L'Espace Européen des Données de Santé (EHDS) : ce que ça change vraiment pour la Suisse, l'intelligence artificielle médicale et la protection des données personnelles

Dès qu'on aborde la numérisation du secteur médical, on a vite fait de se perdre dans des abstractions confortables. Pourtant, l'Espace Européen des Données de Santé — l'EHDS pour les initiés — ne relève pas du domaine des idées floues. Voté par le Parlement européen au printemps 2024, puis formellement publié au Journal officiel de l'UE au tout début de 2025, ce texte réorganise en profondeur la façon dont les données de santé transitent, sont protégées et utilisées à travers le continent. Pour la Suisse — qui n'est certes pas membre de l'Union, mais dont la recherche, l'industrie pharmaceutique et l'économie entière gravitent dans l'orbite européenne —, les conséquences sont immédiates et substantielles. Qu'on parle d'harmonisation réglementaire, de menaces numériques ou de gouvernance des informations médicales les plus sensibles qui soient.

Les chiffres, eux, donnent le tournis. La Commission européenne table sur près d'un demi-milliard de citoyens couverts par ce cadre d'ici la fin de la décennie. Les États membres disposent de deux ans pour intégrer les dispositions relatives aux droits individuels des patients, et de trois ans pour déployer les infrastructures de partage à des fins de recherche. Un budget frôlant les 810 millions d'euros a été dégagé pour bâtir les architectures techniques nécessaires — dont l'épine dorsale numérique que constitue le réseau HealthData@EU, chargé de relier entre eux les points d'accès nationaux.

Saisir l'EHDS dans son ensemble : bien au-delà d'un texte réglementaire ordinaire

Au fond, l'EHDS confère à chaque résident européen un droit réel, concret et opposable : celui de consulter l'intégralité de son dossier médical sous un format numérique standardisé, même depuis un autre pays de l'Union. Mais le règlement ne s'arrête pas à ce simple droit de regard individuel. Il structure tout l'écosystème autour de deux grandes logiques d'utilisation — que je me permets d'appeler ainsi, à titre personnel : d'un côté, un usage « intime », celui où le patient consulte lui-même son dossier ou le transmet à son médecin lors d'une consultation ; de l'autre, un usage « collectif », qui ouvre l'accès à des chercheurs, des groupes pharmaceutiques ou des équipes d'ingénierie algorithmique désireux d'exploiter des données anonymisées ou pseudonymisées, dans des conditions draconniennes.

Pour le premier usage — celui qui touche directement le patient —, l'EHDS contraint chaque État membre à moderniser ses systèmes de dossiers médicaux électroniques afin de les aligner sur des normes communes. Le standard HL7 FHIR R4 s'impose comme format d'échange universel, et les nomenclatures SNOMED CT et LOINC servent de vocabulaire partagé pour nommer diagnostics, médicaments et résultats biologiques. Concrètement ? Un patient pourra, via son smartphone ou un portail web, accéder en quelques clics à son profil médical complet — ordonnances, résultats de labo, images de radiologie, comptes-rendus d'hospitalisation, résumés cliniques — et les transmettre à un spécialiste à l'autre bout de l'Europe. Et si ce même patient ne souhaite pas que ses données alimentent des algorithmes ou des études, il peut s'y opposer sans que cela n'affecte d'une quelconque manière la qualité de sa prise en charge.

Pour le second usage — celui de la recherche et de l'innovation —, des organismes nationaux dédiés, les HDAB (Health Data Access Bodies), seront institués dans chacun des États membres. Leur mission : instruire les demandes d'accès, délivrer les autorisations et surveiller les travaux des équipes admises. Et une règle non négociable s'impose : personne ne repart avec les données brutes. L'ensemble des analyses doit se dérouler dans des environnements sécurisés hermétiques — comparables parfois à des « salles blanches numériques » — et seuls des résultats agrégés peuvent en sortir.

