Le cadre légal des données de santé est contraignant. 

Ces données sont régies à la fois par le Code de la santé publique, le Code de la sécurité sociale, le Code de la recherche, le Code pénal mais également par la législation relative à la protection des données personnelles en tant qu’elles constituent des « données sensibles ». – Article 4 du Règlement général sur la protection des données

La loi de modernisation du système de santé, dont les dispositions ont été intégrées au Code de la santé publique, a été adoptée afin de permettre d’utiliser au mieux les potentialités des données de santé dans l’intérêt de la collectivité et de l’innovation, tout en assurant le respect des principes à valeur constitutionnelle de protection de la santé, de confidentialité des données personnelles sensibles et du respect de la vie privée des personnes. - Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé

Les données de santé peuvent être classées selon la typologie suivante :

1° données statistiques sur l’état de santé d’une population, la prévalence et l’incidence des maladies, les variations selon l’âge, le sexe, les catégories professionnelles et sociales, le revenu du ménage, le niveau d’études, la qualité de l’air ou de l’eau et autres facteurs liés à l’environnement, selon l’indice de masse corporelle, l’alimentation, la consommation d’alcool ou de tabac, les pratiques sexuelles, etc. 

2° données sur l’offre de soins, c’est-à-dire sur les données relatives aux établissements et professionnels de santé qui peuvent être classées selon la nature de l’offre (spécialités, équipements, capacités, etc.), l’activité, la distance, la disponibilité, la réputation et autres indicateurs de qualité, les tarifs, etc.

3° données sur la dépense de santé, c’est-à-dire les données liées à la consommation de soins et biens médicaux, indemnités journalières, prévention environnementale et alimentaire, formation des professionnels de santé, recherche dans le domaine de la santé, dépenses de santé liées au handicap et à la dépendance, ou les données relatives au financement de la dépense de santé (assurance maladie, assurances complémentaires, etc.)

4° données sur les professionnels de santé (démographie, activités, revenus, etc.)

5° données sur les facteurs de l’état de santé (environnement ou niveau social des personnes)

De manière générale, les données de santé sont rassemblées dans le Système national de données de santé (SNDS) dont la gestion est prise en charge par Santé Publique France et dont l'interopérabilité est assurée par la Plateforme des données de santé (ou Health Data Hub), créée par la Loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé.

Plusieurs types de conditions doivent être réunies afin de pouvoir accéder aux données de santé.

L'article L. 1460-1, al. 2 du Code de la santé publique affirme que sont autorisés à accéder aux données personnelles de santé dans le respect de la Loi informatique et libertés :

• les citoyens, 
• les usagers du système de santé, 
• les professionnels de santé, 
• les établissements de santé et leurs organisations représentatives
• les organismes participant au financement de la couverture contre le risque maladie ou réalisant des traitements de données concernant la santé, 
• les services de l'Etat, 
• les institutions publiques compétentes en matière de santé, 
• les organismes de presse.

La diffusion des données est assurée par le Système national des données de santé (SNDS) qui met à disposition un certain nombre de données dont la liste a été fixée par le législateur à l’article L. 1461-1 du Code de la santé publique.

La mise à disposition des données de santé a pour objectif d’améliorer les conditions dans lesquelles les laboratoires pharmaceutiques réalisent les études demandées par les autorités publiques, de contribuer à faciliter la recherche scientifique dans les domaines de l’épidémiologie, de la pharmacologie, de la santé publique et de l’économie ou de la sociologie de la santé et enfin, à favoriser le développement d’entreprises innovantes.

Les données personnelles de santé anonymisées sont qualifiées de données publiques et sont, par conséquent, soumises au principe de diffusion des données publiques.

