Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Un règlement pensé pour l'internet des objets

Le Data Act s’applique aux fabricants de produits connectés, aux fournisseurs de services numériques, ainsi qu’aux détenteurs de données. Dans le domaine de la santé, cela inclut les dispositifs médicaux connectés (capteurs, implants, objets portables) et les logiciels ou plateformes associés.
Ces acteurs devront garantir que les données générées seront accessibles par défaut à l’utilisateur, dans un format structuré, lisible par machine, et sans frais.
Ce droit d’accès s’accompagne d’un droit au partage : sur demande de l’utilisateur, les données doivent pouvoir être transmises à un tiers, sans restriction contractuelle injustifiée.
Cette portabilité ouvre la voie à une interopérabilité accrue entre systèmes, mais impose aussi des garde-fous pour préserver la sécurité des dispositifs et les secrets d’affaires.

Une articulation délicate avec le RGPD 

Le Data Act ne crée pas de nouvelle base légale de traitement des données personnelles. Il s’applique sans préjudice du RGPD, qui demeure le cadre de référence pour les traitements de données de santé. Ainsi, lorsque l’utilisateur n’est pas la personne concernée, ou lorsqu’il souhaite partager ses données avec un tiers, il faudra justifier d’une base légale conforme à l’article 6 du RGPD et satisfaire aux conditions de l’article 9.
Cette articulation soulève des questions complexes, notamment en cas de pluralité d’acteurs (fabricant, hébergeur, prestataire de service). Elle impose une revue des contrats, des notices d’information, et des parcours utilisateurs pour assurer une conformité croisée entre les deux règlements.

Vers la fin des verrous contractuels

Les prestataires de services, dont par exemple les hébergeurs de données de santé, sont soumis à des obligations de réversibilité, de transparence contractuelle, et d’interopérabilité technique, mais également à une interdiction, applicable à partir de janvier 2027, de facturer de frais de sortie.
Ils devront également mettre en place des interfaces ouvertes, fournir une documentation technique complète, et garantir une équivalence fonctionnelle chez le nouveau fournisseur.
Ces exigences renforcent la souveraineté numérique et la capacité des établissements de santé à assurer le contrôle sur leurs données.

Des enjeux et opportunités pour les acteurs du secteur santé

Pour les industriels, établissements et prestataires du secteur, le Data Act impose une refonte des pratiques techniques et contractuelles.

Pour les industriels, les dispositifs et services doivent être conçus de manière compatible avec la portabilité des données.
Il leur appartient également de préparer les informations précontractuelles obligatoires, et de revoir les contrats afin d'y intégrer les nouvelles obligations et d'y chasser les clauses définies comme abusives par le Data Act.
Enfin, des mécanismes de partage sécurisés doivent être mis en place et documentés.

Il convient désormais d'appréhender de manière globale la gouvernance de la data, en tenant compte du Data Act, du RGPD, et des autres textes européens (AI Act, EHDS…).

Au-delà de la conformité, le Data Act offre une opportunité stratégique : celle de valoriser les données de santé dans un cadre éthique, sécurisé et transparent, au service de l’innovation et de la qualité des soins.