• Interopérabilité technique : HL7 FHIR R4, SNOMED CT, LOINC, DICOM pour l'imagerie médicale numérique
• Droits patients renforcés : consultation, portabilité transfrontalière, droit d'opposition à la réutilisation à des fins de recherche
• Architecture de gouvernance : HDAB dans chaque État membre, interconnectés via HealthData@EU
• Régime de sanctions : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial
• Déploiement progressif : premières obligations dès 2026, pleine maturité attendue en 2028

L'IA médicale : grande gagnante — et grande responsable

Pour saisir pourquoi le secteur technologique observe l'EHDS avec autant d'attention, il suffit de se demander ce dont les algorithmes d'intelligence artificielle ont besoin pour atteindre une fiabilité clinique acceptable : des volumes massifs de données représentatives, cohérentes, annotées et issues de populations diversifiées. Former un modèle capable de détecter une tumeur à un stade précoce, d'anticiper un épisode cardiaque ou d'ajuster une posologie requiert des centaines de milliers — parfois des millions — de cas réels. Jusqu'à présent, cette richesse était dispersée entre des systèmes hospitaliers cloisonnés, des réglementations nationales incompatibles et des formats hétérogènes. L'EHDS lève cet obstacle d'un seul coup, à l'échelle d'un continent entier — et dans un cadre légal explicite, chose inédite.

Cela étant dit, cette abondance soudaine de données n'est pas synonyme de qualité garantie. Une étude publiée début 2026 dans The Lancet Digital Health a révélé que plus d'un tiers des dossiers médicaux électroniques européens comportent des erreurs de codage suffisamment importantes pour introduire des biais dans les modèles d'apprentissage automatique. Ce constat rejoint directement les préoccupations exposées dans notre analyse dédiée aux biais algorithmiques en IA médicale : quand les données d'entraînement reflètent des inégalités sociales ou des lacunes documentaires, un algorithme ne les corrige pas — il les reproduit, et les amplifie. L'EHDS prévoit bien des mécanismes de contrôle qualité, mais leur application concrète demeurera un défi opérationnel pendant encore de nombreuses années.

À cela s'ajoute une double contrainte réglementaire qui pèse sur les développeurs d'IA médicale : l'EHDS d'un côté, l'AI Act européen de l'autre — pleinement applicable depuis début 2025 pour les systèmes classés à haut risque. Comme nous l'exposons dans notre dossier consacré à l'AI Act et à ses effets sur la santé en Suisse, les algorithmes relevant des dispositifs médicaux de classe III doivent démontrer leur robustesse face aux tentatives de manipulation, documenter précisément leur architecture et leurs données d'entraînement, et se plier à des audits indépendants réguliers. L'EHDS y ajoute une exigence de traçabilité complète sur les jeux de données ayant servi à construire le modèle.

Le phénomène des hallucinations algorithmiques prend une tout autre ampleur dans ce contexte. Entraîné sur des millions de dossiers hétérogènes, un modèle de langage médical peut formuler des recommandations thérapeutiques erronées avec une assurance proprement déconcertante. Notre article sur les dangers des hallucinations en IA médicale documente précisément ce risque : l'apparence de rigueur scientifique peut dissimuler une confabulation totale. Or si l'EHDS impose une traçabilité des données sources, il ne prescrit pas encore de mécanismes de détection automatique des sorties erronées — un angle mort qu'il faudra combler tôt ou tard.

La cybersécurité : un maillon qu'on ne peut tout simplement pas ignorer

Imaginez une seconde ce que représente, du point de vue d'un attaquant, la mise en réseau des données médicales de plusieurs centaines de millions de personnes. C'est précisément ce que crée l'EHDS — et c'est pourquoi la cybersécurité n'est pas une option dans ce dispositif, mais une condition absolue de sa viabilité. Le marché clandestin donne une idée assez claire de la valeur en jeu : selon un rapport de la CISA publié en 2025, un dossier médical complet et exploitable se négocie entre 250 et 1 000 dollars sur les plateformes illégales du dark web. Pour comparaison, une carte bancaire compromise en vaut rarement plus de dix. Cette différence explique largement pourquoi les établissements de santé subissent, proportionnellement, plus de cyberattaques que n'importe quel autre secteur d'activité.

Face à cette réalité, l'EHDS impose des obligations techniques et organisationnelles substantielles aux HDAB et aux nœuds nationaux du réseau HealthData@EU. Le chiffrement de bout en bout est obligatoire — données en transit comme données au repos —, avec AES-256 comme niveau plancher. L'authentification des professionnels de santé doit s'appuyer sur le référentiel eIDAS 2.0. Les journaux d'accès doivent être immuables et vérifiables. Des tests d'intrusion sont requis au moins deux fois par an. Et les environnements d'analyse sécurisée doivent être certifiés selon le schéma EUCS — le cadre européen de cybersécurité applicable aux services cloud.