Les données de santé rassemblées par le Système national des données de santé et mises à disposition sont les catégories de données suivantes :

1° Les données issues des systèmes d'information mentionnés à l'article L. 6113-7 du présent code ;

2° Les données du système national d'information interrégimes de l'assurance maladie mentionné à l'article L. 161-28-1 du code de la sécurité sociale ;

3° Les données sur les causes de décès mentionnées à l'article L. 2223-42 du code général des collectivités territoriales ;

4° Les données médico-sociales du système d'information mentionné à l'article L. 247-2 du code de l'action sociale et des familles ;

5° Un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d'assurance maladie complémentaire et défini en concertation avec leurs représentants ;

6° Les données destinées aux professionnels et organismes de santé recueillies à l'occasion des activités mentionnées au I de l'article L. 1111-8 du présent code donnant lieu à la prise en charge des frais de santé en matière de maladie ou de maternité mentionnée à l'article L. 160-1 du code de la sécurité sociale et à la prise en charge des prestations mentionnées à l'article L. 431-1 du même code en matière d'accidents du travail et de maladies professionnelles ;

7° Les données relatives à la perte d'autonomie, évaluée à l'aide de la grille mentionnée à l'article L. 232-2 du code de l'action sociale et des familles, lorsque ces données sont appariées avec les données mentionnées aux 1° à 6° du présent I ;

8° Les données à caractère personnel des enquêtes dans le domaine de la santé, lorsque ces données sont appariées avec des données mentionnées aux 1° à 6° ;

9° Les données recueillies lors des visites médicales et de dépistage obligatoires prévues à l'article L. 541-1 du code de l'éducation ;

10° Les données recueillies par les services de protection maternelle et infantile dans le cadre de leurs missions définies à l'article L. 2111-1 du présent code ;

11° Les données de santé recueillies lors des visites d'information et de prévention, telles que définies à l'article L. 4624-1 du code du travail.

- Article L. 1461-1, I du Code de la santé publique

La mise à disposition des données de santé par le Système national de données de santé a pour finalité de contribuer à :

1° A l'information sur la santé ainsi que sur l'offre de soins, la prise en charge médico-sociale et leur qualité ;

2° A la définition, à la mise en œuvre et à l'évaluation des politiques de santé et de protection sociale ;

3° A la connaissance des dépenses de santé, des dépenses d'assurance maladie et des dépenses médico-sociales ;

4° A l'information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité ;

5° A la surveillance, à la veille et à la sécurité sanitaires ;

6° A la recherche, aux études, à l'évaluation et à l'innovation dans les domaines de la santé et de la prise en charge médico-sociale.

- Article L. 1461-1, III du Code de la santé publique

De manière générale, l'accès aux données de santé à caractère personnel ne peut être autorisé que pour permettre des traitements :

1° Soit contribuant à une finalité mentionnée ci-dessus et répondant à un motif d'intérêt public ;

2° Soit nécessaires à l'accomplissement des missions des services de l'État, des établissements publics ou des organismes chargés d'une mission de service public compétents, dans les conditions définies au III du présent article.

- Article L. 1461-3 du Code de la santé publique

Les données du système national des données de santé ne peuvent être traitées pour l'une des finalités suivantes :

1° La promotion des produits mentionnés au II de l'article L. 5311-1 (médicaments, produits contraceptifs et contragestifs, dispositifs médicaux et leurs accessoires, etc.) en direction des professionnels de santé ou d'établissements de santé ;

2° L'exclusion de garanties des contrats d'assurance et la modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque.

- Article L. 1461-1, V du Code de la santé publique

Plusieurs interdictions sont affirmées.

1° Aucune décision ne peut être prise à l'encontre d'une personne physique identifiée sur le fondement des données la concernant et figurant dans l'un de ces traitements ;

2° Les personnes responsables de ces traitements, ainsi que celles les mettant en œuvre ou autorisées à accéder aux données à caractère personnel qui en sont issues, sont soumises au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du Code pénal ;

3° L'accès aux données s'effectue dans des conditions assurant la confidentialité et l'intégrité des données et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, pris après avis de la Commission nationale de l'informatique et des libertés ;

4° Les données individuelles du système national des données de santé sont conservées pour une durée maximale de vingt ans, sans préjudice de l'application du premier alinéa de l'article 78 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

- Article L. 1461-1, IV du Code de la santé publique

Les données du Système national des données de santé qui font l'objet d'une mise à la disposition du public sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l'identification, directe ou indirecte, des personnes concernées y est impossible. Ces données sont mises à disposition gratuitement. La réutilisation de ces données ne peut avoir ni pour objet ni pour effet d'identifier les personnes concernées.

