Fondements de la doctrine du numérique en santé

La doctrine du numérique en santé s’applique à l’ensemble des services numériques en santé, publics et privés, au sens de l’article L1470-1 du CSP, utilisés sur le territoire français, en métropole et dans les Départements, Régions et Collectivités d’outre-mer.

Elle s’adresse :

➡️Aux fournisseurs de services numériques, qu’ils en assurent la maîtrise d’ouvrage (groupements régionaux d’appui au développement de la e-santé, établissements de santé, etc.) ou la maîtrise d’œuvre (éditeurs de solutions, intégrateurs, etc.) ;

➡️Aux acteurs des secteurs sanitaire (professionnels de la ville comme de l’hôpital), médico-social et social, impliqués dans les parcours de santé ;

➡️︎ Aux usagers des services numériques.

Elle couvre :

➡️ l'usage primaire de données de santé à caractère personnel : échange et partage des données de santé à caractère personnel à des fins de prise en charge du patient,
➡️ l'usage secondaire de données de santé à caractère personnel : réutilisation des données de santé à des fins de recherche médicale et de santé publique (suivi épidémiologique,  gestion de situation sanitaire exceptionnelle).

La feuille de route du numérique en santé 2023-2027 a pour objectif de mettre le numérique au service de la santé. Elle décrit les chantiers prioritaires du numérique en santé selon 4 axes stratégiques :

1. Développer la prévention et rendre chacun acteur de sa santé ;
2. Redonner du temps aux professionnels de santé et sécuriser la prise en charge des personnes grâce au numérique ;
3. Améliorer l’accès à la santé pour les personnes et les professionnels qui les orientent ;
4. Déployer un cadre propice pour le développement des usages et de l’innovation digitale en santé.

Ces chantiers comportent de nombreux cas d’usage :

• accéder au carnet de santé dématérialisée Mon espace santé,
• envoyer une ordonnance à son pharmacien de manière sécurisée,
• personnalisation des messages de prévention,
• consultation par les professionnels de santé de l’historique de santé de leurs patients,
• coordonner des parcours patients diabète,
• suivi des accidents vasculaires cérébraux, etc.

Dans le prolongement de cette dynamique, la Stratégie Intelligence Artificielle et Données de Santé 2025-2028 vient amplifier la transformation de notre système de santé en faisant de la donnée un levier d'innovation majeur. Indissociable des enjeux de souveraineté et préparant l'arrivée de l'Espace Européen des Données de Santé (EEDS), cette stratégie vise à déployer une IA de confiance au service direct de la qualité des soins et de l'efficience des organisations. Elle s'attache à structurer des modèles économiques pérennes pour les solutions innovantes tout en accompagnant les impacts réglementaires, éthiques et humains nécessaires à leur adoption par les professionnels et les usagers.

Cette Stratégie se décline en 5 axes pour l’intelligence Artificielle en Santé :

• Instaurer une gouvernance ouverte associant des experts terrains
• Cartographier les usages pour partager les apprentissages et accélérer les déploiements pertinents
• Favoriser l’évaluation des systèmes et parcours intégrant de l’IA
• Clarifier le cadre réglementaire et simplifier l’accès au marché
• Adapter les parcours de formation et anticiper les impacts organisationnels et environnementaux de l’IA  

La multiplicité et la variété de ces cas d’usage impliquent le développement de nombreux nouveaux services numériques sur la période 2023-2027 privés ou publics à destination des professionnels ou des usagers ainsi que des actions de déploiement, de conduite du changement des organisations et des pratiques. 

Chacun de ces nouveaux services peut avoir des besoins d’accès aux données utiles aux finalités du service (accès à des référentiels d’identité, des terminologies, des données métiers, etc.) conformément au cadre réglementaire et dans des conditions d’interopérabilité, de sécurité et d’éthique en vigueur.

Ces services numériques doivent aussi s’intégrer de façon cohérente avec les autres services numériques nationaux ou régionaux, publics ou privés existants (complémentarité des fonctionnalités entre les différents services, etc.) et respecter les obligations d’échange et de partage des données de santé fixées par le cadre réglementaire aux fournisseurs de ces services.

En appliquant les principes classiques d’urbanisation des systèmes d’information (découpage du système d'information (SI) en sous-systèmes modulaires, mutualisation des SI, réduction des adhérences entre SI,...), la doctrine du numérique en santé a pour ambition de répondre à ces besoins et obligations des porteurs de projets.

Elle met notamment à disposition des biens communs (règles et référentiels, gisement de données en open data, services mutualisés,…) et  garantit une représentation partagée du numérique en santé en France en lien avec le nouveau règlement européen relatif à l’Espace Européen des Données de Santé.