Mais même dans ce périmètre exigeant, plusieurs catégories de menaces méritent une vigilance soutenue :

• Ransomwares se propageant en cascade : L'incident survenu à l'hôpital universitaire de Düsseldorf en 2020 — aux conséquences mortelles pour une patiente — illustre douloureusement ce que peut coûter une attaque paralysante. Dans un réseau EHDS interconnecté à l'échelle européenne, un ransomware bien conçu pourrait se répandre de nœud en nœud avant que les premières alertes ne soient levées.
• Manipulation des algorithmes par empoisonnement des données : Notre dossier sur les attaques adversariales ciblant l'IA médicale démontre qu'une altération quasi imperceptible d'une image scanner peut pousser un algorithme à ignorer une tumeur ou à diagnostiquer une pathologie inexistante. À l'échelle EHDS, corrompre un jeu d'entraînement, c'est potentiellement dégrader les performances d'un modèle dans des milliers d'établissements simultanément.
• Appareils médicaux connectés insuffisamment sécurisés : Glucomètres, moniteurs cardiaques, pompes à perfusion intelligentes — tous ces équipements alimentent désormais les dossiers médicaux en données temps réel. Notre analyse sur la cybersécurité des applications de santé et objets connectés révèle que les trois quarts de ces dispositifs tournent encore sous des systèmes d'exploitation que leurs éditeurs ne corrigent plus.
• Injection de données cliniques falsifiées : L'introduction délibérée de faux antécédents ou de résultats d'imagerie contrefaits dans les registres EHDS — ce que l'on peut qualifier de deepfake médical — menacerait à la fois la prise en charge individuelle et la validité des études épidémiologiques. Notre article sur les deepfakes appliqués à la médecine détaille les mécanismes de ce type d'attaque.

L'ENISA a publié à l'automne 2025 un guide opérationnel pour la sécurisation des nœuds EHDS, recommandant une architecture de type « zéro confiance » avec microsegmentation des réseaux, corrélation d'événements par IA via des plateformes SIEM/SOAR, et des exercices de simulation d'incident a minima deux fois par an. Pour un hôpital universitaire de taille intermédiaire, la mise en conformité complète représente un investissement estimé entre deux et quatre millions d'euros sur trois ans.

La Suisse dans l'équation : ni vraiment dedans, ni vraiment dehors — et c'est précisément là que le bât blesse

La position helvétique face à l'EHDS est franchement paradoxale. La Suisse n'est pas membre de l'Union européenne — donc pas directement soumise au règlement — mais ses géants pharmaceutiques (Roche, Novartis, Lonza), ses universités de rang mondial et ses hôpitaux universitaires fonctionnent en symbiose permanente avec leurs homologues européens. La vraie question n'est donc pas de savoir si l'EHDS concerne la Suisse, mais à quelles conditions elle pourra en être partenaire à part entière plutôt que simple observatrice.

Le levier décisif ici, c'est celui de l'adéquation réglementaire. La Commission européenne a certes reconnu la compatibilité générale de la nouvelle Loi fédérale sur la protection des données (nLPD, en vigueur depuis septembre 2023) avec le RGPD. Mais l'EHDS introduit une couche d'exigences propres au secteur de la santé qui déborde largement du cadre de la protection des données généralistes. Or la nLPD ne prévoit ni l'équivalent des HDAB, ni une infrastructure comparable au portail patient européen. Le Département fédéral de l'intérieur a mis sur pied en 2025 un groupe de travail interministériel chargé d'identifier les ajustements législatifs nécessaires — mais les premières recommandations ne sont pas attendues avant début 2027.