- Article L. 1461-2 du Code de la santé publique

Les données relatives à l'activité des professionnels de santé publiées par les organismes gestionnaires des régimes obligatoires de base d'assurance maladie sont réutilisées dans les conditions applicables aux données publiques et prévues par le Code des relations entre le public et l'administration (Voir Principe de réutilisation des données publiques).

Les données de santé électroniques, personnelles ou non personnelles, font l'objet d'une législation européenne à part entière ayant pour objet d'encadrer l'échange et le partage des données de santé sur tout le territoire de l'Union européenne. - Règlement 2025/327 du 11 février 2025 relatif à l’espace européen des données de santé (EEDS)

Le règlement est une déclinaison, dans le secteur de la santé, du Règlement 2022/868 du 30 mai 2022 sur la gouvernance des données dont l'objectif est de créer un cadre législatif uniforme sur le territoire de l'Union européenne pour le partage sécurisé de données protégées (Voir Partage des données protégées). Il crée le premier espace de données commun de l'Union européenne.

Le règlement EEDS vise à établir un cadre commun pour l’utilisation et l’échange de données de santé électroniques dans l’ensemble de l’UE. Il améliore l’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et la maîtrise de ces données, tout en permettant la réutilisation de certaines données à des fins d’intérêt général, de soutien aux politiques et de recherche scientifique. Il promeut un environnement de données propre à la santé qui favorise l’émergence d’un marché unique des services et produits de santé numériques. En outre, ce règlement établit un cadre juridique et technique harmonisé pour les systèmes de dossiers médicaux électroniques (DME), favorisant ainsi l’interopérabilité, l’innovation et le bon fonctionnement du marché intérieur. - Commission européenne, Règlement relatif à l'espace européen des données de santé

La législation française offre déjà un arsenal juridique permettant d'accéder aux données et de réutiliser les données de santé à des fins de recherche (Voir supra).

L’Espace européen de données de santé vise à apporter des services et solutions nouveaux tels que :

• garantir aux personnes l’accès direct à leurs données de santé ; 
• assurer la continuité de la prise en charge des patients au sein de l’Union européenne, en permettant l’accès direct des professionnels de santé des 27 États membres aux données de santé des patients qu’ils prennent en charge, dans des conditions sécurisées et respectueuses des droits du patient, gratuitement et dans la langue du professionnel de santé, et ce quel que soit le pays européen de résidence du patient ; 
• créer à l’échelle européenne un cadre sécurisé commun pour faciliter et encadrer la réutilisation des données de santé (anonymisées/pseudonymisées) à des fins de recherche, d’innovation et de politique publique, avec notamment une obligation de mise à disposition des données de santé à des fins d’utilisation secondaire, un guichet d’accès unique dans chaque État membre, un catalogue de données et de métadonnées européens.

Ce règlement comprend donc :

• un volet utilisation primaire des données de santé (MaSanté@UE ou MyHealth@EU)
• un volet utilisation secondaire des données de santé (DonnéesSanté@UE ou HealthData@EU)
• un volet de certification (accès unique au marché pour les éditeurs de logiciels de dossiers patients et les fabricants de Dispositifs Médicaux interconnectés)
• des dispositions générales concernant la gouvernance, la formation, les délais d’entrée en vigueur, les pénalités en cas de non-respect des dispositions notamment

Le règlement repose sur les notions de données de santé électroniques, personnelles ou non personnelles. Définies par le règlement, ces données constituent l'objet des dispositions européennes.

L’objectif des dispositions relatives à l'utilisation secondaire des données de santé est d'atteindre des finalités impliquant l’utilisation de données de santé électroniques dans les secteurs des soins de santé et des soins qui bénéficieraient à la société, telles que la recherche, l’innovation, l’élaboration des politiques, la préparation et la réaction aux menaces sanitaires, y compris la prévention des pandémies à venir et la réponse à y apporter, la sécurité des patients, la médecine personnalisée, les statistiques officielles ou les activités réglementaires. 

En outre, l’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique et technique uniforme, en particulier pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (ci-après dénommés « systèmes de DME ») en conformité avec les valeurs de l’Union. 

L’EEDS devrait être un élément-clé de la création d’une « Union de la santé européenne forte et résiliente ».