La doctrine doit ainsi permettre d’accélérer la mise en œuvre des services métiers répondant aux objectifs de la feuille de route du numérique en santé.

État plateforme

Le principe d’État plateforme répartit les rôles entre les acteurs publics et privés en utilisant et optimisant l’ensemble des ressources humaines et financières de chacun d’eux.

Ce faisant, l'État plateforme favorise la mise en œuvre de services du numérique en santé utiles aux professionnels et aux usagers.

Plutôt qu’une logique « tout public » ou « tout privé », il définit une troisième voie où chacun joue son rôle dans le cadre d’une collaboration public-privé.

La puissance publique définit les règles socles relatives à l’éthique, la sécurité et l’interopérabilité des services numériques, en concertation avec tout l’écosystème.

Elle construit également les services socles, uniques et mutualisés par nature :

• bases de données d’identité des usagers et des professionnels ;
• services d’échange et de partage de données de données de santé ;
• services d’accès à l’offre de soins et d’orientation sanitaire et médico-sociale.

Les fournisseurs de services numériques innovants, généralement issus du secteur privé, peuvent ainsi se concentrer sur le développement de services à forte valeur ajoutée pour les professionnels et usagers du système de santé.

Le projet DRIM-M (Data Radiologie Imagerie Médicale & Médecine Nucléaire) est une application concrète de ce principe de l’Etat plateforme.

Lancé dans le cadre d’un partenariat entre les radiologues et les pouvoirs publics, ce projet innovant répond à un besoin de partage en imagerie médicale au niveau national entre les professionnels de santé et les patients.

Sur le plan métier, il évite la multiplication des demandes d’examens redondants d’imagerie médicale et fournit une vue complète de l’historique médical du patient afin d’améliorer la continuité et qualité de sa prise en charge.

Dans ce projet, l’Etat a pour rôle de : 

✅︎ Définir les règles socles d’interopérabilité (normes internationales DICOM, standard HL7, cadre d’interopérabilité des Systèmes d’information de Santé et de sécurité : certification hébergement de données de santé, exigences de sécurité des systèmes d’information, OWASP...) ;

✅︎ Mettre à disposition les services socles d'identité des usagers (INS) et des professionnels (RPPS et moyens d'identification électroniques associés comme Pro Santé Connect) ;

✅︎ Assurer le fonctionnement des infrastructures publiques de partage de données de santé : Dossier Médical Partagé (DMP) et Mon espace santé.

Les Entreprises du Numérique en Santé (ENS) du secteur de l’imagerie médicale commercialisent les passerelles permettant aux professionnels de santé et aux usagers d’accéder aux images stockées dans les cabinets d’imagerie via le DMP et Mon espace santé qui indexent l’ensemble des pointeurs d’examens produits par les structures sources. Elles peuvent aussi proposer des services de visionnage et d’analyse des images. 

La mise en œuvre rapide du projet DRIM-M est ainsi rendu possible par la définition d’un cadre national technique de partage des examens d’imagerie et l’utilisation de services socles nationaux existants, associés à des nouveaux services proposés par les ENS. 

Cadre réglementaire national

▶️ Un encadrement transverse du numérique applicable au secteur de la santé :

Un cadre général pour la protection des données à caractère personnel, le RGPD et la LIL : Le règlement général sur la protection des données n°2016/679 1 (RGPD) prévoit un régime de protection renforcé pour les données de santé, qui sont des données sensibles.

Le principe est que leur traitement est interdit, mais le règlement aménage des exceptions qui rendent possible de tels traitements, dans certaines situations telles que la prise en charge médicale. De surcroît, en France, la loi n°78/17 du 6 janvier 1978 complète et précise le régime applicable en la matière.

Un cadre général de cybersécurité des données, la transposition de la directive NIS2 : La directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union Européenne (NIS2) doit servir à établir l’orientation nationale des états membres en matière de cybersécurité.

La loi de transposition en droit national vise à établir notamment un cadre de gouvernance clarifiant les rôles et les responsabilités des parties prenantes, une politique de gestion des vulnérabilités, des mesures visant à améliorer la sensibilisation des citoyens. 

Un cadre de souveraineté des données, la loi SREN : La loi n°2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (SREN) prévoit notamment des garanties de souveraineté dans le cas du recours par les administrations de l’État ou ses opérateurs à un prestataire privé « cloud » pour le stockage ou le traitement de données sensibles, notamment celles de santé (article 31).

Dans cette hypothèse, le prestataire doit mettre en œuvre « des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès non autorisé par des autorités publiques d’États tiers non autorisé par le droit de l’UE ou d’un État membre ». 