Pour des institutions comme l'EPFL, l'ETH Zurich ou le CHUV, la situation est concrètement source d'inquiétude. Se retrouver exclu du réseau HealthData@EU signifierait perdre l'accès aux cohortes multicentriques européennes au moment précis où les études de validation des modèles d'IA médicale réclament des populations toujours plus larges et plus diverses. Le Swiss Personalized Health Network travaille d'arrache-pied pour aligner son infrastructure nationale sur les standards FHIR et SNOMED CT de l'EHDS. Le Conseil fédéral a alloué 45 millions de francs supplémentaires sur quatre ans pour soutenir cette migration — un signal politique réel, même si les délais demeurent serrés.

La question de la responsabilité juridique ajoute encore une couche de complexité. Imaginons qu'un algorithme entraîné via des données EHDS, déployé dans un hôpital suisse, commette une erreur diagnostique grave. Qui est responsable ? Le HDAB ayant octroyé l'accès aux données ? L'équipe ayant développé l'algorithme ? L'établissement l'ayant mis en production ? Le clinicien ayant suivi la recommandation de la machine ? Notre dossier sur l'IA médicale et la responsabilité juridique en contexte suisse met en lumière ces zones d'ombre que ni le droit helvétique ni le droit communautaire n'ont encore su trancher clairement.

Éthique, formation, désinformation : les dimensions qu'on oublie trop facilement

Réduire l'EHDS à une affaire de conformité technique ou de cybersécurité serait passer à côté de l'essentiel. Derrière les textes réglementaires se cachent des enjeux profondément humains — la confiance que les patients accordent au système de soins, la capacité des professionnels à s'approprier ces outils avec discernement, et le risque que des modèles génératifs propagent à grande échelle des informations médicales fausses.

Prenons la question du consentement. L'EHDS fonctionne selon une logique d'opt-out pour l'usage secondaire : les données sont automatiquement disponibles pour la recherche, sauf opposition explicite du patient. Sur le papier, c'est logique. Mais les expériences menées en Finlande et en Estonie — deux nations pionnières dans l'adoption du dossier médical électronique national — révèlent une réalité moins confortable : à peine 3 % des citoyens ont exercé leur droit d'opposition. Non pas parce qu'ils soutiennent activement le dispositif, mais tout simplement parce qu'ils ignorent souvent son existence. Cette ignorance transforme un consentement supposé en fiction démocratique — et aucune case à cocher enfouie dans des conditions générales ne résoudra ce problème.

La formation des professionnels de santé constitue un autre angle mort préoccupant. Comme le développe notre article sur l'intégration éthique de l'IA générative dans les cursus de santé, la culture algorithmique reste très inégalement enseignée selon les pays et les disciplines. Un praticien qui accorde une confiance aveugle à la sortie d'un algorithme — sans comprendre ses limites, ses biais éventuels ni ses conditions d'utilisation — représente un risque clinique aussi tangible qu'une panne technique. En Suisse, les formations paramédicales commencent timidement à intégrer des modules de littératie numérique, mais les facultés de médecine accusent un retard qui devrait davantage préoccuper.

Le risque de désinformation médicale amplifié par des modèles génératifs est peut-être le plus insidieux de tous. Un grand modèle de langage entraîné sur des millions de notes cliniques issues de l'EHDS peut produire des résumés de recommandations thérapeutiques qui sonnent parfaitement juste, citent des chiffres plausibles — et sont pourtant entièrement inventés. C'est le phénomène décrit en détail dans notre analyse sur les hallucinations de l'IA dans le contexte médical. L'EHDS exige la traçabilité des données d'entraînement, mais ne prescrit pas encore de dispositifs de détection ou de signalement des sorties erronées — une lacune critique que les actes délégués à venir devront impérativement combler.

Enfin, les jumeaux numériques en santé — ces représentations computationnelles individualisées d'un patient, alimentées en continu par ses données EHDS — ouvrent une frontière éthique totalement nouvelle. Notre dossier sur les jumeaux numériques appliqués à la médecine explore comment cette technologie pourrait transformer la prévention personnalisée, tout en créant des risques inédits de discrimination — en particulier si ces profils numériques ultraprécis venaient à alimenter des décisions assurancielles ou à fuiter hors des environnements sécurisés.