- Considérant 1er du Règlement 2025/327 sur l'espace européen des données de santé

L'utilisation secondaire des données de santé obéit à plusieurs conditions fixées par le Règlement sur l'espace européen des données de santé :

• conditions relatives aux données,
• conditions relatives à l'utilisation,
• conditions relatives aux droits de tiers.

L'utilisation secondaire des données de santé impose des obligations aux détenteurs ainsi qu'aux utilisateurs de données de santé.

a) Conditions relatives aux données

Les données concernées par l'utilisation secondaire sont :

• Dossiers médicaux électroniques
• Déterminants sociaux, environnementaux et comportementaux de la santé
• Données agrégées relatives aux systèmes de santé (besoins en matière de soins de santé, ressources allouées, accès au soin, dépenses et financement des soins de santé)
• Données pathogènes impactant la santé humaine
• Données administratives, y compris de dispensation, ainsi que les demandes de prise en charge et les remboursements
• Données génétiques, épigénomiques et génomiques humaines
• Autres données moléculaires humaines
• Données personnelles générées par les dispositifs médicaux
• Toute donnée générée par les applications de bien-être ou autres applications de santé digitale
• Données relatives aux professionnels de santé impliqués dans le traitement du patient
• Registres de données de santé
• Registres médicaux et registres de mortalité
• Données issues des essais, des études et des recherches cliniques
• Registres de médicaments et de dispositifs médicaux
• Données provenant de cohortes de recherche, de questionnaires et d'enquêtes liés à la santé, après la première publication des résultats
• Données de santé provenant de biobanques et des bases de données associées

- Article 51, 1° du Règlement sur l’espace européen des données de santé

b) Conditions relatives à l'utilisation des données

Les organismes responsables de l’accès aux données de santé n’octroient l’accès aux données de santé électroniques à des fins d’utilisation secondaire à un utilisateur de données de santé que lorsque le traitement des données par ledit utilisateur de données est nécessaire à l’une des finalités suivantes :

• l’intérêt public dans le domaine de la santé publique ou de la santé au travail, telles que des activités destinées à la protection contre les menaces transfrontières graves pour la santé et à la surveillance de la santé publique ou des activités destinées à garantir un niveau élevé de qualité et de sécurité des soins de santé, y compris de sécurité des patients, et des médicaments ou des dispositifs médicaux ;
• l’élaboration de politiques et les activités réglementaires destinées à aider les organismes du secteur public ou les institutions, organes et organismes de l’Union, dont les autorités réglementaires, dans le secteur de la santé ou des soins, à accomplir les tâches définies dans leur mandat ;
• des statistiques, telles qu’elles sont définies à l’article 3, point 1), du Règlement 223/2009, telles que les statistiques officielles aux échelons national, plurinational et de l’Union, en rapport avec les secteurs de la santé ou des soins ;
• des activités d’éducation ou d’enseignement dans les secteurs de la santé ou des soins au niveau de l’enseignement professionnel ou supérieur ;
• la recherche scientifique ayant trait aux secteurs de la santé ou des soins qui contribue à la santé publique ou aux évaluations des technologies de la santé, ou qui garantit un niveau élevé de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux, dans le but d’en faire bénéficier les utilisateurs finals, tels que les patients, les professionnels de la santé et les administrateurs des services de santé, y compris ; i) les activités de développement et d’innovation pour les produits ou services ; ii) la formation, les essais et l’évaluation d’algorithmes, notamment dans les dispositifs médicaux, les dispositifs médicaux de diagnostic in vitro, les systèmes d’IA et les applications de santé numérique ;
• l’amélioration de la fourniture de soins, de l’optimisation des traitements et de la fourniture de soins de santé, sur la base des données de santé électroniques d’autres personnes physiques.

- Article 53 du Règlement sur l'espace européen des données de santé

La demande d'accès pour une utilisation secondaire des données repose sur le principe de minimisation des données et de limitation des finalités. Ainsi, l'accès ne peut être accordé que pour les données de santé électroniques qui sont appropriées, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du traitement dont il est fait mention dans la demande d’accès aux données de santé présentée par l’utilisateur de données de santé.

