À l’ère du numérique, notre santé génère des données. Beaucoup de données. Qu’il s’agisse du Dossier Médical Partagé (DMP), des applications mobiles de suivi de santé, des montres connectées, ou encore des algorithmes d’intelligence artificielle utilisés dans les diagnostics médicaux, jamais notre corps n’a produit autant d’informations, aussi facilement exploitables.
Ces données ne sont pas de simples chiffres : elles racontent nos maladies, nos fragilités, nos habitudes de vie. Elles peuvent sauver des vies en améliorant la prévention ou la recherche médicale… mais aussi alimenter des logiques de profit, à travers des modèles économiques fondés sur la monétisation de l’intime.
C’est dans ce contexte que la France ambitionne de devenir un acteur majeur de la e-santé, en misant sur l’innovation et le partage des données au service du progrès médical. Mais cette dynamique, si prometteuse, se heurte à des enjeux juridiques, éthiques et sociaux majeurs : confidentialité, consentement, responsabilité, inégalités… À qui appartiennent réellement ces données ? À quoi peuvent-elles servir ? Et surtout, jusqu’où peut-on les exploiter sans trahir la confiance du patient ?
Derrière cette révolution numérique en santé se cache donc une tension centrale : comment concilier les impératifs de protection des droits fondamentaux avec les logiques économiques de valorisation des données ? Peut-on réconcilier innovation et respect des personnes ?
I. Les données de santé : objet juridique à la croisée des régulations
A. Un cadre protecteur encore en construction
Les données de santé, par leur nature hautement sensible, bénéficient en droit européen d’un régime de protection renforcé. Le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018, les qualifie de « données sensibles » à l’article 9, ce qui implique qu’en principe, leur traitement est interdit, sauf exception expressément prévue.
En France, ce cadre européen est complété par la Loi Informatique et Libertés, modifiée pour s’aligner sur le RGPD, et par l’intervention constante de la Commission nationale de l’informatique et des libertés (CNIL). Cette dernière joue un rôle central dans l’encadrement des traitements, l’émission de recommandations et la régulation des projets numériques en santé, comme le Health Data Hub. Dans une ordonnance du 13 octobre 2020 relative au Health Data Hub, le Conseil d’État a souligné l’importance de garantir un haut niveau de protection des données de santé, en particulier face aux risques liés à leur transfert vers des pays tiers. Cette décision rappelle que la sécurité et la qualité du traitement des données de santé constituent des enjeux juridiques majeurs, justifiant un encadrement renforcé.
Cependant, malgré ce socle juridique robuste, plusieurs zones d’ombre subsistent. Le régime applicable varie en fonction des finalités du traitement : les règles ne sont pas les mêmes selon qu’il s’agit de soin direct, de recherche scientifique, de politique publique ou d’exploitation commerciale. Cette pluralité d’usages brouille les lignes : un traitement à visée préventive peut-il être réalisé sans le consentement explicite du patient ? Quelles garanties s’appliquent lorsque les données sont traitées par des acteurs privés ?
Ce flou juridique alimente une inquiétude croissante : celle de voir des intérêts commerciaux profiter de brèches réglementaires, dans un contexte où la collecte massive et le croisement de données sont techniquement possibles… mais éthiquement discutables. Le droit cherche à encadrer cette évolution, mais il semble souvent courir derrière la technologie, plutôt que d’en fixer les limites en amont. Cette exigence de conformité a récemment été illustrée par une décision de la CNIL du 5 septembre 2024, infligeant une amende de 800 000 euros à une société pour avoir traité illicitement des données de santé sans base légale valable
B. L’approche internationale : vers une fragmentation juridique ?
Si le droit français s’efforce d’encadrer rigoureusement l’exploitation des données de santé, la scène internationale révèle une mosaïque de régulations, parfois très divergentes. Cette fragmentation juridique constitue un défi majeur dans un monde où les flux de données ne s’arrêtent pas aux frontières. Le RGPD, à son article 4, définit les données de santé comme toute information relative à la santé physique ou mentale d’une personne, y compris les services de soins fournis, renforçant ainsi leur caractère sensible.