En pratique, cela revient à exiger que le prestataire soit certifié SecNumCloud (version 3.2 du référentiel). Des décrets d’application sont en cours de publication. La loi SREN prévoit également un renforcement des exigences de souveraineté pour l’obtention de la certification relative à l’hébergement des données de santé, ainsi que pour les tiers archiveurs (article 32). 

▶️ Un encadrement spécifique du numérique en santé au sein du code de la santé publique :

Le code de la santé publique contient un vaste corpus de règles encadrant le numérique en santé. L’utilisation du Dossier Médical Partagé de Mon espace santé (DMP) emporte à ce titre un ensemble de droits et obligations, pour les patients et les professionnels.

D’une part, l’échange et le partage de données de santé entre professionnels doit respecter la vie privée et le secret des informations concernant toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins (Article L1110-4). Dès lors, le consentement du titulaire du DMP est nécessaire pour y accéder en consultation ou en écriture. Lorsqu’il est donné à un professionnel faisant partie d’une équipe de soin (définie à l’article L.1110-12), ce consentement est toutefois présumé avoir été donné à l’ensemble de cette même équipe de soin.

L'équipe de soins est définie comme un ensemble de professionnels qui participent directement au profit d'un même patient à la réalisation d'un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d'autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes (voir l’article L.1110-12).  
De plus, les professionnels de cet ensemble doivent, pour faire partie de l’équipe de soin, relever de l’une des trois situations suivantes (énumérées à l’article L.1110-12 CSP) :  

• exercer dans le même établissement. Cette hypothèse couvre notamment le cas des professionnels qui exercent à titre libéral et sous contrat d’exercice au sein d’un établissement. Pour en savoir plus, consulter la page dédiée (…) ;
• se voir reconnaitre la qualité de membre de l’équipe de soin par le patient qui s'adresse à eux pour la réalisation des consultations et des actes prescrits par un médecin auquel il a confié sa prise en charge ;
• exercer dans un ensemble comprenant au moins un professionnel de santé et présentant une organisation formalisée et des pratiques conformes à un cahier des charges fixé par un arrêté du ministre chargé de la santé.
• Les modalités d’accès au DMP sont prévues aux articles R.1111-44 et suivants. De plus, une matrice d’habilitation déterminant exhaustivement une liste de professionnels pouvant accéder au DMP, et les documents qu’ils peuvent consulter est approuvée par arrêté.

D’autre part, le titulaire de l’espace numérique de santé (DMP) ou son représentant légal peut décider de proposer un accès temporaire ou permanent ou mettre fin à un tel accès à un établissement de santé, un professionnel de santé, d’extraire des données de l’espace numérique de santé, de la clôture de cet espace numérique (L.1111-13-1 CSP). Il bénéficie d’un droit à l’information, au respect du secret médical auquel sont également soumises ses données numériques de santé. Le professionnel lui, est soumis à l’obligation d’alimenter le dossier médical partagé et d’échanger par messagerie sécurisée de santé les documents listés par Arrêté du 26 avril 2022 prévu à l'article L. 1111-15 du code de la santé publique.

Un régime propre à l’hébergement des données de santé : une certification obligatoire s’applique à toute personne qui héberge des données de santé à caractère personnel, recueillies à l’occasion d’activité de prévention, de diagnostic, de soins, ou de suivi médico-social (article L.1111-8 CSP). Le référentiel HDS de certification, modifié par arrêté le 26 avril 2024, fixe les exigences à respecter pour obtenir le certificat obligatoire. Ces exigences portent notamment sur la souveraineté des données, le management de la sécurité et la protection des données. Le référentiel devra faire l’objet d’une nouvelle publication pour s’articuler avec le décret d’application de la loi SREN.

Les services numériques en santé (L1470-1 à L1470-6) sont soumis à la conformité à des référentiels d’interopérabilité, de sécurité et d’éthique. Les référentiels sont coconstruits en concertation avec l’ensemble des acteurs de l’écosystème (professionnels, patients, entreprises du numérique en santé, puissance publique…).

Pour certains d’entre eux, le mécanisme de vérification de la conformité d’un service numérique aux référentiels sectoriels définis à l’article L.1470-6 du CSP peut consister, pour l’ANS ou un organisme de certification accrédité par le comité d’accréditation (COFRAC), à délivrer un certificat en attestant.

Cette procédure est encadrée par les articles R.1470-1 à R. 1470-11 du CSP pris en application du décret du 27 décembre 2023 relatif à la délivrance du certificat de conformité. Il précise notamment les opérateurs économiques tenus d’obtenir ce certificat. Son obtention peut notamment conditionner l’attribution de fonds publics. Un second décret est en préparation pour l’application du III de l’article L. 1470-6 du CSP et viendra définir les sanctions applicables en cas de non-respect des référentiels de l’ANS.

