microsoft.

En effet, au moment où les rapporteurs ont interrogé Mme Combes sur les risques d’application des législations extraterritoriales américaines sur les données hébergées sur la plateforme, obstacle juridique majeur à la souveraineté des données collectées, celle-ci a répondu que deux analyses juridiques ont pu être réalisées par leurs services convergeant sur le fait que l’application de ces législations s’avèrent très peu crédibles dans leur contexte.

Elle précise à ce titre que ces analyses ont été confirmées par le Conseil d’État dans ses ordonnances rendues à l’occasion des contentieux évoqués plus haut, et souligne le fait que « Les requérants n’ont jamais obtenu gain de cause » devant le Conseil d’État qui, selon Mme Combes, soutient que leur contrat avec Microsoft est « conforme au RGPD et que le risque d’application de ces lois reste extrêmement faible ».

La migration vers une plateforme souveraine et sécurisée

L’appel d’offres relatif à la solution « intercalaire » visant à assurer la transition vers un cloud souverain,  a donc été annoncé le 1^er juillet 2025 par le Ministère de la santé dans le cadre de la présentation de la stratégie nationale.

L’annonce du marché public a été doublée par le lancement d’un appel à projet piloté par la Direction générale des entreprises (« DGE ») visant à faciliter le développement d’offres de cloud de confiance qui permettra notamment à la PDS de respecter les exigences de sécurité SecNumCloud prévues par la loi SREN.

Ainsi, après plusieurs années de controverse, la polémique autour du choix de Microsoft Azure verrait-elle enfin le bout du tunnel ? Pour le moment, OVHcloud et Cloud Temple se seraient positionnés sur ce dossier. Affaire à suivre.

Le ministre de la santé a annoncé par la même occasion l’ouverture d’une consultation publique sur le deuxième chapitre de la stratégie concernant l’IA au service de la santé., à l’image de celle organisée en 2024 pour la constitution du patrimoine national de données de santé qui constitue aujourd’hui le premier chapitre de la stratégie.

Cette consultation vise à consolider une stratégie fondée sur quatre priorités structurantes :

1. clarifier la réglementation et encadrer les usages de l’IA en santé ;
2. renforcer l’évaluation des solutions d’IA et leur impact sur le système de soins ;
3. accompagner les professionnels et les établissements dans leur appropriation des outils ;
4. bâtir un cadre économique durable pour soutenir l’innovation s’appuyant sur l’IA.

L’objectif de cette consultation est de pouvoir identifier les freins à l’adoption de solutions d’IA en santé et de structurer cette partie de la stratégie IA en santé qui constitue pour le moment une proposition issue des travaux menés par le groupe de travail du Conseil en Numérique en santé, et dont la publication de la version finale est annoncée pour le mois d’octobre 2025.

Parmi les actions proposées au sein de cette deuxième partie soumise à consultation, peuvent être relevées notamment :

• L’élaboration d’un projet de FAQ à destination des acteurs sur les liens entre le règlement européen relatif à l’intelligence artificielle (IA Act) et ceux relatifs aux dispositifs médicaux (DM) et dispositifs médicaux in vitro (DMDIV).

En effet, ces dispositifs susceptibles d’embarquer un système d’IA devront, en sus des exigences posées par les règlements DM ou DMDIV, se conformer également aux exigences posées par le règlement IA Act, pouvant ainsi complexifier la compréhension du cadre réglementaire dans lequel évolue le dispositif. Il ne peut être regretté que ce travail se fasse en parallèle des travaux lancés par la Commission européenne sur les Systèmes d’Intelligence artificielle à haute risque (« SIA ») à haut risque.

• L’annonce d’un guide de déploiement d’une IA éthique qui a vocation à couvrir l’ensemble du cycle de vie des SIA ;
• S’appuyer sur des tiers lieux d’expérimentation (TLE) pour évaluer et expérimenter les solutions embarquant de l’IA en conditions réelles d’utilisation.

Le délai pour déposer une contribution sur la plateforme de l’Agence du Numérique en Santé (ANS) est extrêmement court dans la mesure où la consultation prend fin le 22 septembre prochain et que les vacances d’été arrivent entre-temps. La rentrée s’annonce déjà chargée et le rendez-vous est donné aux lecteurs de notre blog.