PLFSS 2026 et DMP obligatoire : Le Dossier Médical Partagé DMP n’est plus un outil de santé facultatif. Avec le Projet de loi de financement de la Sécurité sociale pour 2026, son usage devient une obligation légale imposée aux professionnels de santé. Cette évolution, présentée comme un progrès organisationnel et économique, soulève une question de fond : dans un système où la consultation et l’alimentation du DMP deviennent incontournables, que reste-t-il du consentement du patient, pourtant érigé par le RGPD en principe fondateur du traitement des données de santé ?
Un basculement : du volontariat à la contrainte
L’article 31 du PLFSS impose qu’à partir de 2026, toute prescription ou tout acte remboursé par l’Assurance maladie soit précédé d’une consultation du DMP. Les soignants devront également l’alimenter régulièrement, sous peine d’amendes pouvant aller jusqu’à 2 500 euros par manquement, dans la limite de 10 000 euros par an. L’objectif affiché est clair : réduire les répétitions d’examens, structurer la coordination des soins, et permettre à l’Assurance maladie d’exercer un suivi plus strict des pratiques médicales et des dépenses. Le DMP devient ainsi la colonne vertébrale stratégique du parcours de soins numérique.
Mais derrière ce virage technique et budgétaire, une ligne rouge juridique est franchie : les données médicales, autrefois facultatives dans le DMP, entrent désormais dans un système obligatoire. L’outil change de statut, et le droit du patient aussi.
Quand la loi remplace le consentement
Contrairement à une idée répandue, le RGPD n’impose pas systématiquement le consentement comme base juridique du traitement. Le texte autorise d’autres fondements, notamment la nécessité de respecter une obligation légale ou l’exécution d’une mission d’intérêt public. C’est précisément sur cette logique que repose la réforme : si la loi impose la consultation et l’alimentation du DMP, alors le traitement ne relève plus du consentement mais de l’exécution d’une obligation légale. Le gouvernement s’appuie donc sur le RGPD pour justifier la fin du consentement explicite en matière d’usage du DMP.
D’un point de vue strictement juridique, cette lecture est défendable. Mais elle ne supprime pas les droits fondamentaux des personnes. Une obligation légale ne suffit pas à effacer le droit à l’information, le droit de comprendre, le droit de s’opposer lorsque la loi ne l’exclut pas expressément, ou encore le droit de demander des comptes.
Le consentement n’est pas supprimé : il est vidé de sens
Dans le modèle imposé par le PLFSS, le patient n’a plus réellement à consentir : son DMP existe, il est activé par défaut, il est alimenté par obligation, et il est consulté pour tout acte remboursé. Le consentement devient une formalité implicite, une posture administrative, une fiction juridique. Le problème est triple. D’abord, le consentement n’est plus libre puisque le refus équivaut à sortir du parcours de soins normalisé. Ensuite, il n’est pas éclairé, car les finalités exactes de traitement — notamment la liste des actes concernés et les modalités d’accès — ne seront définies que dans des décrets attendus pour 2027. Enfin, il n’est pas révocable de manière neutre : fermer son DMP reviendra à accepter un statut de patient « hors système », ce qui revient à une sanction sociale du refus.
Le consentement, dans ce nouveau cadre, subsiste donc formellement, mais dépouillé de son essence : il n’est plus ni un choix, ni une expression de volonté, mais une conséquence par défaut.
Un droit d’opposition théorique
Lorsque la base juridique repose sur le consentement, le patient peut le retirer librement. Mais lorsque la base devient l’obligation légale, le droit d’opposition disparaît mécaniquement. Le patient ne pourra plus s’opposer au traitement, seulement se retirer du dispositif au prix d’une perte d’accès fluide au soin. La question n’est plus de savoir si le patient peut refuser, mais ce qu’implique concrètement ce refus. La Fédération des Médecins de France a déjà dénoncé le risque d’un système qui ne dit pas « vous devez consentir », mais « si vous ne consentez pas, vous sortez du cadre ».
