Données de santé
2

Applications santé : quelle réglementation pour quelle responsabilité ?

Le statut frontière application bien-être /dispositif santé mobile

juridique applications santéLes difficultés de qualification

Les applications désignées comme « de santé » par les plateformes (AppleStore, Google, etc.) n’ont en réalité pas de régime juridique propre.

Elles peuvent dans certains cas être de véritables dispositifs médicaux soumis à ce titre à une exigence de certification de conformité (marquage CE) et au contrôle de l’ANSM ou au contraire ne relever que d’applications de loisir non réglementées.

Dans certains cas, le marquage CE et le statut de dispositif médical peuvent être utilisés à des fins exclusivement marketing, ce qui détourne la réglementation de sa finalité. Dans d’autres cas, l’absence de marquage CE, pour une finalité véritablement médicale, empêche un contrôle adéquat. S’ajoute enfin toute la difficulté de qualification pour les produits-frontières qui génère une forte insécurité juridique. Les autorités européennes savent d’ailleurs qu’un nombre très important d’applications ne sont pas conformes à la réglementation européenne.

Une récente étude, commandée par la CNIL, sur la finalité des applications de santé, a classé celles-ci du plus haut risque (celles utilisées par les professionnels de santé) au plus bas (celles utilisées directement par le patient avec un suivi bien-être : nombre de pas, qualité du sommeil…). Elle conclut que chaque catégorie nécessite un niveau de régulation différent.

L’utilisation des Dispositifs de Santé mobile (applications, objets connectés) comporte plusieurs risques sur la qualité de l’information fournie, la pertinence du diagnostic, l’efficacité des conseils prodigués et sur la sécurité qui entoure la collecte, le traitement et l’éventuelle exploitation ou ré-exploitation des données à caractère personnel des utilisateurs, l’impact sur le secret médical…

L’application bien-être quant à elle devrait disposer d’un régime plus souple mais sous réserve de précautions. En effet, l’interprétation des résultats par l’utilisateur et l’absence de médiation du médecin comportent de nombreux risques du moins grave, le mauvais aiguillage, au plus grave, l’auto-médicamentation erronée.

La variété des problématiques, voire des antagonismes dans certains cas, pourrait ainsi conduire à une recomposition de l’environnement réglementaire.

Quel avenir pour la réglementation : l’hypothèse d’une certification a priori

Aux États-Unis, la Food and Drug Administration (FDA) a émis une recommandation le 25 septembre 2013 (mis à jour le 9 février 2015 ) précisant qu’elle serait en charge du contrôle des applications de m-santé.

En France, l’idée d’un label voire d’une certification, permettant une régulation des objets et applications connectés et du phénomène du quantified self commence à faire son chemin.

La solution proposée par le Conseil national du numérique serait de mettre en place un guichet unique pour traiter les demandes de catégorisation (dispositif médical, application bien-être ou autre).

Cette instance viserait à assurer que le dispositif commercialisé respecte la réglementation particulière à ce type de dispositif en s’appuyant sur les compétences des autorités existantes ; ministère de la Santé ou consortium regroupant l’ASIP (Agence des Systèmes d’Informations Partagées de santé), l’ANSM (Agence Nationale de Sécurité du Médicament), la HAS (Haute Autorité de Santé) et la CNIL. Ce « guichet unique » aurait vocation à permettre au fabricant de déclarer le dispositif commercialisé, si celui-ci collecte des données personnelles de bien-être, voire de santé, alors même que ce dernier n’analyse pas les données ainsi collectées.

Il serait alors utile que les critères de qualification des dispositifs de m-Santé soient harmonisés entre les autorités et guichets des différents États membres.

LA RESPONSABILITÉ INDUITE PAR LES APPLICATIONS DE SANTÉ

La gestion de données sensibles

La collecte, le partage et l’utilisation des données personnelles et non personnelles de santé posent avec acuité la question du cadre juridique à mettre en place, afin de permettre à la fois l’innovation et la recherche dans un souci d’intérêt général, et le respect le plus strict de la vie privée et des droits individuels.

Une récente étude montre d’ailleurs que si une grande partie du public se déclare intéressée par l’utilisation d’objets connectés en matière de santé, 70% manifeste sa préoccupation à l’égard de ses données.

À cet égard, ainsi de nombreuses questions déterminent le régime applicable. Elles ont principalement trait tant à la nature et à la qualification des données personnelles qu’aux modalités d’information des utilisateurs et de leur consentement. Mais l’exploitation de ces données et la possibilité de rendre anonymes certaines d’entre-elles dans la mesure où elles peuvent s’avérer utiles pour la prévention santé à l’échelon national (cas d’épidémie de virus par exemple) peuvent dans certains cas, constituer un compromis entre des exigences contraires.
Pour le quantified self, il faut noter que les données sont produites par les utilisateurs. Pourtant, même si ces données touchent à l’intimité, les utilisateurs ont une large tendance à les partager.

La CNIL s’inquiète ainsi de la sécurisation et de l’utilisation des données par les sociétés qui les collectent. Le rapport indique que les utilisateurs ont l’impression d’avoir un rapport direct avec ces données, « puisqu’ils en sont à l’origine », alors que les entreprises pourraient les céder, ou les utiliser à des fins non connues par les utilisateurs.

La CNIL s’inquiète enfin de la frontière ténue entre le bien-être et la santé. En effet, les données de santé sont considérées comme sensibles et font l’objet d’une réglementation renforcée.

Comme il décloisonne le rapport entre publicité et information, le numérique reconfigure les périmètres traditionnels de la santé.

Nouveaux risques, nouvelles responsabilités ?