Les référentiels publiés au journal officiel sont notamment les suivants :  

✅Les référentiels d’identification électronique pour les usagers et les acteurs des secteurs sanitaire, social, et médico-social et le référentiel Pro Santé Connect,

✅ Le référentiel INS pour les acteurs de la prise en charge,

✅ Les référentiels HDS,

✅ Les référentiels « Ségur » pour les éditeurs de logiciels qui souhaitent bénéficier d’un financement « Ségur numérique »,

✅ Les référentiels téléconsultation, télésurveillance, dispositifs médicaux numériques,

✅Le référentiel des applications du catalogue de services Mon espace santé,

✅ Le référentiel de sécurité et d’interopérabilité relatif à l’accès des professionnels au Dossier Médical Partagé.

Le Code de la Sécurité Sociale complète le Code de la Santé Publique pour des services qui font partie de la doctrine du numérique en santé comme les moyens d'identification électronique des bénéficiaires de l'Assurance Maladie (Article R161-33-1 à R161-33-21 du Code de la Sécurité Sociale) ou de la Carte de professionnel de santé (Article R161-52 à R161-58 du Code de la Sécurité Sociale).

Le Code de l'Action Sociale et des Familles complète aussi le Code de la Santé publique, en obligeant par exemple les Etablissements et services sociaux et médico-sociaux à tenir un Dossier Usager Informatisé et en définit le contenu : Article D. 312-37 du Code de l'Action Sociale et des Familles pour les Etablissements accueillant des enfants ou adolescents présentant des déficiences intellectuelles.

Cadre réglementaire Européen

Dans le cadre de la stratégie européenne des données, l'UE a pour ambition de créer un marché européen de la donnée.
Ainsi, le fonctionnement du marché européen des données repose sur des législations qui se répartissent en deux catégories : les règles horizontales et les règles sectorielles. Les règles horizontales ont vocation à s'appliquer à l'ensemble des acteurs européens et sont définies par deux textes principaux :

✅Data Act : développer l’économie européenne de la donnée et la compétitivité du marché de la donnée en rendant les données plus accessibles et utilisables, en encourageant l'innovation par les données ;

✅Data governance Act : accroître la confiance dans le partage de données, renforcer les mécanismes d’exposition des données et faciliter la réutilisation des données.

Les règles sectorielles s'adressent uniquement aux acteurs relevant d'un domaine ou d'un secteur déterminé (tourisme, médias, environnement, santé, etc.). Pour le secteur de la santé, la Commission européenne a proposé le 4 mai 2022 un projet de règlement visant à mettre en place un Espace Européen des Données de Santé (EEDS).

L’Espace européen des données de santé

L’EEDS est la première proposition d’espace européen commun de données, spécifique au secteur de la santé, ayant notamment pour objectif :

✅ De permettre un meilleur contrôle et accès aux citoyens à leurs données de santé,

✅ D’assurer la continuité de la prise en charge des patients, en permettant l’accès direct des professionnels de santé aux données de santé des patients qu’ils prennent en charge, avec l‘accord du patient, immédiatement, dans des conditions sécurisées (préservant la confidentialité) et ce quel que soit le pays européen de résidence du patient,

✅ De créer à l’échelle européenne un cadre commun pour la réutilisation des données de santé à des fins de recherche, d’innovation et de politique publique.

Le règlement EEDS est constitué de 2 grands volets :

1. L’usage primaire des données de santé (MaSanté@UE ou MyHealth@EU), incluant une certification obligatoire des logiciels de dossiers médicaux électroniques (DME) et la création d’un marché unique (DME) ;
2. L’usage secondaire des données de santé (DonnéesSanté@UE ou HealthData@EU).

1️⃣ Usage primaire des données de santé : 

Pour 5 catégories de données de santé électroniques qualifiées de “prioritaires” issues des dossiers médicaux électroniques (Le volet de synthèse médicale, les prescriptions & dispensations électroniques, les comptes rendus de biologie médicale, les comptes rendus d’imagerie médicale et les images, les lettres de sortie d’hospitalisation), le règlement EEDS rend obligatoire leur mise à disposition par chaque Etat membre, à l’échelle européenne.

D’une part, ces données doivent ainsi être accessibles par le patient, et d’autre part, par les professionnels qui le prennent en charge, et ce sur tout le territoire de l’UE.

Ce partage s’effectue via une infrastructure commune appelée MaSanté@UE (MyHealth@EU) mise à disposition par la Commission européenne.

Le règlement EEDS garantie également l’interopérabilité des DME en spécifiant et en rendant obligatoire des formats européens d’échange de données de santé et dans chaque Etat membre, en instaurant des droits harmonisés pour le citoyen en ce qui concerne son dossier médical et des règles communes en matière d’identification électronique (pour les citoyens et pour les professionnels).

