La Haute Autorité de santé publie un référentiel de bonnes pratiques sur les applications et objets connectés en santé.
Ce référentiel ou guide, publié en octobre 2016, a pour objet de guider, promouvoir l’usage et renforcer la confiance dans les applications et les objets connectés dans le domaine de la santé (1).
Il s’adresse à la fois aux industriels et aux évaluateurs, qu’il s’agisse de structures d’évaluation, d’associations de consommateurs ou encore de sociétés savantes médicales.
Il concerne les objets connectés qui n’ont pas de finalité médicale déclarée, mais la zone « grise » des applications ou objets connectés ayant un effet potentiel sur la santé, sans avoir le statut légal de dispositif médical.
Néanmoins, il ne concerne pas les dispositifs médicaux au sens de la directive 93/42/CEE, qui exige leur marquage CE, ne se substitue pas à la réglementation en vigueur et n’est pas un outil en vue de l’admission au remboursement ni une recommandation professionnelle.
Le référentiel de bonnes pratiques est structuré en 5 domaines et 14 sous-domaines et regroupe 101 bonnes pratiques :
- Informations utilisateurs :
- Description ;
- Consentement ;
- Contenu de santé :
- Conception de contenu initial ;
- Standardisation ;
- Contenu généré ;
- Contenu interprété ;
- Contenant technique :
- Conception technique ;
- Flux des données ;
- Sécurité/Fiabilité :
- Cybersécurité ;
- Fiabilité ;
- Confidentialité ;
- Utilisation/usage :
- Utilisation/design ;
- Acceptabilité ;
- Intégration/import.
L’évaluation par sous-domaines est fondée sur un référentiel didactique pour chaque domaine :
- de tableaux de liste des critères, avec leurs intitulés et leur niveau d’exigence ;
- de justification et d’exemple de chacun de ces critères.
Chaque partie est accompagnée d’arguments (fondement scientifique et/ou réglementaire), d’exemples illustrant le contenu attendu et les modalités de vérification et de références bibliographiques.
Il convient de souligner que la Haute Autorité de santé (HAS) a intégré dans son référentiel deux thématiques sur lesquelles elle s’estime moins légitime à intervenir qui ne correspondent pas aux enjeux stratégiques de la HAS que sont la protection de la vie privée et de la cybersécurité, en intégrant les contributions de l’Anssi (2) et de la Cnil (3).
Quelles perspectives pour ce référentiel ?
Les industriels et évaluateurs pourront désormais s’appuyer sur ce référentiel :
- ab initio, au stade de la conception de l’application ou de l’objet connecté de santé ;
- a posteriori, pour évaluer les applications et objets connectés de santé.
Ce référentiel s’inscrit dans le respect du Règlement général européen sur la protection des données (RGPD) qui érige les principes de privacy by design (protection de la vie privée intégrée dans le cadre de la conception de l’objet) et privacy by default (protection de la vie privée par défaut) au rang d’obligations légales.
En outre, ce document pourra tout aussi bien intégrer un référentiel contractuel de conformité à l’état de l’art.
Reste qu’en l’absence de contrôle du respect du référentiel, il faut que les acteurs se responsabilisent.
En attendant, des travaux sont toujours en cours concernant les applications et objets connectés en santé, la HAS précisant, au sein de son référentiel, qu’elle le complétera prochainement avec des documents à destination des utilisateurs : professionnels de santé et usagers.
Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Droit Santé numérique
(1) Site de la HAS, « Référentiel de bonnes pratiques sur les applications et les objets connectés en santé ».
(2) Agence nationale de la sécurité des systèmes d’information.
(3) Commission nationale de l’informatique et des libertés.