Aux États-Unis, par exemple, la logique est nettement plus permissive. Le cadre juridique repose sur la loi HIPAA (Health Insurance Portability and Accountability Act), qui protège les données médicales uniquement dans un périmètre bien défini : celui des organismes de santé et des assurances soumis à cette législation. En dehors de ce champ, notamment dans le domaine des objets connectés ou des applications mobiles de santé, la protection des données est beaucoup plus faible, voire inexistante. Résultat : un cadre qui favorise l’innovation rapide, mais au prix d’une moindre garantie pour les individus.
Cette différence de philosophie juridique a provoqué une vive polémique en France avec l’affaire du Health Data Hub, cette plateforme nationale visant à centraliser les données de santé pour la recherche. Son hébergement par Microsoft Azure, une entreprise américaine soumise potentiellement au Cloud Act (qui permet aux autorités américaines d’accéder à des données stockées à l’étranger), a été perçu comme une menace pour la souveraineté numérique française et européenne. Cette affaire a révélé les tensions entre la volonté d’accélérer les projets d’e-santé et l’impératif de conserver le contrôle sur des données stratégiques.
Face à ces divergences, des tentatives d’harmonisation émergent à l’échelle internationale, notamment sous l’impulsion de l’OCDE ou de l’Organisation mondiale de la santé. On y parle de standards communs, d’encadrement de l’IA médicale, de partage éthique des données… Mais pour l’instant, ces efforts restent embryonnaires, sans portée contraignante, et peinent à répondre à l’urgence d’un cadre global face à des géants technologiques dont l’activité dépasse de loin le périmètre d’un État.
En définitive, tant que le droit international n’imposera pas des normes cohérentes et robustes, les données de santé resteront soumises à des logiques concurrentes : celles de la souveraineté, de l’innovation… et du marché.
C. Un besoin d’un statut juridique spécifique ?
Face à la montée en puissance des technologies de santé et à la circulation massive d’informations médicales, une question s’impose progressivement dans les milieux juridiques et académiques : le cadre actuel est-il suffisant ? Ou faut-il aller plus loin et concevoir un statut juridique spécifique pour les données de santé massives, à la hauteur de leur sensibilité et de leur potentiel économique ?
Plusieurs auteurs appellent à la création d’un régime « sui generis », c’est-à-dire d’un statut juridique autonome, conçu spécialement pour encadrer les données de santé dans un contexte de big data. Ce régime permettrait de dépasser les limites du RGPD, qui reste centré sur la protection individuelle des données, et de prendre en compte les enjeux collectifs, économiques et structurels posés par leur exploitation.
Certaines pistes s’inspirent du droit existant, en particulier de la directive 96/9/CE sur les bases de données, qui protège l’investissement réalisé pour constituer une base sans pour autant exiger une création intellectuelle. Ce parallèle soulève une idée intéressante : ne pourrait-on pas reconnaître aux opérateurs de données de santé un droit sui generis, non pas sur les données elles-mêmes, mais sur l’organisation, la structuration, ou l’usage responsable de ces données ? Cette logique pourrait encourager le partage sécurisé tout en garantissant une certaine maîtrise publique.
D’autres approches, plus audacieuses, s’orientent vers une lecture en termes de « biens communs ». Dans cette perspective, les données de santé, issues d’un collectif et potentiellement utiles à tous (ex. : pour la recherche médicale), devraient être protégées comme un bien d’intérêt général, ni purement privé, ni intégralement public. Cette idée, encore marginale dans le droit positif, alimente néanmoins une réflexion de fond sur la gouvernance démocratique des données, à rebours d’une logique de privatisation totale.
Le Comité Consultatif National d’Éthique (CCNE), dans son avis n° 130, propose d’aborder les données de santé comme des biens communs, justifiant une gouvernance éthique, partagée et décentralisée.
Ces propositions montrent que le droit hésite encore : doit-il simplement ajuster le cadre existant, ou inventer un nouvel outil juridique ? La question est loin d’être théorique : elle conditionne la capacité de nos sociétés à encadrer la donnée médicale comme un levier d’intérêt collectif, et non comme une marchandise parmi d’autres.
II. Les tensions éthiques : du soin individualisé au risque de déshumanisation
A. Le consentement : réel ou illusoire ?
L’un des fondements éthiques majeurs en matière de traitement de données personnelles, et plus encore de données de santé, demeure le consentement libre, éclairé et explicite. C’est une exigence cardinale du RGPD, censée garantir à chacun le contrôle sur ses propres données. Pourtant, dans la pratique du big data médical, cette exigence se heurte à des limites profondes, parfois insurmontables.