Vers un marché unique des dossiers médicaux électroniques :

Le règlement EEDS conditionne la mise sur le marché de l’UE de systèmes de dossiers médicaux électroniques (DME) et d’applications de bien-être au respect d’exigences en matière d’interopérabilité et de traçabilité : il s’agit d’un marquage CE. La démonstration de la conformité à ces exigences repose sur un système d’auto-certification. Ce marquage CE sera donc obligatoire pour les fabricants de DME.

2️⃣ Usage secondaire des données de santé :

Ce que l'on appelle l’usage secondaire des données de santé correspond au traitement de données de santé électroniques pour des finalités différentes que celles prévues initialement pour lesquelles ces données ont été recueillies ou générées. 

Le règlement prévoit notamment que les détenteurs de données électroniques de santé devront obligatoirement mettre à disposition à des fins de réutilisation leurs données de santé aux utilisateurs.

Ainsi, le texte définit les catégories minimales de données de santé que les détenteurs ont l’obligation de mettre à disposition à des fins d’utilisation secondaire.

Il prévoit également une liste exhaustive des finalités de réutilisation autorisées et de finalités interdites. 

Il précise les modalités de la mise à disposition de ces données de santé dans laquelle un rôle central est accordé à des organismes responsables de l’accès aux données de santé (ORAD) qui doivent être désignés dans chaque État membre. Ces organismes auront notamment pour mission d’étudier la recevabilité des demandes d’accès aux données à des fins de réutilisation et, le cas échéant, d’autoriser et délivrer des permis d’accès aux données et d’exiger de la part des détenteurs la fourniture de ces données afin de les mettre ensuite à disposition des utilisateurs dans un environnement de traitement sécurisé.

Le Règlement fixe également des procédures harmonisées d’accès aux données dans tous les Etats membres. Il pose des délais d’instruction des demandes et de mise à disposition effective des données (9 mois pour des données anonymes et 8 mois pour l’accès effectif à des données pseudonymes).

Enfin, le Règlement consolide les droits des personnes concernées à l’égard de leurs données de santé dans le contexte de l’utilisation secondaire.

Ici encore, il complète les droits déjà prévus par le RGPD et prévoit un droit à l’information renforcé.

Il prévoit également un droit de refus à l’utilisation secondaire des données de santé. Ce droit est uniformisé à l’échelle de l’Union et permettra aux personnes de s’opposer facilement, à tout moment, sans justification et de manière réversible à la réutilisation de leurs données à des fins secondaires.

Se préparer à l’entrée en application du règlement EEDS :

Le règlement a été publié au Journal officiel de l’UE le 5 mars 2025. Son entrée en application est échelonnée dans le temps, selon des délais qui varient en fonction des dispositions concernées entre 2 ans et 10 ans après l’entrée en vigueur. 
D’ici 2027, la Commission européenne doit adopter des actes d’exécution pour préciser l’application du règlement :

• Utilisation primaire des données : spécifications techniques du format européen d’échanges de DME; développement technique de MyHealth@EU ; spécifications communes sur l’évaluation de la conformité des DME ; 
• Utilisation secondaire des données : les modèles à utiliser pour la demande et les autorisations d’accès aux données de santé; spécifications liées au développement des espaces de traitement sécurisés; développement technique de HealthData@EU; spécifications des catalogues et descriptions des ensembles de données ; spécifications du label « qualité et utilité » des données.

Pour 2027, les États Membres doivent désigner les autorités nationales compétentes prévues par le règlement :  l’autorité de santé numérique et l’autorité de surveillance des marchés pour l’usage primaire ; l’organisme responsable de l’accès aux données pour l’usage secondaire. 
Ils doivent également désigner les points de contact nationaux pour l’usage primaire et l’usage secondaire.

En 2029, l’essentiel des dispositions sur l’usage primaire et secondaire entreront en application. Pour l’usage primaire, les catégories prioritaires de données concernées à cette date seront : les résumés des dossiers patients, les prescriptions électroniques, les dispensations électroniques.

En 2031, les dispositions sur l’usage primaire concerneront aussi les trois autres catégories de données que sont les examens d’imagerie médicale et comptes rendus correspondants, les résultats d’examens médicaux, y compris les résultats de laboratoire et d’autres diagnostics, ainsi que les comptes rendus correspondants et les rapports de sortie d’hôpital.

En 2031, le chapitre 4 sur l’utilisation secondaire des données entrera en application également pour les données suivantes :

• données sur les déterminants sociaux, environnementaux et comportementaux de la santé ;
• données génétiques, épigénomiques et génomiques humaines et autres données « omiques » ;
• données issues des essais, études et recherches cliniques ;
• données de cohortes de recherche, questionnaires et enquêtes dans le domaine de la santé.

