Certification des objets connectés et applications de santé

Le Groupe 28 (GT28) recommande la mise en place d’un référentiel de labellisation et travaille à son élaboration.

Le Comité Stratégique de Filières (CSF) Santé constitué en Groupe 28 (GT28) travaillant sur les thématiques de la santé mobile ou « m-santé », expose les conclusions des travaux qu’il a menés entre septembre 2015 et août 2016, dans un rapport publié en janvier 2017, « Créer les conditions d’un développement vertueux des objets connectés et des applications mobiles de santé » (1).

Ce groupe de travail est rattaché au Conseil National de l’Industrie (CNI) sous la présidence du Premier ministre et rassemble industriels et organisations syndicales autour de l’Etat.

Le GT28 sur la « m-santé » en constitue une filière, et réunit des membres provenant, notamment, de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information), du CNOM (Conseil National de l’Ordre des Médecins), de la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes), de la Cnil (Commission nationale de l’informatique et des libertés), du SNITEM (Syndicat National de l’Industrie des Technologies Médicales), du SYNTEC numérique, de la DGOS (Direction générale de l’offre de soins), de l’Asip Santé, de la CNAMTS (Caisse Nationale de l’Assurance Maladie des Travailleurs Salariés) et de la HAS (Haute Autorité de Santé).

Son rapport préconise la mise en place d’un « référentiel de labellisation facultative sous la forme d’un ensemble d’exigences à satisfaire », et prévoit que « les futurs travaux du GT28 ne viseront que l’élaboration, et la mise en œuvre de ce référentiel ».

Un référentiel facultatif

La préconisation d’un référentiel facultatif est justifiée par deux constats précisés dans ce rapport : d’abord, car les initiatives de « droit dur » ne supportent pas le rythme de croissance du marché et de l’innovation, dont à l’évidence, elles ne doivent pas constituer un frein, mais aussi en raison du cycle de vie particulièrement court des produits concernés.

Une conjugaison du PIAF et du référentiel de la HAS

Le GT28 propose de conjuguer les résultats du PIAF et du référentiel de bonnes pratiques de la HAS afin de structurer cet ensemble d’exigences à satisfaire.

Le PIAF est une version générique du PIA, ou Privacy Impact Assessement Framework, qui permettrait de réaliser l’analyse d’impact qui s’imposera, en particulier, à tout industriel du secteur d’ici mai 2018, en application de l’article 35 du règlement européen sur la protection des données personnelles (RGPD) (2).

Pour rappel, cet article prévoit que le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (3).

Ce PIAF permettrait donc aux responsables de traitement qui souhaitent justifier de leur démarche de conformité et des mesures qu’ils ont choisies (notion d’Accountability), ainsi qu’aux fournisseurs de produits qui souhaitent montrer que leurs solutions ne portent pas atteinte à la vie privée dans une logique de conception respectueuse de la vie privée (notion de Privacy by Design).

L’autre socle de ce référentiel, retenu par le GT28, est le Référentiel de bonnes pratiques, publié par la HAS en octobre 2016 (4) à l’usage des industriel et évaluateurs pour guider, promouvoir l’usage et renforcer la confiance dans les applications et les objets connectés dans le domaine de la santé.

Ce référentiel concerne les objets connectés qui n’ont pas de finalité médicale déclarée, mais la zone « grise » des applications ou objets connectés ayant un effet potentiel sur la santé, sans avoir le statut légal de dispositif médical. Ce référentiel facultatif s’inscrit lui aussi dans le respect du règlement européen précité.

Construction et caractéristiques du référentiel

Le GT28 propose les axes de construction du référentiel suivants :

• démonstration du respect d’exigences essentielles sous la forme « bimodale (conforme : oui/non) » et des autres exigences de manière graduée, par paliers ;
• critères objectifs, quantifiables et vérifiables, avec la précision de la nature de la preuve à rapporter qui soit simple à mettre en œuvre et à vérifier ;
• prise en compte de la capacité de l’appareil à s’intégrer dans d’autres systèmes et de son interopérabilité ;
• organisation de l’actualisation du référentiel.