Le traitement massif de données de santé repose souvent sur un consentement implicite ou généralisé. Il devient difficile, voire illusoire, de solliciter un accord individuel pour chaque usage, chaque partage, chaque algorithme mobilisé. Cette réalité technique pousse certains dispositifs à recourir à des logiques de « consentement par défaut », où l’utilisateur est considéré comme d’accord… tant qu’il ne s’y oppose pas (opt-out). L’article 7 du RGPD précise alors que le consentement doit être donné librement, de manière spécifique, éclairée et univoque, et qu’il doit pouvoir être retiré aussi facilement qu’il a été donné. Peut-on vraiment parler de choix éclairé, lorsqu’un patient ignore que ses données sont utilisées à des fins de recherche ou de modélisation commerciale ? Le considérant 43 du RGPD souligne que le consentement ne saurait être considéré comme libre lorsqu’un déséquilibre existe entre la personne concernée et le responsable de traitement, ce qui est fréquemment le cas dans le domaine médical.
Cette dilution du consentement est d’autant plus problématique que les finalités évoluent : une donnée collectée pour le soin peut être réutilisée pour l’entraînement d’une intelligence artificielle, ou pour affiner une stratégie marketing dans le secteur de la santé connectée. Dans ce contexte, le consentement devient moins un acte de volonté qu’un mécanisme de validation implicite, souvent entouré d’opacité.
Plus largement, cela interroge notre conception même du consentement à l’ère numérique : doit-il rester strictement individuel, ou faut-il envisager des formes collectives, dynamiques, contextualisées, mieux adaptées à la complexité des traitements modernes ?
B. Des biais algorithmiques et des discriminations structurelles
L’intelligence artificielle est souvent présentée comme un levier de progrès pour la médecine : plus rapide, plus précise, capable de croiser des millions de données pour aider au diagnostic ou à la prédiction de maladies. Mais derrière cette promesse technologique, un problème majeur émerge peu à peu : celui des biais algorithmiques.
Ces biais ne sont pas dus à une malveillance des concepteurs, mais à la manière dont les algorithmes sont entraînés. Lorsqu’un outil d’IA est nourri avec des données historiques, il apprend à reproduire les modèles qu’il observe… y compris les inégalités qu’ils contiennent. Plusieurs études ont ainsi révélé que des systèmes d’aide au diagnostic étaient moins précis pour les patients issus de minorités raciales, ou sous-estimaient les besoins médicaux des populations les plus pauvres. En d’autres termes, l’algorithme, loin d’être neutre, renforce parfois les discriminations existantes au lieu de les corriger.
À cela s’ajoute une difficulté technique et juridique de taille : l’opacité des algorithmes. Beaucoup d’entre eux fonctionnent comme des « boîtes noires », dont même les concepteurs ne peuvent expliquer en détail le raisonnement. Cette absence d’explicabilité pose un vrai problème pour les patients… mais aussi pour les professionnels de santé, qui doivent prendre des décisions éclairées, parfois en s’appuyant sur des recommandations qu’ils ne peuvent pas vérifier. L’article 22 du RGPD garantit pourtant le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, lorsque celle-ci produit des effets juridiques ou significatifs, sauf exceptions strictes.
D’un point de vue juridique et éthique, cette situation est délicate : comment garantir le droit à l’information du patient, ou même simplement le droit de contester une décision, si l’on ne comprend pas comment elle a été prise ? Des voix s’élèvent aujourd’hui pour réclamer des critères d’auditabilité, de transparence et de traçabilité des algorithmes de santé, à l’image de ce que propose le règlement européen sur l’IA actuellement en discussion.
La CNIL a d’ailleurs souligné, dans une communication de 2022, la nécessité d’imposer des critères d’auditabilité et de transparence aux systèmes d’intelligence artificielle utilisés en santé, afin de garantir les droits fondamentaux des patients.
Ces enjeux montrent que l’IA, loin d’être une solution purement technique, est un objet politique et social, dont l’usage dans le domaine médical doit être encadré, interrogé, et adapté aux principes fondamentaux du droit à la non-discrimination et à la dignité humaine.
