Entré en application le 12 septembre 2025, le règlement (UE) 2023/2854, dit « Data Act » ou « Règlement sur les Données », constitue une nouvelle étape de la stratégie européenne visant à créer une économie de la donnée. Son objectif est de faciliter l’accès, l’utilisation et le partage des données, de renforcer les droits des utilisateurs et d’instaurer des règles harmonisées en matière de portabilité, de transparence et de souveraineté numérique.
Derrière ces grands principes se cachent des obligations concrètes qui concernent directement le secteur du numérique en santé. Deux catégories d’acteurs sont particulièrement concernées :
- Les fabricants de dispositifs médicaux connectés (DM), tenus de rendre les données générées accessibles aux utilisateurs et, sur demande, à des tiers ;
- Les hébergeurs de données de santé (HDS), assimilés à des prestataires de « services de traitement de données », qui doivent adapter leurs contrats et leurs pratiques pour garantir la réversibilité, supprimer progressivement les frais de sortie et assurer l’interopérabilité technique.
Ces obligations viennent s’ajouter au RGPD, qui reste pleinement applicable, et au régime français de certification HDS.
1. Les nouvelles obligations pour les fabricants de dispositifs médicaux connectés
1.1. Acteurs concernés
Le Data Act s’applique notamment :
« a) aux fabricants de produits connectés mis sur le marché de l’Union européenne ;
b) aux fournisseurs de services connexes mis sur le marché de l’Union européenne. » (art. 1 §3)
Le Règlement sur les Données définit le « produit connecté » comme :
« un objet qui obtient, génère ou recueille des données concernant son utilisation ou son environnement, qui est en mesure de communiquer des données relatives au produit […] et dont la fonction première n’est pas de stocker, de traiter ou de transmettre des données pour le compte de toute partie autre que l’utilisateur. » (art. 2 §5)
Cette définition englobe sans difficulté les DM physiques connectés (capteurs de santé, dispositifs implantables, portables, etc.), qui produisent des données de santé et les transmettent à l’utilisateur.
Le règlement vise aussi les « services connexes » :
« un service numérique […] connecté au produit au moment de l’achat […] ou ensuite connecté […] pour ajouter, mettre à jour ou adapter ses fonctions. » (art. 2 §6)
Autrement dit, sont visés à la fois l’objet physique et les logiciels, applications ou plateformes indispensables à son fonctionnement.
Le Data Act introduit aussi la notion de « détenteur de données » :
« une personne physique ou morale qui […] a le droit ou l’obligation d’utiliser et de mettre à disposition des données, y compris […] des données relatives au produit ou au service connexe qu’elle a extraites ou générées. » (art. 2 §13)
Dans le secteur médical, cela recouvre principalement les fabricants de DM connectés, mais aussi leurs distributeurs ou prestataires associés susceptibles de détenir des données.
1.2. Accès et partage des données générées
L’article 3 §1 prévoit que les données générées par un produit connecté doivent être accessibles à l’utilisateur :
« par défaut, […] de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine […]. »
Pour les DM connectés, le patient ou le professionnel de santé doit donc pouvoir récupérer facilement ses données, sans frais ni obstacle technique.
Le règlement crée aussi un droit au partage avec des tiers :
« Lorsqu’un utilisateur […] en fait la demande, le détenteur de données met les données […] à la disposition d’un tiers sans retard injustifié […]. » (art. 5 §1)
En pratique, un patient pourra exiger que ses données soient transmises directement à une autre application de santé, à un service d’analyse ou à un professionnel de santé tiers.
Lorsque l’accès direct n’est pas possible, l’article 4 impose que les données soient fournies « sans retard injustifié » et « à un niveau de qualité identique à celui dont bénéficie le détenteur ».
Ces nouvelles règles imposent aux fabricants de dispositifs médicaux connectés de concevoir des dispositifs et des services associés capables de garantir une portabilité effective des données.
Elles impliquent également de revoir la documentation contractuelle, l’article 13 listant des clauses abusives interdites dans les contrats entre professionnels.
1.3. Transparence dans l’utilisation des données
L’article 3 paragraphes 2 et 3 impose aux fournisseurs de produits connectés et de services connexes de fournir, avant la conclusion du contrat, des informations précises portant notamment sur :
- la nature et le volume des données générées ;
- les modalités d’accès, d’extraction et d’effacement ;
- les conditions de stockage et de conservation ;
- les finalités d’utilisation et, le cas échéant, le partage avec des tiers.
