Introduction

Avec la transformation numérique du système de santé français et depuis la loi n° 2004-810 du 13 août 2004 relative à l’Assurance maladie, le dossier médical partagé (DMP) [1] est instauré en France et est intégré à l’espace numérique de santé. Indépendamment du dossier médical que les établissements de santé doivent ouvrir pour chaque patient [2] et de la fiche d’observation que le médecin tient personnellement et confidentiellement pour chaque patient [3], le DMP regroupe l’ensemble des informations de santé d’un patient pour les rendre accessibles aux professionnels de santé participant à sa prise en charge. Ainsi, il s’agit d’un dossier, instrument capital, permettant la coordination, la qualité et l’efficacité des soins ainsi que la continuité médicale. Cependant, une telle fluidité soulève des enjeux liés à la protection des données personnelles, à la confidentialité et au respect du secret professionnel ainsi qu’au respect du consentement éclairé du patient.

C’est dans ce contexte de tension entre intérêt lié à l’efficacité des soins et respect des droits fondamentaux qu’intervient la décision n° 490409 du Conseil d’État, le 15 octobre 2025. Saisi par le Conseil national de l’ordre des médecins (CNOM), le juge administratif devait déterminer si le dispositif d’habilitation prévu par l’arrêté du 26 octobre 2023 du ministre de la santé et de la prévention, permettant à l’ensemble des membres de l’équipe de soins du patient d’accéder par défaut au DMP, respectait les garanties légales et conventionnelles encadrant l’accès aux données.

Ainsi, le Conseil d’État devait trancher la question suivante : dans quelle mesure un acte réglementaire autorise-t-il l’accès collectif des professionnels de santé aux données médicales d’un patient sans méconnaître les exigences liées au consentement de celui-ci et au respect de la confidentialité ?

Pour répondre à cette question et se prononcer sur la légalité de l’arrêté ministériel, la Haute juridiction administrative apporte une solution équilibrée : tout en admettant la légalité du principe d’habilitation collective, et, par ce fait même, illustrant une consolidation du cadre normatif du DMP (I), la décision sanctionne l’absence de mention obligatoire de recueil du consentement initial du patient (II).

I. La consolidation du cadre juridique de l’accès collectif au DMP

La décision du 15 octobre 2025 confirme la légalité de l’habilitation collective dans la coordination des soins (A) et celle du processus de l’élaboration de l’arrêté ministériel (B).

A. La légalité de l’habilitation collective dans la coordination des soins

Les articles L1111-14 et L1111-17 du CSP encadrent juridiquement le DMP : « tout professionnel de santé participant à la charge d’une personne […] peut accéder, sous réserve du consentement de la personne préalablement informée, au dossier médical partagé de celle-ci et l’alimenter ». Sur ce fondement, les conditions de cet accès au sein de l’équipe de soins au sens large sont organisées par l’arrêté du 26 octobre 2023 contesté dans cette affaire.

Le Conseil d’État juge conforme à la loi le fait que le consentement initial du patient puisse valoir « pour l’ensemble des professionnels membres » de l’équipe, y compris ceux qui ne sont pas identifiés individuellement et expressément à l’ouverture du dossier, telle que définie à L1110-12 du CSP. Ainsi, cette matrice d’habilitation se base sur le principe suivant : dès lors que le patient, à l’ouverture de son dossier, a donné son consentement de principe, tous les professionnels de santé intervenant effectivement dans son suivi médical peuvent consulter ce dossier, sans qu’il y ait obligation de solliciter une nouvelle autorisation par le nouvel intervenant.

Une telle simplification procédurale n’est pas contraire au droit au respect de la vie privée du patient et du secret des informations le concernant au sens de l’art. L1110-4 du CSP. Elle s’insère dans la logique d’une nécessaire fluidité opérationnelle dans la coordination médicale en évitant des lourdeurs administratives susceptibles d’entraver la prise en charge effective de la personne, tout en restant fidèle à l’esprit du texte législatif.

B. La légalité du processus de l’élaboration de l’arrêté ministériel

D’une part, sur la légalité externe, le Conseil d’État écarte les griefs relatifs à une irrégularité du processus de l’élaboration de l’arrêté du 26 octobre 2023. En rappelant que des instances consultatives [4] ont été saisies pour donner un avis sur le projet de l’arrêté, le juge administratif rappelle que le dispositif réglementaire a respecté le principe de participation des autorités compétentes et que les modifications ultérieures ne justifiaient pas une nouvelle saisine.

D’autre part, sur la légalité interne, le juge administratif confirme que l’arrêté ministériel ne méconnaît ni les dispositions législatives applicables [5], ni les normes de valeur supérieure. Le Conseil d’État affirme la conformité de la base légale de l’arrêté aux principes constitutionnels, en rappelant que le Conseil constitutionnel a validé les dispositions dans sa Décision n° 2024-1101 QPC du 12 septembre 2024. De même, en statuant qu’il n’y a pas eu de violation ni du droit au respect de la vie privée au sens de l’art. 8 de la Convention européenne des droits de l’homme, ni du traitement des données à caractère personnel au sens de l’art. 5, c) du Règlement général sur la protection des données (RGPD) [6], il considère que le texte assure un équilibre entre intérêt général (qualité des soins) et respect des droits individuels.

Ainsi, la Haute juridiction administrative confirme la légitimité de l’existence d’un cadre d’accès collectif au DMP, sous réserve de certaines garanties précises. Toutefois, c’est l’une de ces garanties, à savoir le consentement du patient, que l’arrêté ministériel a été jugé déficient.