C. Des dilemmes autour de la responsabilité
L’intégration croissante de l’intelligence artificielle dans les dispositifs médicaux soulève une question centrale : qui est responsable lorsqu’une erreur survient ? Que se passe-t-il lorsqu’un algorithme se trompe dans l’évaluation d’un risque, dans le tri des patients, ou dans l’interprétation d’une imagerie médicale ? Ces scénarios, autrefois théoriques, sont aujourd’hui bien réels.
Le droit français repose sur des fondements clairs : c’est le professionnel de santé qui est responsable de l’acte médical, même s’il s’est appuyé sur un outil informatique. Mais que faire lorsque l’outil lui-même influence fortement la décision, voire la remplace partiellement ? Le médecin devient alors un exécutant d’un système qu’il ne maîtrise pas totalement, ce qui fragilise la chaîne de responsabilité.
Si la jurisprudence reste encore limitée sur ces sujets, certains cas ont marqué l’opinion. L’exemple de Doctolib, bien qu’il ne s’agisse pas d’un outil de diagnostic, a posé la question de la responsabilité en cas de défaillance d’un système numérique utilisé dans le parcours de soin. De manière plus significative, le cas d’IBM Watson Health, aux États-Unis, a révélé que l’IA pouvait recommander des traitements inadaptés en oncologie, soulevant des inquiétudes mondiales sur la fiabilité de ces dispositifs.
En doctrine, plusieurs pistes ont été avancées. Certains proposent la reconnaissance d’une « responsabilité algorithmique », qui permettrait d’identifier les maillons de la chaîne technique (concepteur, fournisseur, utilisateur) pour déterminer qui doit répondre de l’erreur. D’autres appellent à la création d’un régime d’assurance obligatoire, à l’image de celui existant pour les produits défectueux, qui permettrait d’indemniser rapidement les victimes sans avoir à engager une longue procédure en responsabilité. Ce modèle pourrait s’inspirer de l’article 1245 du Code civil relatif à la responsabilité du fait des produits défectueux, qui permet d’engager la responsabilité du fabricant sans faute prouvée, en cas de dommage causé par un défaut du produit.
Mais ces propositions se heurtent à une difficulté persistante : l’opacité des algorithmes et la difficulté à prouver la faute ou le dysfonctionnement technique. Tant que les décisions automatisées restent partiellement incompréhensibles, il sera difficile de trancher clairement les litiges… et de garantir une protection juridique satisfaisante pour les patients.
Dans un rapport de 2022, le Conseil d’État appelait à clarifier les régimes de responsabilité applicables aux systèmes d’IA en santé, soulignant l’importance de sécuriser juridiquement les usages innovants tout en protégeant les patients.
Ces dilemmes rappellent une chose essentielle : l’innovation ne peut se faire sans réflexion sur la responsabilité. À défaut, l’intelligence artificielle risque de créer des zones d’irresponsabilité, au détriment des principes fondamentaux du droit à réparation et de la confiance dans le système de santé.
III. La valorisation économique : innovation, compétition… et marchandisation ?
A. Un ecosystème en expansion
L’explosion des données de santé n’a pas seulement transformé le monde médical : elle a ouvert un nouveau champ de compétition économique, attirant des acteurs venus bien au-delà du monde hospitalier. Aux côtés des établissements de santé et des laboratoires, on voit émerger une galaxie d’acteurs privés : start-up spécialisées en e-santé, assureurs, grandes plateformes numériques, mais aussi les géants du numérique – les fameux GAFAM – qui investissent massivement ce secteur.
Cet écosystème en expansion repose sur une conviction simple : la donnée de santé est une ressource précieuse, aussi stratégique que le pétrole l’était au XXe siècle. Elle permet de concevoir des services innovants, comme des outils prédictifs pour prévenir certaines maladies, des applications de suivi individualisé, ou encore des plateformes d’assurance personnalisée, où les primes sont adaptées en fonction du comportement ou du profil de santé de l’assuré.