Ces obligations d’information s’ajoutent à celles du RGPD. Elles imposent de revoir notices, CGV/CGU et supports précontractuels pour s’y conformer.
1.4. Garde-fous au partage des données
L’ouverture des données est encadrée pour protéger la sécurité et les intérêts économiques. L’article 4 §2 autorise ainsi des restrictions contractuelles lorsque l’accès aux données est susceptible de compromettre la sécurité du produit ou des personnes.
Le règlement protège également les secrets d’affaires (art. 4 §6 et s.), en permettant au détenteur de données d’imposer des mesures pour préserver son secret des affaires ou de refuser une demande de partage s’il démontre un risque de préjudice économique grave.
Enfin, l’article 1 §5 rappelle que le Data Act :
« s’applique sans préjudice du droit […] relatif à la protection des données à caractère personnel. »
Cela signifie que le règlement ne crée pas de nouvelle base légale de traitement (Considérant 32) : le RGPD demeure le cadre applicable si le partage de données imposé par le Data Act suppose le transfert de données de santé. Les droits existants, comme les droits d’accès et de portabilité prévus par le RGPD, continuent de s’appliquer.
2. Les nouvelles obligations pour les hébergeurs de données de santé (HDS)
2.1. Les HDS comme prestataires de « services de traitement de données »
Le Data Act s’applique directement aux « services de traitement de données », définis comme :
« un service numérique […] permettant un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables […]. » (art. 2 §8)
Les HDS certifiés en France, qui fournissent des services d’infrastructure en nuage (cloud), entrent donc pleinement dans cette catégorie. Ils sont soumis aux règles du chapitre VI (articles 23 à 32), visant notamment à faciliter le changement de prestataire.
2.2. Clauses contractuelles de réversibilité
L’article 25 impose que les contrats prévoient expressément le droit du client de changer de fournisseur. L’article 26 prévoit la mise en place d’un registre en ligne décrivant les formats et normes utilisés, et l’article 27 une obligation de bonne foi dans la coopération au changement de prestataire.
Pour les HDS, cela signifie qu’il ne sera plus possible de verrouiller contractuellement son client : les contrats doivent être adaptés pour permettre une migration effective des données.
2.3. Fin programmée des frais de sortie
L’article 29 prévoit la réduction progressive, puis la suppression totale, des frais de changement de fournisseur :
- Entre janvier 2024 et janvier 2027 : des frais « réduits », strictement limités aux coûts supportés par le fournisseur, restent possibles ;
- A partir du 12 janvier 2027 : plus aucun frais de sortie ne peut être facturé.
2.4. Interopérabilité et portabilité technique
L’article 30 impose aux prestataires de faciliter concrètement les migrations, en fournissant :
- Les informations, documentation et assistance nécessaires pour garantir une « équivalence fonctionnelle » chez le nouveau fournisseur ;
- Des interfaces ouvertes et documentées permettant la portabilité des données ;
- La compatibilité avec les normes d’interopérabilité publiées au journal officiel de l’UE.
Pour les HDS, cela signifie que les données de santé devront pouvoir être transférées dans un format lisible par machine et dans des conditions techniques assurant la continuité du service.
2.5. Souveraineté des données
Enfin, le chapitre VII (art. 32) renforce la protection contre l’accès illicite aux données non personnelles par des autorités de pays tiers.
Les fournisseurs doivent prendre :
« toutes les mesures techniques, organisationnelles et juridiques adéquates […] afin d’empêcher l’accès […] lorsque ce transfert ou cet accès risque d’être en conflit avec le droit de l’Union ou le droit national. » (art. 32 §1)
En pratique, une demande d’accès d’une autorité étrangère ne peut être exécutée que sur la base d’un accord international ou, à défaut, si elle respecte des conditions strictes de proportionnalité et de contrôle juridictionnel (art. 32 paragraphes 2-3).
Même si ce dispositif vise les données non personnelles, il traduit une exigence de souveraineté numérique qui s’ajoute au RGPD et au régime HDS pour les données de santé.
Conclusion :
Le Data Act impose donc des obligations nouvelles et structurantes pour les fabricants de dispositifs médicaux connectés et pour les HDS. Portabilité, transparence, réversibilité et souveraineté deviennent des impératifs réglementaires. Pour les acteurs de santé, l’enjeu est double : adapter leurs pratiques contractuelles et techniques, tout en veillant à l’articulation de ce nouveau règlement avec le RGPD et la certification HDS.