En particulier, les exigences retenues ne devraient pas être plus élevées que celles appliquées aux dispositifs médicaux (5).

Néanmoins, le référentiel pourrait couvrir une partie des exigences liées au marquage CE des dispositifs médicaux et, par équivalence, être utilisé par leurs fabricants de manière facultative.

Utilisation du référentiel

Le rapport prévoit deux formes complémentaires d’utilisation :

• a priori par les fabricants (autoévaluation) ;
• a posteriori, par des tiers évaluateurs.

Le GT28 envisage dans la seconde hypothèse de déterminer les modalités d’intervention des tiers.

Surtout, le GT28 considère qu’il doit être mis en œuvre par des organismes certificateurs « professionnels de l’évaluation », avec comme avantage pour les fabricants, le gain de la confiance des usagers et de la publicité qui pourrait être attachée à la certification.

Publication des résultats de la labellisation

Parmi les différentes pistes relatives à la publicité des résultats exposées par le rapport, l’approche privilégiée par le GT28 est celle de la publication des résultats de l’évaluation ou score sur un portail de référencement listant toutes les applications et objets connectés et le score associé.

Une telle publication permettrait notamment de constituer une incitation à l’achat des produits les mieux notés, sous réserve de l’avis de l’autorité de régulation de la publicité.

Promotion des solutions à bénéfice avéré

Une autre partie du rapport du GT28 est consacrée à la promotion et donc à l’évaluation des solutions à bénéficie avéré pour l’utilisateur.

Cette évaluation est présentée comme bien distincte de la « vérification du référentiel de labellisation » permettant de garantir la « qualité médicale, la protection des données de l’utilisateur et la cybersécurité ».

Elle a pour objet de donner des éléments de confiance à l’intention des usagers afin de leur garantir que leurs attentes ne seront pas déçues, et à l’intention des professionnels de santé afin qu’ils puissent recommander ces solutions à leurs patients.

Cette problématique distincte et tout aussi essentielle, fait l’objet d’une publication à venir sous l’angle particulier du remboursement des applications et objets connectés de santé.

Perspectives

Dans l’attente de l’élaboration du référentiel et de sa mise en œuvre organisationnelle, les éditeurs et fabricants peuvent d’ores et déjà prendre appui sur les bonnes pratiques de la HAS et l’intégrer au sein d’un référentiel contractuel de conformité à l’état de l’art, et doivent s’assurer notamment du respect des réglementations relatives :

• aux dispositifs médicaux ;
• aux traitements de données à caractère personnel ;
• à l’hébergement de données à caractère personnel de santé ;
• au secret médical ;
• aux exigences d’information eu égard à la responsabilité du fait des produits défectueux.

Une fois le référentiel mis en œuvre, la mise en conformité du produit au regard des réglementations susvisées sera guidée, mais il appartiendra aux acteurs de :

• encadrer contractuellement leur responsabilité vis-à -vis de leurs clients et des utilisateurs finaux, le cas échéant au sein de conditions générales de vente ou d’utilisation ;
• intégrer les exigences liées au référentiel au sein des contrats de développement de logiciels ou d’applications mobiles, embarqués ou non.

En particulier, le développeur ou intégrateur pourra se voir imposer contractuellement un engagement relatif à l’atteinte d’un certain niveau de conformité par rapport à ce référentiel ou d’un seuil minimal au score de certification retenu.

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Droit Santé numérique

(1) GT28 CSF, Rapport « Créer les conditions d’un développement vertueux des objets connectés et des applications mobiles en santé », 16-1-2017
(2) Règlement (UE) 2016/679 du 27-4-2016, art. 35
(3) Post du 13-6-2016
(4) Post du 19-12-2016
(5) Post du 29-12-2016