Cette logique donne naissance à de nouveaux modèles économiques, basés sur la monétisation des données médicales. Certaines entreprises construisent leur rentabilité sur l’analyse des habitudes de santé des utilisateurs : nombre de pas quotidiens, fréquence cardiaque, habitudes alimentaires, sommeil, activité sexuelle, consommation médicamenteuse… autant de données parfois sensibles, transformées en valeur marchande. D’autres acteurs proposent des services gratuits ou peu coûteux, en échange d’un accès aux données de l’utilisateur, alimentant un échange inégal où l’utilisateur perd progressivement la maîtrise de son intimité numérique.
Cette économie des données de santé se développe dans un cadre encore flou, souvent plus rapide que le droit. Elle interroge directement la frontière entre innovation et marchandisation, et soulève une question fondamentale : nos données de santé peuvent-elles – ou doivent-elles – devenir un produit ?
Toutefois, l’Union européenne a adopté le règlement sur l’Espace Européen des Données de Santé (EHDS), visant à harmoniser l’accès et l’utilisation des données de santé, tout en renforçant les droits des patients et en garantissant la protection de leurs informations personnelles.
B. Les données de santé : un bien public ou un actif marchand ?
L’essor du numérique en santé s’accompagne d’un basculement subtil mais fondamental : les données médicales, autrefois considérées comme des éléments strictement personnels et confidentiels, tendent aujourd’hui à être vues comme des ressources économiques. Cette évolution soulève une interrogation centrale : sommes-nous en train de « patrimonialiser » les données de santé ?
La Commission nationale de l’informatique et des libertés (CNIL) rappelle que le traitement des données de santé est, par principe, interdit, sauf dans des cas spécifiques prévus par le RGPD et la loi Informatique et Libertés, soulignant ainsi la nécessité d’une protection renforcée de ces informations sensibles.
La notion de patrimonialisation suggère que les données pourraient faire l’objet d’une appropriation, d’un usage commercial, voire d’un échange contractuel – comme n’importe quel actif. Dans cette logique, la donnée de santé devient une ressource exploitable, sur laquelle les individus pourraient théoriquement exercer des droits de propriété ou de valorisation. Cette vision, séduisante pour certains économistes du numérique, heurte pourtant de front les principes fondateurs du droit à la vie privée et à la dignité humaine, qui postulent que la santé d’un individu ne peut être traitée comme un bien marchand.
Face à cette dérive potentielle, des courants alternatifs défendent une approche plus collective : celle des communs numériques. Inspirée du droit de l’environnement ou des biens publics, cette approche considère les données de santé comme des ressources partagées, gouvernées collectivement, au service de l’intérêt général. Elles ne seraient ni entièrement publiques, ni privatisables, mais confiées à des structures de gouvernance transparentes, associant patients, chercheurs, professionnels et citoyens. Ce modèle implique un changement radical de paradigme, où la donnée n’est pas valorisée pour sa valeur commerciale, mais pour son utilité sociale et sanitaire.
Cette opposition entre logique marchande et logique de bien commun s’est cristallisée pendant la pandémie de COVID-19. De nombreux débats ont émergé sur la monétisation des données épidémiologiques, collectées massivement par des applications de suivi ou des dispositifs de test. Devait-on permettre à des acteurs privés de les exploiter ? À quelles conditions ? Pour quels usages ? Ces discussions ont montré que la question du statut des données de santé n’est pas abstraite, mais bien politique, éthique et stratégique.
En définitive, considérer les données de santé comme un bien public ou comme un actif marchand, ce n’est pas seulement un débat juridique : c’est un choix de société. Et ce choix, il nous appartient collectivement de le poser, avant qu’il ne s’impose de lui-même, dicté par les seuls intérêts économiques.
C. Vers une régulation renforcée et proactive
À mesure que l’exploitation des données de santé s’intensifie, un consensus se dessine autour d’une nécessité urgente : celle de mettre en place une régulation plus transparente, plus robuste, et surtout plus anticipatrice. Car à défaut d’un encadrement clair et adapté, le risque est grand de laisser s’installer un modèle du fait accompli, où les pratiques des acteurs privés dictent les normes avant même que le droit n’ait eu le temps de réagir.
Parmi les priorités identifiées, la transparence des traitements algorithmiques s’impose. Les patients et les professionnels doivent pouvoir comprendre — au moins dans leurs grandes lignes — comment un outil d’IA prend une décision médicale, selon quels critères, et avec quelles limites. Cette exigence de lisibilité est essentielle pour préserver la confiance dans les dispositifs numériques de santé, mais aussi pour garantir des droits fondamentaux comme celui d’être informé ou de contester une décision.
