
Publicité en cours de chargement...
Loi de simplification de la vie économique et traitements de données de santé, décryptage
1. Réutilisation des données de santé dans les protocoles de recherche
La loi facilite d’abord la réutilisation de données de santé préalablement recueillies dans plusieurs cadres de recherche.
S’agissant des recherches impliquant la personne humaine, loi modifie l’article L. 1122-CSP en y insérant un II : lorsque la recherche comporte, dans l’une de ses composantes, la réutilisation de données de santé recueillies antérieurement dans le cadre de la prise en charge habituelle du participant ou d'une précédente étude, le protocole soumis au comité de protection des personnes prévoit les modalités d’information des personnes concernées conformément aux articles 69 et 86 de la loi Informatique et Libertés (LIL), ainsi que les modalités d’exercice de leurs droits, y compris leur droit d'opposition à cette réutilisation.
Des mécanismes analogues sont également introduits, d’une part, pour les investigations cliniques portant sur des dispositifs médicaux, et, d’autre part, pour les études de performance portant sur des dispositifs médicaux de diagnostic in vitro.
Cette évolution est importante en pratique car elle consacre un mécanisme souple pour les projets de recherche qui s'appuient sur des données existantes. Elle ne supprime pas les garanties de protection des personnes : le protocole reste soumis à l'avis du comité de protection des personnes, l'information des participants demeure obligatoire et les droits RGPD restent applicables. En revanche, elle permet de mieux distinguer, au sein d'un même projet, les « composantes[2] » impliquant une intervention directe sur les personnes et celles reposant uniquement sur la réutilisation de données déjà recueillies.
2. Refonte du cadre applicable aux traitements de données de santé
La loi modifie la section de la LIL relative aux traitements de données dans le domaine de la santé. L’article 65 vise désormais les « traitements dans le domaine de la santé contenant des données concernant la santé des personnes », soumis, en sus du RGPD, aux dispositions spécifiques de cette section, sous réserve des exceptions énumérées par l’article 65.
Les référentiels adoptés par la CNIL deviennent officiellement le pivot du régime. Ils précisent les conditions de mise en œuvre des traitements afin d’assurer un équilibre entre protection des données personnelles et finalités d’intérêt public poursuivies. Ils peuvent être élaborés à l’initiative de la CNIL ou sur proposition des ministres chargés de la santé et de la recherche ou d’organismes représentatifs. La CNIL doit publier une stratégie de programmation des référentiels, incluant notamment les catégories les plus usuelles de traitements.
Le principe est que les traitements doivent être conformes à l’un des référentiels. Avant leur mise en œuvre, le responsable du traitement adresse à la CNIL une déclaration attestant cette conformité. Une seule déclaration suffit lorsqu’un responsable de traitement met en œuvre plusieurs traitements relevant d’un même référentiel.
Si un traitement n’est pas conforme à un référentiel, il peut être mis en œuvre par dérogation après autorisation de la CNIL. La CNIL peut également délivrer, par décision unique, une autorisation couvrant plusieurs traitements d’un même demandeur lorsqu’ils répondent à une même finalité, portent sur des catégories de données identiques et ont des catégories de destinataires identiques.
La CNIL est désignée autorité compétente pour l’enregistrement des organisations altruistes en matière de données, et tient un registre public national à ce titre. Ces évolutions visent à la mise en œuvre du régime de l’altruisme en matière de données, issu du règlement DGA. L’altruisme des données repose sur le partage volontaire de données par les personnes concernées, ou par les détenteurs de données ici, sans contrepartie autre que les coûts de mise à disposition, afin de poursuivre des objectifs d’intérêt général, notamment la recherche scientifique et les soins de santé. En matière de données de santé, ce mécanisme peut constituer un levier complémentaire d’accès aux données pour des projets d’intérêt général, dans le respect du RGPD et de la loi Informatique et Libertés.
La loi modifie les dispositions particulières relatives aux traitements de données à des fins de recherche, d'étude ou d'évaluation en santé. Il est précisé que, pour l'application de cette sous-section, des méthodologies de référence sont adoptées par la CNIL au titre des référentiels mentionnés à l'article 66. Cette modification clarifie le fait que les méthodologies de référence constituent une catégorie particulière de référentiels applicables aux recherches en santé et invite les acteurs à s'appuyer sur des instruments préétablis plutôt que de solliciter systématiquement des autorisations individuelles.
Des ajustements touchant au système national des données de santé (SNDS) sont introduits, en particulier dans une logique de sécurité, de contrôle et de gouvernance des accès. Le comité d’audit du SNDS est chargé de définir une stratégie et une programmation d’audits et de faire réaliser des audits sur les systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du SNDS à des fins de recherche, d’étude ou d’évaluation, ainsi que sur les systèmes composant le SNDS.
Les dispositions relatives aux autorisations CNIL des traitements de recherche, d’étude ou d’évaluation dans le domaine de la santé sont modifiées. L’autorisation est accordée après avis du CPP pour les RIPH, ou du CESREES pour les RNIPH. La loi ajoute toutefois une dérogation : les demandes d’autorisation relatives à des études, évaluations ou recherches n’impliquant pas la personne humaine ayant reçu un avis favorable d’un comité scientifique et éthique local peuvent être dispensées de l’avis préalable du comité éthique et scientifique national, dans des conditions définies par décret en Conseil d’État pris après avis de la CNIL.
Une obligation nouvelle de mise à disposition des données est introduite : lorsqu’un responsable de traitement dispose d’une autorisation de la CNIL ou a réalisé un engagement de conformité à un référentiel, le responsable de traitement qui détient les données est tenu de les mettre à disposition dans un délai de trois mois, renouvelable une fois. Cette disposition entre en vigueur dix-huit mois après la promulgation de la loi, soit le 26 novembre 2027.
3. Mesures opérationnelles relatives aux recherches et à l’écosystème des données de santé
La loi modifie des dispositions du csp pour prévoir que, lorsque des composantes du contrôle ou de l’assurance qualité sont effectuées à distance, elles doivent respecter le RGPD et la loi Informatique et Libertés.
La notion de « territoire de recherche » est introduite dans le CSP, définie comme un regroupement coordonné d’acteurs agissant, dans le cadre de recherches visées par le code, selon une stratégie définie par voie conventionnelle. Cette notion vise à structurer des coopérations locales ou territoriales entre acteurs de la recherche, établissements de santé, professionnels et éventuellement autres partenaires. Elle vise à favoriser la mutualisation des moyens, l’harmonisation des procédures et la constitution d’environnements propices à la collecte, à l'accès et à la réutilisation de données dans des projets de recherche.
La loi assouplit les lieux dans lesquels certaines recherches peuvent se dérouler. Elle prévoit que le lieu d’une recherche peut être un lieu de soins, un autre lieu d’exercice des professionnels de santé, le domicile du patient, un autre lieu de proximité nécessaire au parcours de la personne dans la recherche ou tout autre lieu autorisé. Cette évolution facilite les recherches décentralisées ou hybrides, qui peuvent elles-mêmes générer ou mobiliser davantage de données collectées à distance, en vie réelle ou hors des centres investigateurs classiques.
Enfin, très attendu par certains acteurs proposant des logiciels de gestion de cabinet, l’article 55 de la loi crée l’article L. 1470-5-1 CSP, qui impose à l’éditeur d’un service numérique en santé ayant pour objet la gestion des dossiers médicaux des patients d’un professionnel de santé, en cas de changement d’éditeur, d’assurer le transfert de l’ensemble des données pour lesquelles le professionnel de santé est responsable de traitement.
Un décret doit définir le montant maximal des frais pouvant être facturés, le délai de remise des données et le régime de sanctions. Un référentiel d’interopérabilité, de sécurité et d’éthique doit définir les modalités techniques applicables à ces transferts. Cette mesure impacte l’écosystème des traitements de données de santé, la portabilité opérationnelle des dossiers patients et la maîtrise des données par les professionnels de santé.
En synthèse, la loi du 26 mai 2026 ne crée pas un régime général nouveau de réutilisation des données de recherche, mais apporte des ajustements significatifs dans le secteur de la recherche en santé.
Elle facilite la réutilisation de données préexistantes dans les protocoles, renforce le rôle des référentiels et méthodologies de référence de la CNIL, précise le régime des déclarations de conformité et des autorisations, instaure une obligation de mise à disposition des données dans un délai de trois mois par les détenteurs, et consolide certains mécanismes de contrôle et d’audit du SNDS et leur champ d’application.
L'équilibre recherché est celui d’un allègement des contraintes opérationnelles pesant sur les acteurs de la recherche et de l'innovation, sans pour autant affecter les droits des personnes.
[1] LOI n° 2026-403 du 26 mai 2026 de simplification de la vie économique
[2] La loi précise qu'une « composante » s'entend d'un ensemble de personnes constituant tout ou partie d'un groupe de participants à la recherche.

