Le recours aux objets connectés (IoT) dans le secteur médical est en pleine croissance. En effet, le marché des objets connectés dans le secteur médical est estimé à 67,65 milliards de dollars en 2026 et devrait atteindre 502,85 milliards de dollars en 2034.
Champ d’application du Data Act:
Le Data Act (Règlement UE 2023/2854) applicable depuis le 12 septembre 2025 vise à encadrer l’accès, le partage et la portabilité des données relatives aux objets connectés, qu’il s’agisse de données personnelles ou non.
Les objets connectés captent, génèrent ou collectent des données relatives à leur fonctionnement ou à leur environnement. Ils peuvent transmettre ces données via un service de communication électronique, une connexion physique ou un accès intégré (article 2§5 Data Act).
L’encadrement est renforcé lorsque les objets connectés touchent à des données de santé ou des données personnelles.
Les données de santé concernent « la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (article 4§15 du RGPD).
Les équipements de santé et de bien-être connectés entrent dans le champ d’application du règlement (considérant 14 Data Act). Il peut notamment s’agir de capteurs, d’implants, d’objets portables ainsi que de logiciels ou plateformes associés.
Le règlement ne porte pas atteinte à la compétence exclusive des États membres relative à la santé publique et à la sécurité des citoyens (article 1§6 Data Act).
Protection des secrets des affaires:
Pour préserver les secrets d’affaires (directive UE 2016/943 et art. L.151‑1 s. C. com) tout en ouvrant l’accès aux données, le détenteur et l’utilisateur/tiers conviennent de mesures de confidentialité adaptées (article 4§6 Data Act).
En cas de non‑respect de ces mesures, le détenteur peut suspendre ou refuser le partage, à condition de démontrer un risque sérieux de préjudice économique dû à la divulgation (article 4§8 Data Act).
Ils peuvent aussi limiter le partage lorsque la sécurité d’un produit connecté pourrait être compromise, en ayant des effets graves sur la santé, la sûreté ou la sécurité des personnes (article 4§2 Data Act).
Articulation entre le Data Act et le RGPD pour les données personnelles:
Il y a une primauté du RGPD sur le Data Act pour le traitement des données personnelles de santé (article 1§5 Data Act). Il s’agit de données sensibles dont le traitement est en principe prohibé (article 9 RGPD).
Toutefois, dans certaines hypothèses, le traitement des données de santé est possible (article 9§2 h) et i) RGPD), sous réserve que les données soient traitées par un professionnel de santé soumis au secret professionnel.
Encore faut-il que le traitement des données de santé soit justifié par l’une des bases légales prévues par l’article 6 du RGPD.
En vertu de l’article 6 point c) du RGPD, le traitement peut être justifié si le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. Cependant, il n’est pas possible pour le responsable de traitement d’invoquer le respect du Data Act comme obligation légale dès lors que cela ne constitue pas expressément un fondement juridique pour une action en protection des données (considérant 7 Data Act).
En pratique, la base légale retenue pour le traitement des données de santé est majoritairement le consentement.
L’articulation du Data Act avec le RGPD se complexifie en cas de pluralité d’acteurs (fabricant, hébergeur, prestataire de services).
Conséquences sur les règlements du domaine médical EHDS/MDR‑IVDR:
En vigueur depuis le 26 mars 2025, le règlement européen des données de santé (EHDS) a établi le tout premier espace de données commun de l’Union européenne dédié spécifiquement aux données de santé.
Le domaine médical est strictement encadré en droit de l’UE avec le règlement sur les dispositifs médicaux (MDR) et le règlement relatif aux dispositifs médicaux de diagnostic in vitro (IVDR).
Le Data Act influence directement ces règlements avec l’obligation d’accès dès la conception de l’objet connecté. Cet accès doit être simple, sécurisé, gratuit et lorsque cela est techniquement possible direct (article 3§1 Data Act).
Cette obligation, qui touche directement la conception du produit, peut engendrer des modifications importantes sur les produits existants. Selon les règlements MDR et IVDR, il s’agit d’une modification substantielle qui nécessite une réévaluation de la conformité du dispositif médical. Cette obligation s’applique aux produits connectés et aux services associés mis sur le marché après le 12 septembre 2026.
Conséquences pratiques du Data Act dans la santé:
En pratique, dans le domaine de la santé le Data Act permet:
- Accès simplifié aux données générées par des objets connectés.
- Renforcement de la collaboration entre acteurs publics et privés.
- Accélération de la recherche et amélioration de la qualité des soins.
Le Data Act s’inscrit dans la volonté de l’UE de créer un marché unique européen de la santé.
Conclusion:
La mise en œuvre du Data Act doit être compatible avec les autres textes du droit de l’UE (RGPD, EHDS et MDR/IVDR) qui restent applicables.
Sources:
- https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L_202302854&qid=1766416252362
- https://www.taylorwessing.com/en/insights-and-events/insights/2025/01/impact-of-the-data-act-on-medical-and-health-devices
- https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained
- https://health.ec.europa.eu/medical-devices-sector/new-regulations_en
- https://www.precedenceresearch.com/wearable-medical-device-market
Étudiante en Master 2 Droit de l’économie numérique, je me spécialise dans l’intersection entre nouvelles technologies et propriété intellectuelle, avec un intérêt particulier pour les enjeux juridiques du secteur créatif.