Ce que les acteurs suisses doivent faire — et sans attendre

La période d'observation passive est bel et bien terminée. Hôpitaux, cliniques, start-ups medtech, laboratoires académiques et équipes informatiques de santé en Suisse doivent prendre des décisions structurantes dans les prochains mois, sous peine de se retrouver en marge d'un écosystème qui se construira avec ou sans eux. Voici les priorités telles que je les perçois :

• Faire l'état des lieux : Évaluer honnêtement la compatibilité des systèmes d'information hospitaliers actuels avec les standards FHIR R4 et SNOMED CT. Les principaux éditeurs présents en Suisse (Cistec, Meierhofer, Cerner) disposent de modules de migration, mais leur déploiement mobilise généralement entre douze et dix-huit mois de projet.
• Élever le niveau de cybersécurité : S'appuyer sur le cadre NIST CSF 2.0 ou la norme ISO 27001:2022 pour structurer la démarche, avec une attention toute particulière aux équipements médicaux connectés, qui constituent souvent le maillon faible. Notre guide sur la sécurisation des dispositifs médicaux connectés offre un panorama complet des risques et des contre-mesures disponibles.
• Structurer la gouvernance des données : Nommer un responsable de la gestion des données de santé (Data Steward), formaliser les procédures d'instruction des demandes d'accès secondaire, et sensibiliser le personnel aux droits des patients tels qu'ils découlent de la nLPD et de l'EHDS.
• Maintenir une veille réglementaire active : Suivre attentivement les travaux du groupe interministériel du DFI, les actes délégués précisant les spécifications techniques de l'EHDS, et les publications de l'ENISA relatives aux nœuds HealthData@EU.
• Activer les organes de coordination nationaux : Le SPHN et le SITEM-insh jouent un rôle d'interface essentiel entre les institutions suisses et les instances européennes. Leurs programmes de cofinancement peuvent couvrir jusqu'à la moitié des coûts d'alignement technologique.

En radiologie, les enjeux sont particulièrement éloquents. Comme le montre notre article sur l'développement de l'IA en radiologie en Suisse, les algorithmes de détection précoce du cancer bronchique ou mammaire surpassent aujourd'hui les performances humaines dans des conditions contrôlées — mais uniquement lorsqu'ils ont été formés sur des données suffisamment variées et représentatives. L'EHDS pourrait précisément fournir cette diversité à l'échelle continentale, à condition que la Suisse parvienne à y participer en tant que partenaire à part entière — et non comme bénéficiaire de seconde zone.

En guise de conclusion : l'EHDS, un contrat de confiance qu'il reste à construire

L'Espace Européen des Données de Santé n'est pas un texte réglementaire parmi d'autres dans la longue série des législations numériques européennes. Il incarne une tentative inédite de réconcilier deux impératifs souvent présentés comme irréconciliables : la protection de la vie privée des individus et la mise en commun des connaissances médicales au service du progrès scientifique. En fixant des règles claires sur qui peut accéder aux données, dans quelles conditions et avec quelles garanties, l'EHDS cherche à reconstruire une confiance que les scandales à répétition autour des données personnelles ont sérieusement érodée ces dernières années.

Pour la Suisse, l'enjeu dépasse largement la seule conformité administrative. Il s'agit de savoir si le pays sera en mesure de participer pleinement aux avancées médicales de la prochaine décennie — thérapies personnalisées, prévention algorithmique, ou encore nouvelles générations de vaccins thérapeutiques contre le cancer développés sur le sol helvétique — ou s'il observera ces révolutions depuis les coulisses faute d'un accès aux données indispensables à leur validation. C'est un choix éminemment politique autant que technique.

Mais qu'on parle de Suisse ou d'Europe, une chose reste certaine : l'EHDS ne sera réellement bénéfique que si les investissements en cybersécurité sont proportionnels aux risques, si les professionnels de santé comprennent véritablement les outils qu'on leur demande d'utiliser, si les patients sont informés de façon authentique plutôt que symbolique, et si les algorithmes déployés font l'objet d'une surveillance clinique rigoureuse. Sans ces conditions réunies, la promesse de l'EHDS restera lettre morte — ou pire encore, se retournera contre ceux-là même qu'elle prétend protéger.

Vous souhaitez évaluer la maturité de votre organisation face aux exigences de l'EHDS, ou renforcer votre posture de cybersécurité médicale ? L'équipe de CyberClinique se tient disponible pour un audit sur mesure, calibré sur les spécificités du contexte réglementaire et opérationnel suisse.