Objets connectés de santé : sécurité et confiance ?

Télécom SudParis

Une journée sur les objets connectés de santé était organisée par l’IMT le 5 octobre 2017 à Télécom ParisTech. Maryline LAURENT, Professeur à Télécom SudParis animait la table ronde Sécurité & Confiance. Retours sur les échanges.

La table ronde Sécurité & Confiance animée par Maryline LAURENT a donné la parole à :

  • Sébastien WOYNAR, Directeur Business Unit Santé chez Air Liquide Santé,
  • Pierre TRUDELLE, service SA3P, Chef de projet à la Haute Autorité de Santé,
  • Florence OLLE, Responsable des Affaires Réglementaires au SNITEM (Syndicat National de l’Industrie des Technologies Médicales)
  • Claire LEVALLOIS-BARTH, Maître de conférences en droit à Télécom ParisTech et coordinatrice de la chaire Valeurs et Politiques des Informations Personnelles.

Santé et bien être :  les effets des règlements adoptées par l’UE

Les intervenants ont couvert deux secteurs : santé et bien être. Ils ont principalement discuté du contenu et des effets de deux règlements récemment adoptées par l’UE : le règlement sur les dispositifs médicaux (DM) et le RGPD sur la protection des données personnelles. Leur mise en application est prévue respectivement pour mai 2020 et mai 2018.

Les exigences pour les produits ayant une finalité médicale, couvert par le règlement DM, se voient renforcées. Elles sont proportionnées à la classe de risque à laquelle appartient le dispositif (I, IIa, IIb, III).  Ces exigences concernent notamment, les procédures d’évaluation de la conformité à respecter pour la mise sur le marché. Le règlement précise aussi pour chacune des classes les règles de marquage CE à respecter, depuis l’auto-certification jusqu’à une certification par un organisme agréé.

Notons que les notions de performances et de sécurité habituellement utilisées en sécurité informatique prennent un tout autre sens dans le domaine de la santé. A savoir, la notion de performances pour des DMs se rapporte à la capacité des dispositifs à atteindre l’objectif fixé par leur fabricant en termes d’efficacité médicale, tandis que la sécurité fait référence aux dangers que pourraient représenter les DMs pour les patients et les utilisateurs.

Ainsi le règlement définit un rapport bénéfice/risque et exige des preuves du bénéfice clinique, apportée par une évaluation clinique qui constitue un élément clé du dossier de marquage CE.

Une frontière entre médical et bien être bien ténue

Colloque Objets Connectés de SantéEn effet, la frontière entre médical et bien être est ténue. La différentiation se joue sur les revendications émises par le fabricant. Pour exemple, une lampe de luminothérapie peut être qualifiée comme un dispositif de bien être, ou bien un DM selon que les revendications qui l’accompagnent ont une finalité médicale ou non. Ainsi, il arrive que des objets de bien être soient requalifiés en DM avec des pénalités pour l’industriel fraudeur.

Avec le mouvement sociétal actuel vers plus d’autonomie des individus dans leur façon de se soigner, de se prendre en charge, le risque est de voir les individus détourner la finalité première des objets de bien être, par essence ludiques, vers une finalité médicale.

Ainsi en va-t-il d’un appareil de mesure du rythme cardiaque qui peut servir à des entraînements sportifs poussés, alors que l’appareil n’a pas la précision requise et qu’un accompagnement médical peut être nécessaire pour assurer le suivi. De même, une application qui délivre des conseils sur l’alimentation sera inadaptée à une personne anorexique, et une application qui détecte les dépressions sera inefficace pour des personnes dépressives chroniques.

Un référentiel de bonnes pratiques sur les applications et les objets connectés en santé

Le secteur du bien être est beaucoup moins réglementé que le médical, et ne définit pas de cadre spécifique pour les applications mobiles. En ce sens, la HAS précurseuse dans le domaine a été la première à proposer en octobre 2016 un référentiel de bonnes pratiques sur les applications et les objets connectés en santé.

Colloque Objets Connectés de SantéCe référentiel est accessible gratuitement en ligne et a le mérite d’offrir une classification pour les applications suivant qu’elles sont destinées aux professionnels de santé ou au grand public en distinguant plusieurs usages. Le référentiel identifie plusieurs critères, en plus des critères de contenus de santé, à savoir le confort des usagers (ergonomie, qualité du descriptif), le respect de leur consentement au sens du RGPD, la qualité des mesures de sécurité (informatique) et de fiabilité. L’objectif louable de ce référentiel est aujourd’hui de produire des applications de meilleure qualité, et de donner confiance aux consommateurs et aux personnels de santé quant à l’usage de telles applications.

Une définition des données de santé

Quant à savoir s’il existe d’un côté des données de santé et de l’autre des données de bien être, la réponse n’est pas claire. Pour exemples la taille et le poids d’une personne peuvent être traités comme des données de bien être (ou de santé), alors que l’IMC (Indice de Masse Corporelle) qu’il est possible de calculer à partir de ces mêmes données est toujours une donnée de santé.

Le RGPD fournit, pour sa part, une définition des "données concernant la santé" dans son article 4-15 : il s'agit des "données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne". Cette définition de la donnée fournie par le RGPD impose donc de procéder à une analyse au cas par cas, pour déterminer si une donnée de santé est collectée ou transmise.

Auteur : Maryline LAURENT

Règlement sur les dispositifs médicaux (DM) : Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) no 178/2002 et le règlement (CE) no 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE

RGPD sur la protection des données personnelles : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)