Blog
Secteur de la santé

Digital Omnibus et données de santé : impacts sur la réutilisation des données médicales

Le projet Digital Omnibus ambitionne d'harmoniser le RGPD et l'AI Act pour simplifier la réutilisation des données de santé et favoriser l'innovation médicale en Europe. En clarifiant l'identifiabilité des données pseudonymisées, cette réforme pourrait transformer les pratiques de recherche tout en exigeant une gouvernance renforcée.

Par
Calixte Descamps
1
Min
Partagez cet article
Médecins
Sommaire
Heading 2

La Commission européenne a engagé, à l’automne 2024, un chantier législatif d’ampleur connu sous le nom de Digital Omnibus. Présenté comme un projet de simplification et de cohérence du cadre réglementaire numérique européen, ce texte vise à ajuster plusieurs textes structurants, dont le RGPD, l’AI Act, le Data Act et la directive ePrivacy.

Si ce projet n’en est encore qu’au stade de proposition et de discussions interinstitutionnelles, il suscite déjà de nombreuses interrogations, en particulier dans le secteur de la santé. La question de la réutilisation des données de santé, au cœur de nombreux projets de recherche, d’innovation et d’intelligence artificielle, apparaît comme l’un des points les plus sensibles du Digital Omnibus.

À ce stade, aucune modification n’est définitivement adoptée. Toutefois, les orientations envisagées méritent une analyse approfondie afin d’anticiper leurs impacts potentiels sur la gouvernance des données de santé et sur les obligations des acteurs concernés.

Webinar - Données de Santé
29 janvier 2026|11h00 - 12h00 : maîtrisez la conformité pour l'innovation et la recherche

Inscrivez-vous au webinar du 29 janvier pour maîtriser le cadre juridique complexe et les étapes clés de la conformité (RGPD, CNIL) encadrant la réutilisation des données de santé. Cette session vous fournira la méthodologie et les outils nécessaires pour sécuriser vos projets d'innovation clinique et d'optimisation des organisations.

S'inscrire

Le Digital Omnibus : un projet de rationalisation du droit numérique européen

Le Digital Omnibus s’inscrit dans une volonté affichée de la Commission européenne de réduire la complexité normative du droit numérique.

L’objectif est double :

  • D’une part, faciliter la conformité des organisations en harmonisant certaines obligations communes à plusieurs textes
  • D’autre part, soutenir l’innovation, notamment dans les domaines de l’intelligence artificielle et de l’exploitation des données, tout en maintenant un niveau de protection jugé suffisant pour les droits fondamentaux

Dans ce cadre, le RGPD n’est pas remis en cause dans son principe, mais certaines notions clés pourraient être précisées ou redéfinies. Ces ajustements, s’ils étaient confirmés, auraient des conséquences directes sur le régime applicable aux données de santé, qui constituent aujourd’hui une catégorie de données particulièrement protégée.

Il est essentiel de rappeler que le Digital Omnibus n’est pas une réforme adoptée. Le texte fait encore l’objet de débats, d’analyses juridiques et de possibles amendements. Les positions des États membres, du Parlement européen et des autorités de protection des données joueront un rôle déterminant dans sa version finale.

{{newsletter}}

La réutilisation des données de santé : un enjeu stratégique et sensible

Les données de santé occupent une place centrale dans les politiques publiques européennes. Elles sont indispensables à la recherche médicale, à l’amélioration des parcours de soins, à la surveillance sanitaire et au développement de solutions d’intelligence artificielle en santé.

Le RGPD encadre strictement leur traitement, en principe interdit sauf exceptions précises, telles que le consentement explicite de la personne concernée, l’intérêt public en matière de santé ou la recherche scientifique assortie de garanties renforcées.

La réutilisation des données de santé, c’est-à-dire leur utilisation à des fins autres que celles initialement prévues, est déjà possible dans un cadre juridique exigeant. Elle suppose une analyse rigoureuse des finalités, des bases légales et des mesures de protection mises en place. Le Digital Omnibus pourrait modifier cet équilibre.

Évolutions envisagées et impacts sur l'intelligence artificielle en santé

Parmi les pistes évoquées dans le projet Digital Omnibus figure une clarification de la notion de donnée personnelle et, par extension, de donnée de santé. L’identifiabilité des personnes pourrait être appréciée de manière plus contextuelle, en fonction des moyens raisonnablement disponibles pour le responsable de traitement.

Dans le domaine de la santé, cette approche pourrait faciliter la réutilisation de jeux de données pseudonymisés, notamment à des fins de recherche ou d’entraînement de modèles d’intelligence artificielle. Toutefois, elle soulève également des interrogations sur le risque de réidentification et sur la protection effective des personnes concernées.

Une autre évolution discutée concerne les bases légales mobilisables pour certains traitements, avec une possible place accrue de l’intérêt légitime, y compris dans des contextes impliquant des données sensibles. Si cette orientation devait être confirmée, elle modifierait profondément les pratiques actuelles en matière de consentement et de transparence, en particulier pour les usages secondaires des données de santé.

Enfin, le Digital Omnibus s’inscrit dans un environnement réglementaire plus large, marqué par l’entrée en application progressive de l’AI Act et par le développement de l’Espace européen des données de santé. L’articulation entre ces textes sera déterminante pour définir un cadre cohérent et sécurisé de réutilisation des données médicales.

Un projet législatif aux contours encore incertains

Il convient d’insister sur un point fondamental. Le Digital Omnibus est un projet. À ce stade, aucune modification du RGPD n’est juridiquement applicable. Les propositions peuvent évoluer, être amendées ou être abandonnées.