II. L’affirmation du consentement du patient comme condition fondamentale à l’accès collectif

Si le Conseil d’État a validé le dispositif dans son ensemble, il prononce une annulation partielle de l’arrêté en raison de l’absence de mention explicite du recueil du consentement du patient (A). Il s’agit d’un rappel d’une exigence fondamentale : replacer la volonté du patient au centre du partage des données (B).

A. L’omission de la mention du consentement initial comme raison d’annulation partielle

Le Conseil d’État reproche à l’arrêté son silence réglementaire : l’omission de la mention du consentement du patient, recueilli explicitement en amont de l’ouverture de l’accès collectif du DMP. Il s’agit d’une irrégularité substantielle constitutive d’une « erreur de droit », puisqu’elle est de nature à affecter l’appréciation et la portée du dispositif. Une telle omission peut prêter à confusion sur l’existence d’un « droit d’accès par défaut et de l’étendue de l’accès aux données de santé accordé à des professionnels ne relevant pas des catégories de professionnels de santé ».

Une telle sanction limitée relève du contrôle proportionné appliqué par le juge administratif pour souci d’équilibre : avec une annulation partielle de la partie déficiente, l’arrêté demeure applicable sous réserve de modification ultérieure intégrant cette obligation. Ainsi, la continuité du service public de la santé est toujours assurée tout en corrigeant une erreur portant atteinte à un droit fondamental.

B. La volonté du patient comme pilier de la protection des données

Par cette annulation partielle, le Conseil d’État réaffirme un principe substantiel et fondamental : aucun acte, en l’occurrence l’accès collectif au DMP, ne peut avoir lieu qu’à la condition du consentement informé, éclairé et préalable exprimé par le patient. Une telle exigence consacre le principe de la primauté du droit à l’autonomie du patient sous un double aspect : le droit à l’information et le droit au secret médical.

En effet, le principe de droit à l’autonomie, exprimé par le consentement, a été introduit comme valeur cardinale dans le droit à la santé par la loi n° 2002-303 du 4 mars 2002 (loi Kouchner) relative aux droits des malades et à la qualité du système de santé (1). Il vient de répondre au paternalisme médical qui, bien que son intention soit bienveillante [7], conférait au médecin un pouvoir quasi absolu. Ce principe de l’autonomie s’articule également avec les exigences du RGPD ainsi que celles des art. 5, al. 1 et art. 10, § 1 de la Convention pour la protection des Droits de l’Homme et de la dignité de l’être humain à l’égard des applications de la biologie et de la médecine (Convention d’Oviedo [8]). C’est la raison pour laquelle le titulaire du DMP peut consulter directement le contenu de son dossier tout en ayant la possibilité de prendre connaissance des traces d’accès [9] mais aussi de rendre inaccessibles certaines informations [10], le médecin traitant y ayant toutefois accès. Dans le cas d’inaccessibilité, « la responsabilité du professionnel de santé ne peut être engagée en cas de litige portant sur l’ignorance d’une information qui lui a été masquée dans le DMP » [11].

Conclusion

La décision du Conseil d’État n° 490409 du 15 octobre 2025 illustre la recherche d’un équilibre entre efficacité du système de santé publique et sauvegarde des droits fondamentaux individuels. Ainsi, la validation de l’habilitation collective dans la coordination des soins, à travers l’accès au DMP, permet une prise en charge fluide du patient à travers la modernisation du système de santé. Néanmoins, le juge administratif affirme que ce processus doit s’accompagner obligatoirement du consentement informé, éclairé et préalable du patient permettant la protection du droit au respect de la vie privée.

Au-delà du droit, cette décision ouvre des questionnements bioéthiques majeurs relatifs à l’intelligence artificielle médicale, la mutualisation des informations, la préservation de la vie privée et de l’autonomie du patient : l’équipe de soins aurait-elle des limites concrètes ? Les niveaux d’accès devraient-ils être différenciés selon les professions ? La relation médecin-patient perd-elle son élément constitutif de confiance au profit d’une seule relation contractuelle ? Quelle sont les mesures à prendre, suite à des cyberattaques et des demandes de rançon [12], pour assurer la continuité de la prise en charge des patients et la protection de leurs données personnelles ?

[1] Initialement, ce dossier est nommé Dossier médical personnel (de 2004 à 2016). Le changement de dénomination a eu lieu à l’entrée en vigueur de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé (1).

[2] Code de la santé publique/CSP, art. R1112-2.

[3] CSP, art. R4127-45.

[4] La Caisse nationale de l’assurance maladie, les conseils nationaux des ordres des professionnels de santé, l’Union nationale des associations agréées d’usagers du système et la Commission nationale de l’informatique et des libertés.

[5] CSP, art. R1111-46, L1110-4 et L1111-17 ; Code pénal, art. 226-13.

[6] https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr

[7] M. Bonnard, Le consentement du patient : du paternalisme médical à l’autonomie, Université de Lorraine, Nancy 2024, in https://theses.fr/2024LORR0284, 15.

[8] https://www.coe.int/fr/web/conventions/full-list?module=treaty-detail&treatynum=164

[9] CSP, art. L1111-19.

[10] CSP, art. L1111-15.

[11] CSP, art. L1111-15.

[12] https://france3-regions.franceinfo.fr/bourgogne-franche-comte/doubs/haut-doubs/cyberattaque-dans-un-hopital-nous-sommes-revenus-au-papier-au-fax-une-rancon-attendue-pour-debloquer-les-donnees-numeriques-3236537.html