La CNIL a déjà sanctionné des entreprises pour des manquements à la loi Informatique et Libertés et au RGPD concernant le traitement illicite de données de santé, rappelant ainsi l’importance d’une conformité stricte aux réglementations en vigueur.
Dans cette logique, plusieurs institutions ont formulé des propositions concrètes. La CNIL plaide pour des mécanismes d’auditabilité des algorithmes, permettant de vérifier leur fonctionnement, leurs biais potentiels, et leur conformité aux exigences éthiques. Le Comité consultatif national d’éthique (CCNE), quant à lui, appelle à instaurer une gouvernance partagée de la donnée de santé, où les citoyens, les chercheurs et les patients participeraient activement aux choix collectifs concernant l’usage des données.
Au niveau européen, le Conseil de l’Europe et la Commission européenne, à travers le projet de règlement sur l’intelligence artificielle, envisagent une catégorisation des usages de l’IA en fonction de leur niveau de risque, avec des obligations spécifiques pour les systèmes « à haut risque » — dont les algorithmes médicaux font partie. Cette réglementation prévoit notamment l’enregistrement des algorithmes dans des bases publiques, la documentation de leur fonctionnement, et des exigences renforcées en matière de sécurité et de traçabilité.
Mais pour que ces mesures soient réellement efficaces, encore faut-il qu’elles soient pensées en amont, non en réaction. L’histoire récente des technologies numériques nous enseigne que le droit ne peut plus se contenter de courir derrière l’innovation : il doit en anticiper les usages, les dérives possibles, et fixer des balises claires dès la conception des outils.
C’est à cette condition seulement qu’on pourra exploiter la puissance des données de santé sans sacrifier les valeurs fondatrices du soin : la confiance, la responsabilité, et le respect de la personne humaine.
Conclusion
La gouvernance des données de santé se trouve à un carrefour critique où se croisent des exigences d’innovation, des impératifs de rentabilité et des préoccupations liées à la protection des droits fondamentaux. Pour relever ces défis, il est essentiel d’adopter une approche qui reconnaisse la valeur stratégique des données tout en respectant les principes d’éthique et de transparence. Une gouvernance pluraliste, impliquant activement les patients, les professionnels de santé, les chercheurs, les entreprises et les régulateurs, permettrait de mieux équilibrer les intérêts en jeu. En instaurant des mécanismes démocratiques—tels que des consultations publiques, des comités d’éthique indépendants et des processus décisionnels inclusifs—on renforcerait la confiance et l’adhésion des citoyens.
Des bases existent déjà pour progresser dans ce sens. La Charte européenne d’éthique médicale, adoptée par le Conseil Européen des Ordres des Médecins (CEOM), constitue une première référence en matière de principes éthiques applicables à la profession médicale. De même, la Convention sur les Droits de l’Homme et la biomédecine du Conseil de l’Europe, dite Convention d’Oviedo, établit des règles fondamentales concernant les applications médicales et biologiques, incluant des lignes directrices sur la confidentialité et le consentement. Ces instruments, bien que précieux, restent généralistes et doivent être complétés par des cadres spécifiques aux données de santé numériques. Pour garantir une utilisation responsable des données de santé, il est donc crucial de renforcer ces outils juridiques et normatifs à l’échelle européenne et internationale. Une charte ou convention dédiée, s’appuyant sur les principes établis par ces textes existants, pourrait harmoniser les pratiques, fixer des normes éthiques et instaurer des garde-fous robustes contre les abus. De tels instruments contribueraient à protéger les droits des individus, à encourager l’innovation dans un cadre sécurisé, et à clarifier les responsabilités des différents acteurs, y compris en ce qui concerne les algorithmes et les technologies émergentes.
Cette gouvernance renouvelée doit conjuguer progrès technologique et respect des valeurs fondamentales, en créant un cadre qui non seulement protège les données et les droits des individus, mais qui soutient également une innovation médicale au service de tous. Cette voie, exigeante mais nécessaire, est celle qui permettra de répondre aux attentes légitimes des citoyens, tout en contribuant à une santé numérique plus équitable et plus éthique.