A partir de 2035, des pays tiers pourront se connecter à HealthData@EU pour l’utilisation secondaire des données.
Le règlement EEDS est d’application directe en droit national. Des adaptations de la réglementation nationale doivent néanmoins intervenir pour mettre les dispositions nationales en conformité et mettre en oeuvre les marges de manœuvre nationales permises par le règlement. La DNS est chargée de ce chantier, pour lequel elle capitalise sur ce qui fonctionne bien actuellement en France. La DNS associe les parties prenantes aux évolutions nécessaires.

Une concertation de l’écosystème français inédite : 
Au premier semestre 2025, la DNS a lancé une série de consultations auprès de l’ensemble de l’écosystème du numérique en santé concernant l’application du règlement EEDS en France. Cette concertation vise à préparer les adaptations législatives et règlementaires nécessaires, qu’il s’agisse d’activer les marges de manœuvre laissées aux États membres, ou d’ajuster certaines règles nationales en vigueur.
15 thématiques ont pu être dégagées, et ont fait l’objet de fiches “arbitrage” décrivant les enjeux, et proposant des scénarios et des impacts associés (Concertations du numérique en santé - Règlement relatif à l’espace européen des données de santé (EEDS) - Présentation).

Les 173 propositions de l’écosystème ont fait l’objet d’une synthèse (20250910-concertation-publique-reponse-par-fiche.pdf) qui propose, fiche par fiche, un résumé des contributions reçues ainsi que les évolutions déjà prises en compte à l’issue de la concertation.

Réglementation européenne de l’intelligence artificielle
Dans ce contexte d’harmonisation européenne du numérique en santé, une évolution majeure concerne la régulation de l’intelligence artificielle.

L’adoption du Règlement européen sur l’intelligence artificielle (AI Act) en 2024 vient renforcer le cadre du numérique en santé.

Ce texte fondateur encadre la mise sur le marché, l’utilisation et la supervision des systèmes d’intelligence artificielle dans l’Union européenne.

Les systèmes d’IA appliqués à la santé sont classés parmi les usages à haut risque, soumis à des obligations renforcées : qualité et traçabilité des données d’apprentissage, transparence des algorithmes, supervision humaine et suivi post-commercialisation.
L’objectif est d’assurer un déploiement sûr, explicable et éthique de l’intelligence artificielle, en cohérence avec le Règlement sur les dispositifs médicaux et l’Espace Européen des Données de Santé.

Par ailleurs, une publication sur l’articulation entre le règlement DM et AI Act a été publié dans le cadre de la FAQ MDCG 2025-6.
La France est très impliquée dans l'innovation numérique en santé au niveau européen. La France représentée par la Délégation au numérique en santé (DNS) a été réélue en 2024 à la co-présidence du réseau européen “e-health network” au côté de la Commission européenne pour une durée de 2 ans.

La maison du numérique en santé qu'incarne la doctrine du numérique est une représentation partagée entre tous les acteurs du numérique en santé des règles et services du numérique en santé.

Elle permet de visualiser de manière simplifiée :
➡️ Les règles socles d’éthique, de sécurité et d’interopérabilité qui définissent le cadre d’interopérabilité, de sécurité ainsi que les valeurs éthiques communes aux services en santé numériques,
➡️ Les services socles qui garantissent l’identité tant des usagers que des professionnels et des entreprises du numérique en santé, permettent  l’échange et le partage et facilitent l'orientation des usagers,
➡️Les services numériques métiers aux professionnels / établissements sanitaires et médico-sociaux ainsi qu’aux autorités sanitaires,
➡️Les services numériques aux usagers avec la plateforme Mon espace santé et le site santé.fr,
➡️ Le bouquet de services aux professionnels,
➡️La plateforme de données de santé et les entrepôts de données de santé pour l’utilisation secondaire de données de santé.

A l’occasion de la publication de la doctrine du numérique en santé 2025, la maison du numérique en santé évolue, en distinguant :
➡️De nouvelles catégories d’acteurs comme les hébergeurs de données de santé et les services cloud ainsi que les entreprises du numériques en santé pour lesquelles la puissance publique vérifie la conformité aux règles socles à l’aide de dispositifs de référencement ou de certification de conformité,
➡️Les services d’offre de soin et d’orientation des patients au sein des services socles ainsi que les services numériques à des fins d’usage secondaire de données de santé,
➡️ Les services du numérique en santé utilisés par les autorités sanitaires et à des fins de santé publique.

Maison du numérique en santé

Les différents domaines de la maison du numérique en santé

⏺ Le domaine : Règles socles du numérique en santé 

Le domaine des règles socles du numérique en santé est constitué de référentiels, de recommandations, de guides de bonnes pratiques qui relèvent de l’éthique du numérique en santé, de l’interopérabilité ou de la sécurité.
Ces référentiels sont élaborés en concertation avec les représentants des professions de santé, d'associations d'usagers, des établissements de santé, des établissements et services des secteurs médico-social ainsi que les Entreprises du Numériques en Santé (ENS) et leurs représentants.
Conformément aux dispositions de l’Article L1470-5 ils peuvent être approuvés par arrêté du ministre chargé de la santé et rendus applicables à l’ensemble des services du numérique en santé ou à un type de services numérique donné en fonction des cas d’usage auxquels ils s’appliquent.

⏺ Le domaine : Services socles du numérique en santé 

Le domaine services socles du numérique en santé est constitué des services mutualisés développés par la puissance publique qui peuvent être consommés par des services numériques privés ou publics en fonction des cas d’usage.
Ces services socles sont rendus accessibles via API ou via accès web aux services numériques en santé à destination des professionnels ou des usagers, après des étapes d’homologation et de tests attestant de leur conformité.

Les services socles sont regroupés selon les sous-domaines suivants :

• Le sous-domaine services d’identité :
  ➡️Les répertoires d’identités des usagers, des personnes physiques et des personnes morales des secteurs sanitaires, médico-social et social ainsi que des Entreprises du Numérique en Santé qui garantissent une identification unique et fiable de ces acteurs,
  ➡️Les moyens d’identification électronique de ces acteurs.
• Le sous-domaine services d’accès à l’offre de soins et d’orientation de l’usager :
  ➡️Services d’information sur l’offre de soins nationale (ROR, Via trajectoire pour trouver une structure médico-sociale type EHPAD, par exemple),
  ➡️Services d’orientation d’un patient comme dans le cas d’un patient devant par exemple engager des formalités d’admission en EHPAD (Via Trajectoire) ou confronté à un besoin de soins urgent ou non programmés (Service d’Accès aux Soins, Bandeau de communication SI-SAMU pour orienter les appelants vers un Centre 15),
  ➡️Mise en relation entre un patient et un professionnel, etc.
• Le sous-domaine services d’échange et de partage de données de santé :
  ➡️Services d’échange de données de santé à caractère personnel entre des professionnels et des usagers ciblés et identifiés : messagerie sécurisée de santé (échange asynchrone),
  ➡️Services de partage de données de santé entre professionnels avec ou sans implication du patient à des fins de coordination des soins au niveau national (DMP, HUB Santé, Portail des Signalements, LaboéSI et les outils régionaux de coordination et de parcours (programme national eParcours pour outiller les parcours complexes et certains dispositifs de coordination), le Dossier Communiquant de Cancérologie pour les professionnels des réseaux régionaux de cancérologie (RRC) et au niveau de l’Union Européenne (SESALI) et de fiabilisation des données de santé à caractère personnel échangés (ordonnance numérique).

⏺ Le domaine : Services métiers Professionnels / Etablissements sociaux et médico-sociaux 

Ce domaine est constitué des services métiers publics ou privés à destination des professionnels des secteurs sanitaire et médico-social qui appliquent les règles socles et consomment les services numériques socles utiles à leur cas d’usage.
Les services métiers privés sont autorisés à consommer les services socles de la maison du numérique en santé après certification de la conformité par les opérateurs publics (Agence du Numérique en Santé, Centre National de Dépôt d’Agrément) ou privés (organismes certificateurs) de ces services aux règles socles d’interopérabilité, de sécurité ou d’éthique et aux spécifications des API des services socles :
➡️Les Logiciels de Professionnels de Santé du Ségur du numérique en santé vague 1 ou vague 2,
➡️Les dispositifs médicaux numériques et les solutions de télésurveillance,
➡️Les SI de Sociétés de Téléconsultation,
➡️Les logiciels de prise de rendez-vous,
➡️Les logiciels d’aide à la dispensation et les logiciels d’aide à la prescription.

Pour répondre aux besoins de coordination et de parcours patients, des services numériques privés sont mis en œuvre au niveau local (prise en charge coordonnée du diabète gestationnel, du diabète de type 2 ou de l'endométriose des plaies complexes, suivi post-AVC,...). Ces services numériques s'appuient aussi sur les règles et services socles.

