BLOG DU CABINET HAAS AVOCATS

  • Il n'y a aucune suggestion car le champ de recherche est vide

EEDS : Jusqu’à 20 millions d’euros d’amende pour violation des données de santé

avr. 02 2025
EEDS : Jusqu’à 20 millions d’euros d’amende pour violation des données de santé
⏱ Lecture 2 min

Par Haas Avocats

A quoi servirait un cadre de protection sans son régime de sanctions ? Pour garantir l’effectivité du cadre de l’accès et de l’utilisation des données de santé au sein de l’Union européenne, le Règlement (UE) 2025/327 sur l’Espace Européen des Données de Santé (EEDS) prévoit un dispositif répressif sur le modèle du RGPD.EEDS : Qui est concerné et quels sont les manquements sanctionnés ?

Le règlement s’applique à un large éventail d’acteurs, tant publics que privés :

  • Établissements de santé, responsables de l’accès et du partage des dossiers médicaux électroniques.
  • Éditeurs de logiciels de Dossier Médical Électronique (DME), chargés de garantir la conformité technique de leurs produits.
  • Détenteurs de données de santé (hôpitaux, registres, etc.), tenus de répondre aux demandes autorisées d’accès.
  • Utilisateurs de données de santé (chercheurs, entreprises…), responsables de l’usage approprié des données reçues.

Le règlement distingue trois grandes catégories de manquements :

  1. L’utilisation primaire des données de santé (soins médicaux) :
    • Refus d’accès indu aux données de santé électroniques d’un patient.
    • Non-connexion des systèmes nationaux à MyHealth@EU dans les délais impartis.
  2. La conformité des logiciels de DME :
    • Mise sur le marché ou utilisation de logiciels non conformes aux exigences d’interopérabilité et de sécurité.
  3. L’utilisation secondaire des données de santé (recherche et innovation) :
    • Tentative de réidentification d’une personne à partir de données pseudonymisées.
    • Extraction de données en dehors de l’environnement sécurisé prévu par le règlement.

EEDS : Un régime de sanctions gradué et dissuasif

Le règlement prévoit un système de sanctions administratives harmonisé, avec des amendes pouvant atteindre des montants significatifs :

  • Premier palier : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
  • Deuxième palier : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

D’autres sanctions peuvent être appliquées, telles qu’un avertissement, une suspension ou un retrait d’une autorisation d’accès aux données ou une exclusion temporaire ou définitive de l’EEDS.

Par ailleurs, les États membres sont enjoints d’adopter des sanctions nationales complémentaires pour les infractions non couvertes par les amendes administratives européennes.

EEDS : Droit à réparation et recours collectif pour protéger les patients

Le règlement consacre un droit à réparation pour les personnes ayant subi un dommage du fait d’une violation de leurs droits. Une mauvaise utilisation des données de santé entraînant un préjudice matériel ou moral pourra donner lieu à une indemnisation, conformément aux règles nationales.

De plus, un mécanisme de recours collectif est prévu, permettant à une personne de mandater une association ou une ONG pour agir en son nom, à l’instar du dispositif de l’article 80 du RGPD.

Perspectives : vers une pandémie de sanctions à venir ?

L’entrée en vigueur de l’EEDS devrait s’accompagner d’une phase initiale de sensibilisation et de mise en conformité. Toutefois, compte tenu de l’expérience acquise avec le RGPD, les autorités de contrôle pourraient rapidement prononcer des sanctions exemplaires en cas de manquements graves, notamment en matière de confidentialité et de réidentification illicite.

Le régime de sanctions de l’EEDS illustre la volonté de l’Union européenne de garantir un cadre de confiance autour des données de santé, en responsabilisant l’ensemble des acteurs. Cette vigilance accrue impose aux entreprises et institutions concernées une mise en conformité rigoureuse pour éviter des sanctions lourdes et préserver la confidentialité des données des patients.

Vous souhaitez vous préparer aux nouvelles exigences de l’EEDS et garantir la conformité de vos systèmes de santé, et ainsi éviter les sanctions ? Nous vous accompagnons dans l’adaptation et la mise en conformité de vos solutions numériques.

 

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

 
Haas Avocats

Auteur Haas Avocats

Suivez-nous sur Linkedin

 

Tous droits réservés. Copyright 1998-2024.

YouTube   LinkedIn

Politique de gestion des cookies - Mentions légales - Politique de confidentialité