Enfin de nouveaux risques surgissent avec ces applications entraînant bien évidemment l’épineuse question de la responsabilité.

En matière de sûreté, les capteurs à partir desquels fonctionnent les applications santé ont un degré de précision très variable, notamment en fonction de la finalité recherchée.

La fiabilité de la technologie retenue est donc déterminante du risque selon l’usage qui en est fait. Par ailleurs, s’il se produit une erreur d’algorithme dans une application de suivi de grossesse par exemple, la recherche de la responsabilité se trouve largement complexifiée.

L’algorithmisation du monde conduit à repenser tout le régime de la responsabilité civile sur lequel repose notre régulation du risque et notre système de réparation des dommages.

Dans notre droit actuel, la responsabilité est l’issue d’une triple démonstration : une faute, un dommage et un lien de causalité entre eux.

La faute suppose une décision consciente ou une négligence, en tout cas un fait de l’homme. Mais l’algorithme constitue une aide à la décision, notamment par la modélisation prédictive issue des données. Il faut donc prendre en compte cette interaction décisionnelle pour appréhender la responsabilité et la répartir entre l’usager et celui qui devrait éventuellement supporter le risque porté par l’algorithme qui n’est rien d’autre qu’un robot.

De même, la question du lien de causalité se trouve bouleversée par le Big Data et l’algorithmisation. La prolifération des données et la puissance croissante des algorithmes permettent d’établir certains types de corrélations sans que nous soyons capables d’en expliquer la causalité scientifique. Si le modèle déductif s’imposait, c’est tout le régime de responsabilité qui changerait d’ère. Or, le domaine des applications santé constitue le terrain le plus propice pour que cet enjeu s’exprime.

En matière de sécurité, de nombreuses applications sont piratables jusqu’à 90 mètres de distance comme c’est le cas avec les pacemakers.

Notre droit voit progressivement émerger, dans le contexte numérique, à la fois une exigence grandissante de devoir de sécurité informatique, mais aussi une multiplication de cyber-criminalité.

Une faille de sécurité peut dans certains cas engendrer la responsabilité pénale du gestionnaire du système. Dans d’autres cas, elle peut restreindre très fortement son droit à réparation en cas de cyber-attaque.

La sécurité constitue donc un enjeu fondamental pour les applications de santé.

L’ensemble de ces considérations fait apparaître un besoin de régulation nouveau, ne serait-ce que pour assurer un niveau de sécurité juridique satisfaisant.

Pourtant, dans le même temps, nous assistons à un mouvement de privatisation des règles de fonctionnement des écosystèmes. Les superpuissances d’Internet, les Gafa tendent en effet à vouloir jouer les premiers rôles en matière de santé connectée.

Pour le docteur Laurent Alexandre, tout repose sur l’idéologie transhumaniste. Le souhait de ces géants du web serait d’imposer le phénomène des NBIC (nanotechnologies, biotechnologies, informatique et sciences cognitives) malgré les atteintes à la vie privée ou la mise en péril de la confidentialité des données.

Selon lui, « les « Gafa »(Google, Apple, Facebook, Amazon)  vont avoir le monopole du contrôle de la m-santé pour les vingt ans à venir » . L’enjeu n’est pas seulement celui de la régulation technique mais aussi celui du cadre concurrentiel.

Maître Luc-Marie Augagneur
Maître Nicolas Martin-Teillard

1 H. Guillaud : les applications santé en question http://internetactu.blog.lemonde.fr/2015/03/07/les-applications-de-sante-en-questions/
http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM263366.pdf
https://contribuez.cnnumerique.fr/sites/default/files/media/synthese_pour_site_-_sante_numerique_.pdf
4 Activité physique et prévention : des secteurs porteurs sur le marché des objets connectés, le Quotidien du Médecin, 13/03/205
http://www.cnil.fr/les-themes/sante/fiche-pratique/article/donnees-de-sante-un-imperatif-la-securite/
http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNIL_CAHIERS_IP2_WEB.pdf
http://www.cnil.fr/linstitution/actualite/article/article/quantified-self-m-sante-le-corps-est-il-un-nouvel-objet-connecte/
8 H. Guillaud, Les applications de santé en question, http://internetactu.blog.lemonde.fr/2015/03/07/les-applications-de-sante-en-questions
9 La Mort de la mort, comment la technomédecine va bouleverser l’humanité ? (Editions JC Lattès) de Laurent Alexandre cité dans l’article de P. Cappelli, « Santé le grand vertige numérique » – EcoFutur Libération 15 juin 2014.
10. Sur la notion d’instance unique : P. Desmarais, Quel régime pour la m-health?, CCE n°3 mars 2013, étude 5 http://www.lexisnexis.fr/droit-document/article/communication-commerce-electronique/03-2013/005_PS_CCE_CCE1303ET00005.htm#.VRK96mY3st8

Source photo : cpha.ca – Association canadienne de santé publique

Partagez :
  • googleplus
  • linkedin
  • tumblr
  • rss
  • pinterest
  • mail

Nicolas Martin-Teillard, avocat - Lamy & Associés Département Propriété Intellectuelle Luc-Marie Augagneur, avocat associé - Lamy & Associés Département Droit Économique

Il y a 2 commentaires

  • […] et la mise en question d’une certification des applications (L.-M. Augagneur, N. Martin-Teillard, Applications santé : quelle réglementation ?  P. Desmarais, Quel régime pour la m-health, Communication Commerce électronique, mars 2013, […]

  • […] Martin-Teillard et Luc-Marie Augagneur – « Application santé : quelle réglementation pour quelle responsabilité ? » – Connected Mag – […]

  • Laisser un commentaire

    Un avis ?
    Laissez un commentaire !

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Retourner en haut de page