Les autorités de protection des données, les acteurs de la santé, les chercheurs et les organisations de la société civile participent activement au débat. Les prochains mois seront décisifs pour déterminer si les orientations actuelles seront maintenues et dans quelle mesure les garanties existantes seront renforcées ou adaptées.

Pour les organisations traitant des données de santé, il ne s’agit pas de modifier immédiatement leurs pratiques, mais de rester attentives aux évolutions et de préparer des scénarios d’adaptation.

Webinar - Données de Santé
29 janvier 2026|11h00 - 12h00 : maîtrisez la conformité pour l'innovation et la recherche

Inscrivez-vous au webinar du 29 janvier pour maîtriser le cadre juridique complexe et les étapes clés de la conformité (RGPD, CNIL) encadrant la réutilisation des données de santé. Cette session vous fournira la méthodologie et les outils nécessaires pour sécuriser vos projets d'innovation clinique et d'optimisation des organisations.

S'inscrire

Bonnes pratiques pour les acteurs de la santé et de la conformité

Pour les acteurs traitants des données de santé, certaines bonnes pratiques restent essentielles :

  • Maintenir une cartographie précise des traitements de données de santé et de leurs finalités, en identifiant clairement les usages secondaires et les projets de réutilisation
  • Renforcer les analyses d’impact relatives à la protection des données, elles doivent rester au cœur des démarches, en intégrant les risques liés aux nouvelles technologies, aux inférences et à la réidentification
  • Assurer la transparence envers les patients et les personnes concernées, car cela demeure un facteur clé de confiance
  • Informer de manière claire et accessible les personnes concernées, même lorsque le consentement n’est pas la base légale retenue
  • Documenter les choix juridiques et techniques afin de démontrer une conformité continue, quel que soit l’évolution future du cadre réglementaire
  • Mettre en place une gouvernance des données robuste, associant juristes, DPO, équipes techniques et directions métiers, permettant d’anticiper les évolutions réglementaires et de sécuriser les projets d’innovation

Chez Adequacy, nous suivons de près les discussions autour du Digital Omnibus et nous accompagnons les DPO et les responsables conformité dans l’analyse et l’adaptation de leurs pratiques de conformité en anticipant les évolutions réglementaires, en particulier sur les traitements sensibles comme les données de santé, afin de transformer l’incertitude juridique en levier de gouvernance maîtrisée.

Foire aux questions sur le Digital Omnibus

Le Digital Omnibus modifie-t-il déjà le RGPD ?

Non. Le RGPD reste pleinement applicable dans sa version actuelle. Le Digital Omnibus est un projet en cours de discussion.

Les données de santé pourraient-elles être moins protégées ?

Certaines propositions interrogent sur une redéfinition du périmètre des données sensibles ou sur les bases légales de traitement. Toutefois, aucune décision définitive n’a été prise et les garanties actuelles restent pleinement applicables.

Les analyses d’impact doivent-elles être mises à jour ?

Pas immédiatement. En revanche, il est pertinent d’identifier les AIPD existantes portant sur la réutilisation de données de santé et d’évaluer leur robustesse face à de futurs changements.

La réutilisation des données de santé sera-t-elle facilitée ?

Le projet vise à clarifier et potentiellement simplifier certains cadres juridiques, notamment pour la recherche et l’intelligence artificielle. Cela pourrait faciliter certains usages notamment la facilitation de la réutilisation des données pseudonymisées, sous réserve de garanties appropriées.

Les établissements de santé doivent-ils anticiper des changements immédiats ?

Non. En revanche, il est recommandé de suivre l’actualité réglementaire, de sensibiliser les équipes et de documenter les pratiques existantes afin d’être prêts à s’adapter le moment venu.

{{newsletter}}

Les dernières actus

Conformité RGPD et bonnes pratiques

Auditez la conformité RGPD de vos sous-traitants : le guide pour sécuriser votre responsabilité

La conformité d'un responsable de traitement dépend directement de la rigueur de ses prestataires. En vertu du RGPD, l'externalisation n'exonère pas de la responsabilité : vous devez garantir que vos sous-traitants présentent des garanties suffisantes en matière de sécurité et de confidentialité. Ce guide détaille les obligations de vigilance, les leviers contractuels comme le Plan d'assurance sécurité (PAS) et propose une check-list de 16 points de contrôle pour industrialiser vos audits et prouver votre diligence (Accountability).

Anne-Angélique de Tourtier
Secteur de la santé

Digital Omnibus et données de santé : impacts sur la réutilisation des données médicales

Le projet Digital Omnibus ambitionne d'harmoniser le RGPD et l'AI Act pour simplifier la réutilisation des données de santé et favoriser l'innovation médicale en Europe. En clarifiant l'identifiabilité des données pseudonymisées, cette réforme pourrait transformer les pratiques de recherche tout en exigeant une gouvernance renforcée.

Calixte Descamps
Actualités

DPO, AI Act et Digital Omnibus : stratégies de conformité pour 2026

Le rôle du DPO est en pleine mutation suite à l'entrée en vigueur progressive du Digital Omnibus (DSA, DMA, Data Act) et de l’AI Act. Ces textes obligent les organismes à passer d'une conformité RGPD classique à une stratégie globale de gouvernance des données et de l'IA. Le DPO devient un acteur stratégique qui doit garantir la transparence algorithmique, l'interopérabilité des données et la classification des systèmes d'IA selon leur niveau de risque. L'enjeu pour 2026 est l'intégration du compliance by design pour prévenir les sanctions et transformer ces défis réglementaires en avantage concurrentiel.

Guillemette Songy

Ils nous font confiance depuis des années

Utilisé par plus de 10 000 entités juridiques

Découvrez Adequacy

Un de nos experts vous présente comment Adequacy s’adapte à votre réalité terrain.
Demander un devis