Responsabilité des médecins, des éditeurs et vide juridique
La réforme ne concerne pas seulement le rapport entre patient et système de santé. Elle redéfinit également les responsabilités professionnelles. Le médecin devra désormais prouver qu’il a consulté le DMP avant tout acte, ce qui transforme un geste de soin en acte de traçabilité. Les établissements devront garantir que leurs systèmes sont compatibles avec le DMP, sous peine de blocage administratif et économique. Quant aux éditeurs de logiciels de santé, ils voient leur rôle transformé : leurs outils devront impérativement être interopérables et conformes, faute de quoi ils seront exposés à un risque de requalification en co-responsables de traitement.
L’impact RGPD dépasse donc largement la question du consentement. Il touche à la gouvernance documentaire, à la charge probatoire, à la sécurité des systèmes, à la responsabilité technique et au contrôle des accès.
Ce que les décrets devront impérativement clarifier
La réforme ne pourra être conforme au RGPD que si plusieurs zones d’ombre disparaissent. Il faudra définir clairement la nature du « consentement » appliqué au DMP, les conséquences réelles d’un refus, les modalités d’exercice des droits d’accès et de rectification, le régime exact de responsabilité entre soignants et éditeurs, et le périmètre de contrôle de l’Assurance maladie. Tant que ces éléments resteront implicites, l’obligation légale reposera sur un socle fragile.
Une modernisation utile, mais un pacte juridique à réécrire
La numérisation du système de santé n’est pas discutable. Elle est nécessaire, rationnelle, attendue. Mais elle ne peut se faire au prix d’une dilution silencieuse du droit des patients. Le DMP obligatoire n’est pas seulement un outil de modernisation, c’est un changement de paradigme : la donnée de santé devient une donnée d’État. Si ce mouvement doit se faire, il doit être assumé politiquement, encadré juridiquement, et expliqué aux citoyens sans fiction ni euphémisme.
Il revient désormais à la CNIL, au Parlement et aux juristes du secteur de trancher une question simple, mais déterminante : dans une démocratie, peut-on imposer l’usage d’une donnée personnelle sensible tout en continuant à parler de consentement ?
DMP obligatoire : FAQ RGPD, sanctions et responsabilités (PLFSS 2026)
Questions fréquentes pour responsables de traitement et éditeurs
DMP obligatoire. Cette FAQ résume les points clés : base légale, sanctions, droits des patients, obligations techniques et calendrier réglementaire.
Le DMP devient-il vraiment obligatoire avec le PLFSS 2026 ?
Oui. Le PLFSS 2026 rend la consultation et l’alimentation du DMP (Mon espace santé) obligatoires pour certains actes et prescriptions, avec un régime de pénalités.
Quelles sont les sanctions en cas de manquement ?
Des pénalités peuvent atteindre 2 500 € par manquement, dans la limite de 10 000 € par an et par professionnel, selon les modalités fixées par les textes d’application.
Quand l’obligation entrera-t-elle en vigueur ?
L’entrée en vigueur est progressive à partir de 2026, avec généralisation attendue d’ici 2027 selon les décrets d’application.
Que devient le consentement du patient au regard du RGPD ?
Le traitement repose sur l’obligation légale ou la mission d’intérêt public, et non sur le consentement. Les droits à l’information, d’accès et de rectification demeurent ; le droit d’opposition peut être restreint par la loi.
Puis-je refuser ou fermer mon DMP ?
La fermeture technique reste possible, mais le refus peut compliquer l’accès au parcours de soins. Les conséquences pratiques seront précisées par voie réglementaire.
Quels documents doivent être versés dans le DMP ?
Comptes rendus, prescriptions, résultats d’examens et autres pièces prévues par le Code de la santé publique et par les arrêtés en vigueur.
Quelles obligations pour les établissements et les éditeurs ?
Interopérabilité DMP, sécurité, gestion des habilitations, journalisation, conservation des preuves ; les contrats doivent cadrer ces exigences et la réversibilité.
Quels droits conservent les patients ?
Droit à l’information, d’accès, de rectification et de limitation. Le droit d’opposition peut être limité selon la base légale ; réclamation possible auprès de la CNIL.
Quelles mesures de sécurité sont exigées ?
Authentification forte, chiffrement en transit et au repos, revues d’accès périodiques, traçabilité détaillée, tests d’intrusion et procédures de notification en cas de violation.
Que doivent préciser les décrets d’application ?
La liste des actes soumis à consultation préalable, les preuves attendues, les règles de calcul des pénalités, les procédures et la répartition des responsabilités.