⏺ Le domaine : Services aux usagers 

Le domaine Services aux usagers est constitué de 2 services grand public :
➡️Santé.fr est le site du Service Public d’information en santé composé :
    ◆ D'un volet éditorial,
    ◆ D'un volet décrivant l’offre sanitaire et médico-sociale pour les usagers.
➡️Mon espace santé : carnet de santé numérique de tous les assurés comprenant :
    ◆ Un dossier médical alimenté par les professionnels et établissements de santé,
    ◆ Un agenda médical,
    ◆ Une messagerie sécurisée de santé permettant au patient de communiquer avec ses professionnels de santé,
    ◆ Un catalogue de services permettant à l’usager d’identifier les services référencés par la puissance publique, dédiés à sa santé (ajout de mesures de santé : poids, taille, glycémie, …), suivi de leur maladie, sites d'information en santé, prise de rendez-vous médicaux, ou encore l’accès à des portails patients d’établissement de santé.

⏺ Le domaine : Services aux Autorités Sanitaires 

➡️ Services de Pilotage Santé Publique
➡️ Services de Gestion de crises et SSE

⏺ Le domaine : Données et Recherche 

Les règles socles et les services socles de la doctrine du numérique en santé s’appliquent de manière différenciée pour tenir compte des cas d’usage d’échange et de partage de données de santé couverts par les services numériques d’un même secteur.

Le tableau ci-dessous présente de manière synthétique les règles socles de sécurité, d’éthique et d’interopérabilité et les services socles auxquels les solutions des Entreprises du Numérique en Santé doivent se conformer lorsqu’une ENS candidate t à un référencement Ségur, au référencement MES, à la certification des Dispositifs Médicaux Numériques ou des SI de Sociétés de Téléconsultation.

Les calendriers de publication des référentiels qui définissent les règles socles d'interopérabilité, de sécurité ou d'éthique qui s'appliquent par secteur sont disponibles sur le site :  Roadmap du numérique en santé.

Champ d'application et exigences du Réglement Espace Européen de Données de santé

Une solution logicielle d’une ENS fait partie du champ d’application du Règlement EEDS si elle permet de :

• stocker ou consulter ou produire ou échanger;
• l'une des catégories prioritaires de données de santé électronique à caractère personnel à des fins d’utilisation primaire suivantes :
  -résumés des dossiers de patients, 
  -prescription électroniques, 
  -dispensations électroniques, 
  -examens d’imagerie médicale et compte rendus d’imagerie médicale, 
  -résultats d’examens médicaux y compris les résultats de laboratoire et d’autres diagnostics, 
  -rapports de sortie de l’hôpital.

Une solution logicielle faisant partie du champ d’application du règlement peut être un Système de DME (voir Article 2, définition k) en pratique un Logiciel de Professionnel de Santé), un DM/DIV, une application d’IA à haut risque ou une application de bien-être.

Pour une solution logicielle faisant partie du champ d’application, les exigences du Règlement Espace Européen de Données de Santé (EEDS) à prendre en compte par les Entreprises du Numériques en Santé sont de 3 types :

• exigences générales : exigences de performance, exigence de livraison, d’installation,... (voir annexe II du réglement EEDS : exigences essentielles)
• exigences en matière d’interopérabilité : format européen d’échange de données de santé (voir Article 15 du règlement EEDS)
• exigences en matière de sécurité : 
  -exigences d’identification électronique des personnes physiques et des personnes morales, (voir Article 16 du règlement EEDS : gestion de l’identification, basée sur le règlement No 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance,
  -exigences de journalisation (voir annexe II du réglement EEDS).

Les exigences d’interopérabilité seront définies de manière détaillée par voie d’actes d’exécution sous forme de spécifications techniques avant le 26 mars 2027.
Les impacts identifiés à ce stade de ces exigences sur les règles socles d’Interopérabilité et de Sécurité sont présentés dans les fiches composants Interopérabilité et Sécurité de la doctrine du numérique en santé.

En fonction des avancées sur le premier semestre 2027 du Joint Action Extended EHR@EU Data Space for Primary Use (Xt-EHR) consortium en particulier de l’axe de travail 8. Schéma de Certification et de labellisation, les obligations de vérification de conformité aux exigences générales, d’interopérabilité et de sécurité seront précisées: 

• marquage CE EEDS : auto-certification de conformité de la solution logicielle et apposition du marquage CE par l’Entreprise du Numérique en Santé
• articulation entre le marquage CE EEDS avec le marquage CE du règlement 2017/45 des Dispositifs Médicaux et des Dispositifs Médicaux in vitro qui allèguent une interopérabilité avec une solution logicielle marqué CE EEDS,
• articulation entre le marquage CE EEDS et le règlement UE 2024/1689 pour les systèmes d’IA à haut risque qui allèguent une interopérabilité avec une solution logicielle marquée CE EEDS,
• labellisation des applications de bien-être lorsque le fabricant allègue l’interopérabilité de cette application avec une solution logicielle marquée CE EEDS.