Marguerite Brac de La Perrière
Avocate, Numérique & Santé
Avez-vous apprécié ce contenu ?
A lire également.

Omnibus et numérique en santé : objectif de simplification et résistance des autorités et des Etats membres
19 mai 2026 - 01:09,
Tribune
-Le 19 novembre 2025, la Commission européenne a publié sa proposition de règlement « Digital Omnibus », visant à simplifier le cadre réglementaire numérique de l'Union européenne, à réduire la charge administrative pesant sur les entreprises et à renforcer la compétitivité européenne. Ce texte intro...

Transfert de données de santé personnelles hors UE : attention à vos analyses d’impact !
06 mars 2025 - 12:57,
Tribune
- Alice Robert et Alexandre Fievée, Derriennic AssociéesEn tant qu’acteurs du secteur de la santé, vous êtes certainement amenés à réaliser des transferts de données de santé à caractère personnel hors UE/EEE, ne serait-ce, par exemple, que pour des raisons de gestion informatique externe (support d’un applicatif, etc.). Or, de tels transferts sont stri...

Consultation de la Cnil sur la gestion des données en pharmacie
02 nov. 2021 - 11:07,
Actualité
- DSIHLa Cnil lance, jusqu’au 19 novembre, une consultation sur un projet de référentiel destiné à aider les officines de pharmacie à respecter la protection des données.

Le scoop de la semaine : la CNIL n’est pas conforme au RGPD…mais ce n’est pas grave
03 déc. 2018 - 11:40,
Tribune
- Cédric CartauLa chaîne Youtube Legiscope, vous connaissez ? Proposée par Thiébault Devergranne, vous y trouvez des vidéos très explicatives sur le RGPD, on peut quasiment s’y former de fond en comble, ou presque.


