E- santé, piqûre de rappel

Ce premier semestre 2020 aura été particulièrement riche en matière de santé, l'e-actualité est, le confinement ayant d'ailleurs mis en exergue un développement massif de la télémédecine. Que retenir à date ?

Tout d'abord, un développement d'outils à même de mieux suivre le patient et lutter contre une offre de soins géographiquement inégale en abolissant les distances grâce à la téléconsultation.

Ensuite, une frontière de plus en plus ténue entre ce qu'est une donné de santé telle que définie par le Règlement Général pour la Protection des Données (RGPD) à savoir « Les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne » et une donnée dite de bien-être, le plus souvent récolté par des objets connectés que nous portons.

Ceci n'est pas sans conséquence sur le croisement de données relativement peu sensibles qui amènent de plus en plus les acteurs vides, hors du champ de la santé à se retrouver en possession de données dites « sensibles » qui ne peuvent d'ailleurs être traitées qu'avec le consentement éclairé de la personne. Par ailleurs, la nature des recommandations, conseils donnés en ligne grâce à ses outils rapprochent de plus en plus les acteurs d'une activité de prévention, de diagnostic, de soins ou de suivi médico-social. Or, dès que de telles données sont traitées dans une telle hypothèse, leur hébergement devient alors régi par les dispositions de l'article 1111- 8 du Code de la Santé Publique et nécessitent donc de recourir à des hébergeurs de données de santé certifiés. Cette digitalisation de la santé a pour revers de rendre d'autant plus accessibles ces données et donc aiguiser l’appétit des hackers de toute sorte . Ainsi, nonobstant la survivance de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés pour encadrer des traitements de données de santé, RGPD trouve aussi toute son application s'agissant des conditions associées à la sécurité de tout traitement de données.

« Sécurité », c'est bien ce mot auquel fait aussi appel le Règlement (UE) du Parlement européen et du Conseil relatif aux dispositifs médicaux.

Datant du 5 avril 2017 et devant entrer en vigueur le 26 mai 2020, la pandémie du Covid 19 aura eu raison de ce dernier dont l'entrée en vigueur est désormais repoussée au 26 mai 2021. Ce temps ne sera pas de trop pour permettre à toutes les parties concernées de s'atteler à respecter l'ensemble des dispositions applicables.

L’objectif de ce Règlement vise à garantir le bon fonctionnement du marché intérieur des dispositifs médicaux, sur la base d'un niveau élevé de protection de la santé pour les patients et les utilisateurs. Il fixe des normes élevées de qualité et de sécurité des dispositifs médicaux afin de faire face aux enjeux communs de sécurité relatifs à ces produits

À cet effet quel que soit la nature du dispositif médical, un logiciel pouvant en être un, comme l'avait déjà jugé la Cour de Justice de l'Union Européenne dans son arrêt du 7 décembre 2017 et comme le vise désormais expressément ledit Règlement, de nombreuses obligations s'imposent dès lors en la matière.

On relèvera ainsi qu’un fabricant de dispositif médical devra se soumettre aux exigences suivantes : • Désignation d’un responsable chargé de veiller au respect du règlement

• Respect de règles de sécurité et de qualité dans une démarche de minimisation des risques

• Mise à disposition d’une documentation technique présentant en toute transparence les caractéristiques du dispositif

• Obligation de tester cliniquement son dispositif et de créer une documentation afin de démontrer la conformité du dispositif vis-à-vis du Règlement

• Le marquage de conformité CE est apposé avant la mise sur le marché du dispositif

• Obligation de transparence et de traçabilité du dispositif et de son fabricant

• Obligation de surveillance et de vigilance du fabricant vis-à-vis du dispositif après sa commercialisation

• Notification des incidences graves et des mesures correctives de sécurité

• Attribution d’un système d’identification unique (IUD) au dispositif

Nous reviendrons d’ailleurs tout au long des prochains mois sur cette « accountabilty » avant l’entrée en vigueur du Règlement.

Enfin, et tout récemment le Conseil d'État, décidément fort actif en ce mois de juin, s'est emparé également de la question de la e-santé.

Ainsi, le 19 juin 2020, tout en rendant des décisions très attendues sur la confirmation de la sanction d’une amende de 50 millions infligée à Google ou encore même sa position sur les « cookies wall » le Conseil d’Etat est venue également apporter sa pierre au projet de plate-forme Health data Hub.

Défini par l'article L 1461-1 du Code de la Santé Publique, ce système national des données de santé est destiné à faciliter le partage des données de santé issus de diverses sources afin de favoriser la recherche. Une polémique est née du fait, notamment que l'hébergement de ces données a été confié à Microsoft (qui plus est sans procédure préalable d’appel d’offre) . Ainsi et suivant les requérants, le fait que certaines données puissent être transférées à l'étranger et plus particulièrement aux États-Unis serait de nature à remettre en cause la sécurité desdits données.

Las, le Conseil d'État, qui ne pouvait entrer dans un débat dont l’origine relève davantage d'une question de politique de « souveraineté numérique » n'a pu que juger que rien ne s'opposait un tel transfert en jugeant notamment.

« Par suite, et alors que les conditions dans lesquelles l'offre de la société Microsoft a été retenue sont, en tout état de cause, sans incidence par elles-mêmes sur le droit à la protection des données personnelles, la circonstance que cette société relève du droit américain et puisse être amenée, pour les opérations d'administration de la solution technique qu'elle propose, à transférer des données aux Etats-Unis, en conformité avec la décision de la Commission du 12 juillet 2016, ne peut être regardée, à la date de la présente ordonnance et en l'état de l'instruction, comme portant une atteinte grave et manifestement illégale aux libertés fondamentales que le règlement général pour la protection des données a pour objet de protéger ». Relevons enfin, et ce même si cela ne relève pas tout à fait de la e- santé que la question des caméras thermiques, le cas échéant connectées, demeure un sujet brûlant en cette période estivale, le Conseil d'État ayant eu un nouveau à se positionner sur leur licéité, ou non, suivant le contexte d'utilisation suivant un arrêt du 26 juin 2020.

À suivre…

Prenez soin de vous

Mathieu MARTIN