La Plateforme des données de santé fournit des données de santé électroniques dans un format anonymisé lorsque la finalité du traitement par l’utilisateur de données de santé peut être réalisée à l’aide de ces données, compte tenu des informations fournies par l’utilisateur de données de santé. Si tel n'est pas le cas — ce qui doit être démontré – les données de santé électroniques sont communiquées dans un format pseudonymisé.

- Article 66 du Règlement sur l'espace européen des données de santé

Si elles ne sont pas anonymisées, les données collectées à des fins de recherche sont considérées comme faisant l'objet d'un traitement au sens du Règlement général sur la protection des données et sont donc soumises à son application. 

- Article 74, 1°, al. 2 du Règlement sur l'espace européen des données

c) Conditions relatives aux droits des personnes

Droit des personnes concernées par les données

Les personnes physiques ont le droit de refuser à tout moment et sans motif le traitement des données de santé électroniques à caractère personnel les concernant à des fins d’utilisation secondaire au titre du présent règlement. 

L’exercice de ce droit est réversible.

Les États membres prévoient un mécanisme de refus accessible et facilement compréhensible permettant d’exercer le droit établi au paragraphe 1, par lequel les personnes physiques peuvent exprimer explicitement leur volonté que leurs données de santé électroniques à caractère personnel ne soient pas traitées à des fins d’utilisation secondaire.

Dès que des personnes physiques ont exercé leur droit de refus, et lorsque des données de santé électroniques à caractère personnel les concernant peuvent être identifiées dans un ensemble de données, les données de santé électroniques à caractère personnel concernant ces personnes physiques ne sont pas mises à disposition ou traitées d’une autre manière lors d'une autre demande d'accès.

- Article 71 du Règlement sur l'espace européen des données de santé

Droit des tiers 

Les données de santé électroniques peuvent être temporairement couvertes par le secret (données des essais cliniques) et qu'elles sont stratégiques pour concevoir un médicament à usage humain susceptible d'être protégé par un brevet.
Le règlement prévoit les précautions que la Plateforme des données de santé doit prendre ou doit requérir auprès des utilisateurs de données de santé électroniques :

1. Les données de santé électroniques protégées par des droits de propriété intellectuelle, des secrets d’affaires ou relevant du droit à la protection réglementaire des données relatives aux médicaments à usage humain biosimilaires (Article 10, 1° de la Directive n° 2001/83/CE du Parlement européen et du Conseil) et des données relatives aux essais cliniques (Article 14, 11 ° du règlement 726/2004 du Parlement européen et du Conseil).
2. Les détenteurs de données de santé communiquent à la Plateforme des données de santé les données de santé électroniques comportant des contenus ou des informations protégés par des droits de propriété intellectuelle ou des secrets d’affaires ou couverts par le droit à la protection réglementaire des données relatives aux médicaments à usage humain. Les détenteurs de données de santé déterminent quelles parties des ensembles de données sont concernées et justifient la nécessité de la protection spécifique des données. 
3. la Plateforme des données de santé prend toutes les mesures spécifiques appropriées et proportionnées, y compris de nature juridique, organisationnelle et technique, qu’ils jugent nécessaires pour protéger les droits de propriété intellectuelle, les secrets d’affaires ou le droit à la protection réglementaire des données relatives aux médicaments à usage humain. Elle demeure responsable pour déterminer si ces mesures sont nécessaires et appropriées.
4. Lorsqu’elle délivre des autorisations de traitement de données, la Plateforme des données de santé peut subordonner l’accès à certaines données de santé électroniques à des mesures juridiques, organisationnelles et techniques, qui peuvent comprendre des accords contractuels entre des détenteurs de données de santé et des utilisateurs de données de santé sur le partage de données comportant des informations ou des contenus protégés par des droits de propriété intellectuelle ou des secrets d’affaires. La Commission élabore et recommande des modèles non contraignants de clauses contractuelles applicables à ces accords.
5. Lorsque l’octroi d’un accès à des données de santé électroniques à des fins d’utilisation secondaire entraîne un risque grave de violation des droits de propriété intellectuelle, des secrets d’affaires ou du droit à la protection réglementaire des données relatives aux médicaments à usage humain, auquel il ne peut être remédié de manière satisfaisante, la Plateforme des données de santé refuse l’accès à ces données au demandeur de données de santé. Elle informe le demandeur de données de santé de ce refus et lui fournit une justification de ce refus.

