À l’occasion de l’édition 2026 des Grandes Tendances de la E-Santé, Marguerite Brac de la Perrière, avocate associée chez Fieldfisher, a analysé les mutations profondes du cadre juridique de la cybersécurité. Dans un écosystème où la donnée de santé est devenue centrale, tant pour le soin (usage primaire) que pour l’innovation via les EDS (Entrepôts de Données de Santé – usage secondaire), la protection des infrastructures est une priorité absolue.
Une menace intensifiée par l’Intelligence Artificielle
Le paysage des risques évolue rapidement. L’usage de l’intelligence artificielle (IA) par les cyberattaquants permet désormais des offensives plus sophistiquées, utilisant notamment le deepfake (technique de synthèse d’image ou de son basée sur l’IA pour usurper une identité). Face à cette menace, la vigilance des acteurs doit s’appuyer sur un arsenal réglementaire multicouche.
Un millefeuille réglementaire entre Europe et France
La conformité repose désormais sur plusieurs « briques » législatives européennes et nationales :
Au niveau du Cloud : L’EUCS (European Cybersecurity Certification Scheme) définit les standards de certification.
Au niveau des systèmes : Les directives NIS 1 et NIS 2 (Network and Information Security), texte majeur sur la sécurité des réseaux, impose une gouvernance stricte.
Au niveau des produits : Le CRA (Cyber Resilience Act), complété par le projet CRA 2 qui vise à sécuriser les produits numériques tout au long de leur cycle de vie.
En France, ces dispositifs s’ajoutent aux spécificités locales comme la certification HDS (Hébergement de Données de Santé) et la Loi Informatique et Libertés, en complément du RGPD (Règlement Général sur la Protection des Données).
Le Programme CARE : un levier opérationnel
Pour accompagner les établissements de santé et le secteur médico-social, la DNS (Délégation au Numérique en Santé) et l’ANS (Agence du Numérique en Santé) pilotent le programme CaRE (Cybersécurité Accélération et Résilience des Établissements). L’enjeu de NIS 2 est également de responsabiliser les organes de direction : les dirigeants devront désormais se former pour piloter les mesures de sécurité.
