Les données de Mon espace santé sont hébergées en France par les prestataires de l’Assurance Maladie sur des infrastructures dédiées, en respectant les normes d’hébergement des données de santé françaises (HDS). Les informations de santé vous concernant sont donc gardées dans des centres hautement sécurisés qui sont agréés par des organismes officiels et indépendants.

Mon espace santé fait l’objet d’un encadrement réglementaire strict sur le traitement des données personnelles de ses utilisateurs. Concrètement : la loi précise les finalités de Mon espace santé et le traitement des données est encadré par des textes (décret, arrêté) pris après avis de la Commission Nationale Informatique et Libertés (CNIL) qui évalue la conformité du traitement et émet des avis pouvant inclure des précautions et remarques à prendre en compte. 
Aujourd’hui, le traitement des données Mon espace santé se limite à l’usage de données non nominatives pour améliorer la plateforme “Mon espace santé” (ex. l’équipe Mon espace santé regarde de manière agrégée le nombre de connexions ou de personnes qui complètent leur profil médical pour comprendre et améliorer le parcours de l’utilisateur).
Les co-traitants sont l’Assurance Maladie et la Délégation ministérielle au Numérique en Santé du Ministère de la Santé. Dans un principe de transparence, ils transmettent à la CNIL, au fur et à mesure, la documentation produite conformément au Règlement Général sur la Protection des Données (RGPD), pour lui permettre d’apprécier la conformité de Mon espace santé, tant sur les aspects Informatique et Libertés que sur les mesures de sécurité mises en place au regard de la sensibilité des données.
 

Seuls les professionnels de santé impliqués dans votre prise en charge peuvent consulter votre dossier médical. Ils doivent vous informer au préalable et vous avez le droit de refuser. 
Les droits d’accès des différents professionnels de santé sont définis dans une « matrice d’habilitation » disponible à l’adresse www.dmp.fr/matrice-habilitation/. En fonction de leur profession, un médecin, un infirmier ou un dentiste par exemple ne sont pas autorisés à accéder aux mêmes types de documents.
Lorsqu’un professionnel de santé accède pour la première fois  à votre dossier médical, une notification est envoyée sur votre boîte mail personnelle. 
L’intégralité des accès et actions sur votre profil sont tracées et visibles sur Mon espace santé.
 

Si vous n’avez pas changé le paramétrage par défaut dans Mon espace santé, deux modes d'accès particuliers sont prévus pour les situations d'urgence. Ils  sont tracés et vous serez également notifiés de l’accès.
L’accès « SAMU » : le médecin régulateur peut accéder au dossier médical d'un patient pour lequel il reçoit un appel ;
L’accès « Autres professionnels de santé » en cas d’urgence : tout professionnel de santé peut consulter le dossier médical d'un patient dont l'état comporte un risque immédiat pour sa santé. Le professionnel déclare alors qu'il accède en urgence (case à cocher lors de l’accès) et saisit le motif justifiant l'urgence.

Seuls l’usager (ou ses représentants légaux pour les mineurs) et les professionnels habilités qui le prennent en charge ont accès au dossier médical de Mon espace santé.
Aucun autre acteur ne peut accéder aux données médicales stockées dans Mon espace santé sauf si le patient a explicitement donné son consentement (ex. dans le cas d’une application référencée dans le catalogue un patient peut choisir de partager un document ou une mesure de santé stockée dans son profil Mon espace santé à un service privé ou public). 
De plus, les informations présentes dans le dossier médical 

• ne peuvent aucunement être exploitées à des fins commerciales, d’études ou autre. 
• ne peuvent pas être exigées lors de la conclusion d’un contrat, notamment un contrat relatif à une protection complémentaire en matière de couverture de santé, même avec l’accord du patient. C’est interdit par la loi et pénalement sanctionné (article L. 1111-18 du code de la santé publique, puni d’un an d'emprisonnement et de 15 000 euros d'amende). 

La fiabilité du système de sécurisation des données de santé personnelles de Mon espace santé s’appuie sur la mise en œuvre d’un ensemble de garanties techniques :

• La conception et l’hébergement en environnement certifié HDS (Hébergeurs de Données de Santé); 
• Des vérifications sur les mesures de protection sont réalisées plusieurs fois par an au travers d'audits externes. Ainsi des tests de pénétrations permettent de juger de l’efficacité des mesures en place. Chaque évolution de l’application fait l’objet d'un contrôle systématique.
• Par ailleurs, au regard de la réglementation en vigueur, les homologations nécessaires sont réalisées lors de chaque évolution majeure de l’application (RGS, HDS).