Par Stéphane ASTIER et Jordan RHOUM
Piluliers connectés, bracelets qui comptent les pas ou les battements cardiaques, applications de suivi des régimes alimentaires, d’analyse de la qualité du sommeil ou même de la gestion du diabète… Déjà 43% des Français déclarent utiliser des apps ou des dispositifs e-santé dans leur vie quotidienne. L’e-santé est au tournant de son développement, le marché devant progresser de 4% à 7% par an pour atteindre 4 milliards d’Euros à l’horizon 2020.
Près de 50 000 applications santé sont actuellement disponibles et de nouvelles apparaissent chaque jour. Or la e-santé relève d’un domaine sensible qui s’inscrit à la frontière du médical et ces apps suscitent des inquiétudes : risques d’informations inexactes, partisanes ou sponsorisées, récupération d’informations personnelles permettant à des tiers non autorisés de connaître l’état de santé d’une personne, revente des données sensibles…
Afin d’accompagner un marché en forte croissance, la Haute autorité de santé (HAS) a récemment publié un référentiel de 101 bonnes pratiques, élaboré avec l’appui de la CNIL et de l’ANSSI pour orienter les développeurs d’apps et améliorer la création des dispositifs et apps e-santé.
L’occasion d’un tour d’horizon sur une série de bonnes pratiques à adopter en matière d’e-santé.
1/ Fiabilité et qualité des informations délivrées
Cette exigence part d’un constat logique : les informations délivrées par les apps et objets connectés de santé n’ont pas une valeur médicale mais sont de nature à donner une analyse de données sensibles de l’utilisateur qui pourront conditionner son comportement.
La fiabilité de la donnée est donc essentielle. Le contenu doit ainsi :
- Être élaboré par des professionnels de santé ou des organismes professionnels compétents
- Présenter les éventuelles contre-indications et risques potentiels qui doivent être clairement indiqués pour équilibrer le diagnostic.
- Être mis à jour et basé sur des références bibliographiques fiables et accessibles.
- S’il est basé sur des algorithmes de calcul : lesdits algorithmes doivent être scientifiquement garantis et testés régulièrement pour s’assurer de leur fiabilité.
- S’il est basé sur une interprétation humaine : cette interprétation doit être assurée par un professionnel compétent et identifiable.
Enfin, dans une logique de transparence, la HAS recommande de mentionner les éventuels liens d’intérêt des auteurs ainsi que les sources de financement de l’application et de fait. Il s’agit ici d’assurer la neutralité des contenus.
2/ Précision technique de la mesure des données
Un utilisateur peut légitimement s’interroger lorsque deux applications ou deux objets concurrents mesurent différemment les mêmes données. Concrètement, comment l’utilisateur peut-il avoir confiance en la e-santé lorsque deux applications divergent fortement sur sa pulsation cardiaque ?
A défaut de pouvoir uniformiser les méthodes, la HAS préconise sur ce point une meilleure précision dans la mesure des données qui fera la différence entre une application précise et une qui ne l’est pas :
- La mesure doit être paramétrée selon un étalonnage reconnu et doit mentionner le niveau de précision ou la marge d’erreur éventuelle.
- L’app ou l’objet connecté doit indiquer les distinctions de performances de la mesure en vie réelle et dans des contextes d’utilisation propres à l’application (en mouvement et dans des températures variables par exemple).
3/ Facilité d’utilisation et accessibilité
L’utilisation de l’application ou de l’objet doit être simple, intuitive et accessible.
- La HAS recommande que l’objet ou l’application soit utilisable par les personnes en situation de handicaps visuel ou auditif notamment et qu’une assistance soit proposée (foire aux questions, chatbot, aide en ligne ou hotline).
- Des options d’adaptation de l’utilisation en fonction du niveau ou des besoins de l’utilisateur, de synchronisation des données avec plusieurs appareils
- Un système d’alerte en cas d’erreur ou de mésusage de l’application ou objet doit aussi être automatisé.
4/ La sécurité nécessaire d’un traitement de données « sensibles »
La cyber sécurité est plus que jamais au cœur de l’actualité après une récente attaque mondiale de piratage des données. Les données de santé sont des données personnelles hautement sensibles car plus que la personnalité de l’individu, elles concernent son intimité et son intégrité.
C’est pourquoi, les applications ainsi que les processus de traitement comme de transfert jusqu’au stockage de données doivent répondre à des exigences strictes et notamment :
- L’utilisateur doit être clairement informé des données collectées, de leur finalité, mais également des personnes destinataires ou encore des mesures de sécurité prévues pour assurer la confidentialité des traitements
- La minimisation des données doit être opérée, concrètement, le type et la quantité de données récupérées doivent être pertinentes et correspondre strictement à la fonction de l’application.
- Ensuite, les données doivent être rendues confidentielles par pseudonymisation dès la collecte de celles-ci (c’est-à-dire associées à un pseudonyme et non à l’identité réelle de l’utilisateur)
- Les données doivent également être chiffrées utilisant des suites cryptographiques, dès le départ et jusqu’à la transmission à l’hébergeur.
- Cet hébergeur, agréé pour collecter des données de santé, doit procéder à la vérification de l’intégrité et de l’authenticité des données transférées.
- La durée et les délais de conservation des données sur le serveur doivent être annoncés à l’utilisateur et il doit être possible à tout moment de demander l’arrêt de leur collecte et leur suppression.
- La sécurité du serveur doit être régulièrement évaluée et adaptée. En cas de violation de données ou d’incident de sécurité, les autorités compétentes (ANSSI, CNIL, autorités judiciaires) doivent être prévenues.
La HAS prévoit un régime qui gradue en fonction des risques (recommandations, conseils, obligations) servant de guide à l’appréciation de la conformité d’un projet e-santé (IoT, app etc.).
Réflexes Juridiques – Data Compliance & e-santé
Suivant le principe de Privacy by Design instauré par l’article 25 du Règlement Général Européen pour la Protection des Données du 26 avril 2016 (ci-après RGPD), les porteurs de projets e-santé devront s’assurer dès le moment de la conception de leur apps ou de leur objet connecté d’une parfaite conformité à la réglementation applicable en matière de protection des données et de la vie privée.
Concrètement cela signifie d’être en capacité de justifier du respect du référentiel élaboré par la HAS tel que décrit ci-avant.
Cela signifie également de répondre aux exigences générales de la réglementation « informatique et libertés » dont le non-respect pourra être sanctionné par des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial.
Les mesures organisationnelles et techniques mises en œuvre par les porteurs de projet e-santé seront ici au cœur du dispositif. Ces mesures devront être logiquement pilotées par le Délégué à la Protection des Données (Data protection Officer-DPO) et comprendront principalement :
La Cartographie des traitements opérés à partir du dispositif connecté ou de la solution e-santé
La formalisation ou la consolidation d’un « référentiel sécurité » intégrant notamment Charte « Utilisateurs des SI », Charte Administrateurs, Politique d’habilitation, Politique de gestion des incidents, Plan d’assurance sécurité ou encore politique de conservation et d’archivage des données
La réalisation d’une étude d’impact incluant des tests d’intrusion
Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients du secteur de l’e-santé dans la mise en conformité de leurs traitements en vue de la sécurisation de ceux-ci.
Le cabinet HAAS propose à ce titre l’externalisation de la fonction CIL/DPO, la réalisation d’études d’impact (PIA), la formalisation de référentiels sécurité ou encore la dispense de formations relatives aux enjeux de la loi informatique et libertés dans le cadre d’une offre globale de DataCompliance.
Pour en savoir sur ces prestations : Cliquez ICI