- Article 52 du Règlement sur l'espace européen des données de santé

a) Obligations des détenteurs de données de santé

Les détenteurs de données de santé sont soumis à un certain nombre d'obligations en particulier, l'obligation de mettre à disposition de l'organisme responsable de l'accès aux données de santé (Plateforme des données de santé en France) les données de santé qu'il détient, dans un délai raisonnable et au plus tard trois mois à compter de la réception de la demande. Une prorogation de trois mois maxumim peut être accordée dès lors que la demande de prorogration est dûment justifiée (demande complexe et lourde par exemple). Lorsque les données sont des données de santé à caractère non personnel, l'accès doit être donné au moyen de bases de données ouvertes et fiables. Ces bases de données soivent disposer d'une gouvernance solide, transparente et durable et d'un modèle transparent d'accès des utilisateurs. - Article 60 du Règlement sur l'espace européen des données de santé 

Les détenteurs de données de santé sont réputés être les responsables du traitement à l'égard de la Plateforme des données de santé pour la mise des données de santé électroniques à caractère personnel. Ils ne seront en revanche considérés que comme sous-traitants à l'égard des utilisateurs de données de santé électroniques à caractère personnel (Voir infra).

- Article 74 du Règlement sur l'espace européen des données de santé

Ces obligations n'incombent pas aux personnes physique, dont les chercheurs individuels. - Article 50, 1°, a) du Règlement sur l'espace européen des données de santé

b) Obligations des utilisateurs de données de santé

Les utilisateurs de données de santé, comme les établissements publics de recherche, peuvent accéder aux données de santé à des fins d'utilisation secondaire, comme la finalité de recherche scientifique. Ils doivent traiter les données conformément à l'autorisation accordée. Lorsqu’ils traitent des données de santé électroniques dans les environnements de traitement sécurisés les utilisateurs de données de santé ne peuvent pas donner accès aux données de santé électroniques à des tiers qui ne figurent pas dans l’autorisation de traitement de données, ou mettre ces données à la disposition de tels tiers. 

Les utilisateurs de données de santé sont considérés comme responsables du traitement des données de santé électroniques à caractère personnel. Ils sont responsables du traitement à l'égard tant de la Plateforme des données de santé que des détenteurs de données de santé qui sont réputés agir en qualité de sous-traitants des données de santé électroniques à caractère personnel.

- Article 74 du Règlement sur l'espace européen des données de santé

Les utilisateurs de données de santé peuvent être amenés à payer des redevances pour l'accès aux données. Les redevances versées à la Plateforme des données de santé ou à un détenteur des données de santé doit être proportionnelle au coût de la mise à disposition des données et ne doivent pas avoir pour effet de restreindre la concurrence. Les redevances couvrent tout ou partie des coûts liés à la procédure d’évaluation d’une demande d’accès aux données de
santé ou d’une demande de données de santé, de délivrance, de refus ou de modification d’une autorisation de traitement de données ou de réponse à une demande de données de santé, y compris les coûts liés à la consolidation, à la préparation, à la pseudonymisation, à l’anonymisation et à la fourniture de données de santé électroniques.

Les redevances facturées aux utilisateurs de données de santé en vertu du présent article sont transparentes et non discriminatoires.

En cas de désaccord sur le montant des redevances dans un délai d'un mois à compter de la délivrance de l'autorisation de traitement des données, la Plateforme des données de santé peut fixer les redevances en proportion du coût de la mise à disposition de données de santé à des fins d'utilisation secondaire.

Afin de favoriser l’utilisation secondaire, les détenteurs de données de santé doivent s’abstenir :

• de retenir les données, de demander des redevances injustifiées qui ne sont ni transparentes ni proportionnées aux coûts de mise à disposition des données ou, le cas échéant, aux coûts marginaux de collecte des données, 
• de demander aux utilisateurs de données de santé de copublier la recherche ou d’autres pratiques qui pourraient dissuader les utilisateurs de données de santé de demander les données.

Lorsqu’un détenteur de données de santé est un organisme du secteur public, la partie des redevances associée à ses coûts ne doit pas couvrir les coûts de la collecte initiale.

Sur la diffusion des données de la recherche en santé, Voir Données de recherche en santé.