En France, un législateur qui veut simplifier est un législateur… qui rajoute des textes.
Nouvel exemple avec l’article L1470-5-1 du Code de la santé publique.
Il prévoit que l’éditeur d’un DPI SaaS doit « assurer le transfert de l’ensemble des données pour lesquelles le professionnel de santé est le responsable de traitement« .
Sur le principe, difficile d’être contre.
La réversibilité est un sujet majeur.
Et le verrouillage des données de santé, un vrai problème.
Mais avant d’ajouter une couche, n’eût-il pas été avisé de vérifier le cadre déjà en place?
En l’occurrence, plusieurs textes semblent rendre inutile (au moins) cet article.
1️⃣ Le RGPD
Il impose au sous-traitant la restitution ou la suppression des données, en fin de contrat, au choix du responsable. Le contrat HDS se doit d’être précis sur le sujet.
👉 Mais les données non personnelles ne sont pas en reste.
La qualification du contrat d’hébergement en « dépôt » rend leur restitution obligatoire.
2️⃣ Le règlement sur les données (Data Act) et sa déclinaison opérationnelle en France
Ils interdisent les « frais liés au transfert des données d’un fournisseur à un autre » et encadrent ceux étant admissibles.
3️⃣ Reste la question de la sécurité
L’article renvoie à un référentiel d’interopérabilité, de sécurité et d’éthique.
Un peu dommage alors que la CNIL avance sur son projet de recommandation Dossier Patient Informatisé depuis plusieurs mois.
Résultat possible : deux textes, deux logiques, deux autorités, deux calendriers. Et le risque d’un nouveau point de friction normative.
En somme…
… un millefeuille bien indigeste.
Qu’en pensez-vous? Je suis curieux de votre avis sur le sujet.
Sources:
- 🇫🇷 Arrêté du 17 novembre 2025
- 🇫🇷 TJ Paris, 4-2, 10 juillet 2025, Chambre Nationale des Commissaires de Justice c/ OC3, RG n° 25/05759
- 🇪🇺 Art. 29 du règlement sur les données
- 🇪🇺 Art. 28 RGPD
- 🇫🇷 Art. L1111-8, V, 2ème al. CSP
