Sur le papier, le constat des spécialistes est partagé : l’obligation de sécuriser les données dites « sensibles », par le biais d’hébergeurs dédiés, est une source de contrainte pour les entrepreneurs et les développeurs du secteur de la santé connectée.
« Premier point, nous recommandons aux porteurs de projets d’objets connectés en santé de recourir à un système sécurisé d’information… comparable à tout autre projet de santé », conseille Olivier Desbiey, au nom de la Commission nationale de l'informatique et des libertés (CNIL). Me Jean-Baptiste Chanial, avocat chez Adamas Avocats Associés, souligne la problématique : « Dans l’Internet des objets, ce n’est pas l’objet le problème mais les données qu’il contient ». Problème : à défaut de réglementation spécifique, les objets connectés de santé relèvent du droit commun – code de santé publique, loi informatique et libertés, droit de la consommation, droit de la propriété intellectuelle.
Pour obtenir un agrément, il faut déclarer son produit. Sur ce point, l’Union Européenne est en passe de durcir sa réglementation pour évoluer de l'agrément vers la certification. Il faut déterminer si le projet relève du dispositif médical proprement dit (certifié comme tel) ou d'une application ou logiciel en lien avec la santé.
Plusieurs sources font autorité : la Commission européenne, pour la classification ; la Haute autorité de santé (HAS), qui délivre des conseils sur la sécurisation du produit ; quant à l’Agence nationale de sécurité du médicament et des produits de santé (ANSM), elle rappelle, au sujet des applis mobiles et logiciels, que seuls certains produits sont des dispositifs médicaux (DM) ou des dispositifs médicaux de diagnostic in vitro (DM DIV) car ils ont une finalité médicale. Ils doivent être marqués CE, ce qui atteste de leur conformité à la réglementation. Des repères encadrant la mise sur le marché de ces produits en France sont donnés aux fabricants de logiciels et applications en santé.
Évolutif
Pour les industriels, il convient d'être vigilant à chaque étape de développement – les versions successives d'un produit nécessitant un nouveau marquage CE. « Mieux vaut éviter de multiplier les fonctions sécurisées », résume Florian Pereme, chef de projet chez Altran.
Un nouveau règlement européen entrera en vigueur en mai 2018. Il renforcera le droit des utilisateurs, y compris en matière de portabilité des données dans un format interopérable. Un Data Protection Officer (DPO) devra être désigné dès lors que les entreprises feront des traitements à grande échelle de suivi régulier de données sensibles. Sans compter que de nouvelles questions émergent quant à la responsabilité civile, à l’heure de l'intelligence artificielle...
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes