Omnibus et numérique en santé : objectif de simplification et résistance des autorités et des Etats membres

Des modifications structurantes pour les traitements de données de santé

Le texte propose une redéfinition du concept de « donnée personnelle » qui exclurait les données pseudonymisées du champ d'application du RGPD lorsque leur détenteur ne dispose pas des moyens de réidentification.

Pour les acteurs de la recherche médicale et de l'IA en santé, l’enjeu est de taille.

La proposition prévoit également un nouvel article au RGPD mentionnant explicitement le développement et le déploiement de systèmes d'intelligence artificielle comme pouvant être fondé sur l'intérêt légitime, avec une dérogation encadrée pour le traitement résiduel de données sensibles, y compris les données de santé. Pour les entreprises pharmaceutiques et de technologies médicales, ces dispositions faciliteraient largement le recours à l'IA dans le développement de dispositifs médicaux et la recherche clinique.

L'enjeu français : SNDS, méthodologies de référence, référentiel EDS et régime HDS

En France, toute modification de la notion de données personnelle aurait des conséquences particulièrement significatives pour l'écosystème de la recherche en santé, dans la mesure où la France a introduit des conditions supplémentaires à celles du RGPD concernant les traitements des données de santé.

Toute modification de la définition des données personnelles affecterait en cascade l'accès au SNDS, les méthodologies de référence (MR) de la CNIL, le référentiel EDS et même possiblement le régime relatif à l’hébergement des données de santé. Cette refonte interviendrait à l’heure où la CNIL s'apprête à publier des MR modifiées, après près d'un an et demi de consultations publiques.

L’enjeu européen, l’Espace européen des données de santé

De même, l'Espace européen des données de santé (EHDS), adopté le 11 février 2025, distingue des procédures d'accès aux données reposant sur la qualification personnelle des données pseudonymisées. L'article 68 de l'EHDS encadre la délivrance d'autorisations de traitement par les organismes responsables de l'accès aux données de santé, précisément parce que ces données demeurent soumises au RGPD. Ainsi, l'EHDS, dont la mise en application sur le volet réutilisation ne débutera qu'en 2029, pourrait en être transformé avant même d'être déployé.

Une réponse ferme des autorités européennes de protection des données et des Etats membres

Le 11 février 2026, le CEPD et l’EDPS ont adopté un avis conjoint, lequel, tout en reconnaissant l'objectif de simplification, rejette ou critique plusieurs propositions centrales du projet. Leur position est catégorique sur la redéfinition de la donnée personnelle, invitant les colégislateurs à ne pas adopter ces modifications, considérant qu'elles vont bien au-delà d'une modification ciblée ou technique du RGPD. Ils soulignent que la définition de la donnée personnelle se situe au cœur même du droit européen de la protection des données, y compris l'article 8 de la Charte des droits fondamentaux. Les autorités regrettent par ailleurs que la proposition n'ait pas été accompagnée d'une analyse d'impact complète et considèrent qu'une attention insuffisante a été accordée aux effets négatifs de certaines modifications sur les droits fondamentaux.

La CNIL, au sein du CEPD, a participé, dès décembre 2025, aux premiers échanges stratégiques, mettant l’accent sur la protection des données personnelles des individus. L'approche française s'inscrit dans la ligne de la Déclaration d'Helsinki du 3 juillet 2025, par laquelle le CEPD avait affirmé que la conformité ne devait pas passer par une réécriture du RGPD, mais par un meilleur accompagnement pratique des organisations.

Dans un premier compromis du Conseil daté du 20 février 2026 sur le texte de simplification, la proposition de la Commission visant à codifier l’arrêt SRB de la CJUE modifiant la définition des données personnelles avait été rejetée par les Etats membres au motif qu’il est « important d’apporter des précisions supplémentaires sur le moment où une personne physique doit être considérée comme identifiable » via des lignes directrices du CEPD. De même a été supprimée la disposition permettant à la Commission d’adopter des actes d’exécution pour trancher sur les critères de définition liés à la pseudonymisation. Sur la réutilisation des données à des fins de recherche scientifique, les considérants allaient dans le sens des lignes directrices publiées depuis lors par le CEPD le 15 avril 2026[1].

Dans un second compromis du Conseil daté du 15 avril, les États membres se positionnent contre la proposition de la Commission permettant le recours à la base légale de l’intérêt légitime pour entraîner les systèmes d’IA avec des données personnelles. Concernant la modification visant à exclure du champ de définition des données personnelles les données pseudonymisées, le Conseil s’y oppose mais invite l’EDPB à adopter un avis « au plus tard douze mois après l’entrée en vigueur du règlement » sur la pseudonymisation et l’anonymisation, afin que soit clarifié le concept de « moyens raisonnablement susceptibles d’être utilisés pour identifier [une personne].

Les propositions sont désormais entre les mains des colégislateurs européens pour un vote prévu en juin 2026. Selon un texte de compromis du Conseil qui a fuité, la proposition de redéfinition de la donnée personnelle aurait été retirée. Il n’en reste pas moins que l’arrêt SRB du 4 septembre 2025 de la CJUE, a fait du chemin, et continuera à en faire, transposé ou non dans un texte réglementaire…