Delphine Jaafar : "Data Act : un nouvel équilibre du pouvoir dans la donnée de santé ?"

Adopté le 13 décembre 2023 et applicable depuis le 12 septembre 2025, le Data Act (Règlement UE 2023/2854) constitue l’un des piliers de la stratégie européenne des données. Pensé comme un texte horizontal, il vise à rééquilibrer les rapports entre fabricants, prestataires de services numériques et utilisateurs en rendant les données issues des produits connectés plus accessibles.

L’un des apports majeurs du Data Act est la définition très large de son champ d’application matériel. Le règlement prévoit en effet que toutes les données générées par l’utilisation d’un produit connecté ou d’un service associé (personnelles comme non personnelles) doivent pouvoir être mises à disposition de l’utilisateur de ce produit ou service.

Cette définition extensive entraîne une conséquence claire : les données de santé (entendues comme les informations relatives à l’état de santé d’une personne physique) entrent dans le champ du Data Act dès lors qu’elles sont générées par l’usage d’un produit ou d’un service connecté. Le considérant 14 du Règlement UE 2023/2854 explicite d’ailleurs cette inclusion et vise expressément les dispositifs médicaux et équipements de santé.

Pour les acteurs du secteur de la santé, les obligations en matière de gestion des données de santé sont substantielles.

Les fabricants de dispositifs médicaux connectés, dont l’utilisation génère mécaniquement des données de santé, doivent ainsi garantir la possibilité d’extraire les données brutes générées par l’usage du dispositif et de les rendre accessibles à l’utilisateur ou à un tiers désigné par lui. Ils doivent également veiller à délivrer des informations complètes sur la nature des données qui seront générées.

Les hébergeurs de données de santé (HDS) sont également concernés par l’entrée en vigueur du Data Act. En tant que fournisseurs de service de traitement de données, ils sont soumis aux obligations relatives à la réversibilité. Cela signifie qu’ils doivent prévoir contractuellement le droit pour le client de changer d’HDS ; faciliter la portabilité des données et assurer l’interopérabilité en permettant l’export des données de santé dans un format couramment utilisé et supprimer progressivement les frais de changement de fournisseur. Ces évolutions renforcent la maîtrise par les établissements et les professionnels de santé de leurs environnements numériques et limitent les effets de verrouillage technologique.

Le Data Act recompose les équilibres dans l’écosystème numérique de la santé. En renforçant la portabilité, en organisant l’accès aux données générées par les dispositifs médicaux connectés et en encadrant les prestataires d’hébergement de données de santé, il améliore les conditions d’exploitation des données de santé au sein des établissements. Cette dynamique sera encore amplifiée par l’entrée en vigueur de l’Espace européen des données de santé (Règlement UE 2025/327), qui instaurera dès 2027 un cadre harmonisé pour l’accès aux données de santé entre Etats membres.

Delphine Jaafar
Avocat associé au cabinet Vatier