7 clés pour réussir votre projet e-santé

Par Paul BENELLI et Stéphane ASTIER

Grâce à l’essor actuel des objets connectés, et à l’ouverture des données de santé dans le sillage des solutions dites de « Big Data », la « e-santé » connaît une croissance sans précédent.

Dès 2014, le potentiel du marché de l’e-santé en France était déjà estimé à près de 2.7 milliards d’euros avec 30.000 emplois à la clé[1].

Un grand nombre d’entreprises et de jeunes start-up se sont ainsi lancées sur ce marché prometteur, marché par ailleurs fortement soutenu par les initiatives gouvernementales françaises (Frenchtech, BPI).

Si les perspectives sont nombreuses, la bonne conduite des projets liés à l’e-santé suppose une prise en compte en amont de nombreuses contraintes juridiques.

 

I/ Qu’est-ce que la e-santé ?

L’e-santé est généralement définie comme l’application des technologies de l’information et de la communication au domaine de la santé et du bien-être[2]. Cette définition est toutefois particulièrement large.

Ainsi, pour définir plus précisément l’e-santé, il convient d’identifier les segments qui s’en réclament. A ce titre, plusieurs domaines distincts peuvent être utilement distingués :

 

II/ Comment assurer la conformité juridique des projets e-santé ?

Le succès de tout projet e-santé suppose en amont la définition du périmètre légal applicable et l’identification des contraintes réglementaires particulièrement nombreuses dans ce secteur. Une approche de « compliance » est ainsi indispensable pour assurer la sécurité juridique de l’activité.

Audit, étude de faisabilité juridique, gestion des risques, stratégie de positionnement business seront autant de points clés à aborder dès la phase de création du projet. Car en matière d’e-santé l’entreprise porteuse du projet qu’elle soit une start-up ou un grand groupe s’exposera à de lourdes sanctions administratives, pénales et financières si de telles précautions ne sont pas prises.

Sans qu’il s’agisse d’une liste exhaustive, voici plusieurs éléments importants à prendre en compte :

 

Défis majeur de tout projet e-santé, la mise en conformité des traitements au regard de la loi n°78-17 du 6 janvier 1978 modifiée relative à la l’informatique et aux libertés (ci-après loi IEL) est essentielle.

Les plateformes relatives à la santé sont en effet par nature susceptibles de traiter des données sensibles au sens de la loi. Le succès du modèle économique actuel de l’e-santé repose notamment sur le principe du « quantified self » qui conduit le patient à livrer toujours plus d’informations sur lui afin de mieux se soigner par lui-même. Cette nouvelle pratique pousse de nombreux utilisateurs à fournir des données de santé à des entreprises privées, soit volontairement en échange d’un service précis (ex : de la prise de rendez-vous, la recommandation d’un professionnel de santé,…), soit de manière plus inconsciente dans le cadre de l’utilisation d’un objet connecté.

Or, tout traitement (toute opération) sur une donnée de santé est en principe interdit dès lors qu’il permet d’identifier de manière directe ou indirecte, son titulaire[3]. Si plusieurs exceptions existent, leur mise en œuvre suppose toutefois de respecter des règles très strictes (Cf. notamment l’obtention d’une d’autorisation préalable de la CNIL, le recours à un hébergeur agréé etc.).

Dans ce contexte, il est déterminant d’identifier les éventuels traitements de données sensibles, ce qui ne va pas de soi. En effet la donnée de santé n’est pas à proprement parler définie. Plus précisément, elle l’est de manière extrêmement large pour soumettre un maximum de traitements à l’encadrement strict des données dites « de santé ». Ainsi la loi « Informatique et libertés » du 6 janvier 1978 modifiée ne donne pas de définition de la donnée de santé. La CNIL, dans ses décisions, retient une définition très large selon laquelle une donnée de santé constitue toute donnée relative à la santé d’une personne ou susceptible de donner une indication sur son état de santé.

Finalement, seul le nouveau règlement européen, du 27 Avril 2016 définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. (…) toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro »[4].

La qualification juridique du traitement envisagé constitue donc une étape essentielle. De cette qualification pourra être dégagé le cadre juridique applicable à l’activité envisagée, les contraintes (limitation des données, obligations d’information, modalités d’hébergement, recueil du consentement etc.), autant d’éléments susceptibles d’impacter fortement le modèle économique envisagé comme les développements techniques etc.

 

Avec l’entrée en vigueur prochaine du Règlement Européen pour la protection des données (mi 2018), c’est l’ensemble des acteurs de l’e-santé – dès lors qu’ils traitent des données dites sensibles – qui devront se doter d’un Délégué à la Protection des Données.

Ce délégué (qui remplacera les anciens Correspondants Informatique et Libertés – CIL avec des missions toutefois plus étendues), aura notamment en charge d’établir le registre relatif aux traitements de données mis en œuvre dans le cadre du projet e-santé.

Cette précaution est d’ailleurs devenue obligatoire pour les hôpitaux (cf. https://www.haas-avocats.com/data/vers-une-designation-obligatoire-des-dpo-dans-les-hopitaux/).

 

Tout responsable de traitement, qui plus est de données de santé, est tenu d’une obligation de sécurité renforcée selon l’article 34 de la loi Informatique et libertés. Il doit ainsi prendre toute mesure à même de garantir la sécurité et l’intégrité des données qu’il traite, et engage à défaut sa responsabilité personnelle.

Cette obligation de sécurité est largement renforcée par le caractère « sensible » des données dites « de santé ».

Le Règlement européen pour la protection des données contient également des dispositions venant accentuer cette obligation générale à travers le principe de Privacy by design (https://www.haas-avocats.com/project/mercredi-30-mars-2016-quelle-regulation-du-marche-des-donnees-pour-2016/). Selon ce principe, le porteur du projet e-santé devra s’assurer dès la conception de sa technologie ou du service qu’il s’apprête à proposer, que celui-ci n’est pas de nature à porter atteinte à la vie privée des utilisateurs ou de tiers.

Pour ce faire, il conviendra de procéder à la réalisation d’une étude d’impact (Privacy Impact Assessment, PIA – https://www.haas-avocats.com/ecommerce/cnil-application-bonnes-pratiques-securite-mise-conformite/) visant à analyser les risques et à définir les mesures pour neutraliser ces risques. Il est à noter que les obligations du Règlement sont assorties de sanctions particulièrement dissuasives pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial ou encore 20 millions d’euros.

 

Parmi les différentes mesures contrôlées lors de l’étude d’impact ou préconisées par celle-ci, figure la mise en place d’un « référentiel sécurité ».

A travers ce référentiel, le porteur du projet de e-santé, en sa qualité de responsable de traitement ou de sous-traitant (ex. solution SaaS de e-santé mis à disposition des professionnels de santé) devra se doter d’outils juridiques, organisationnels et techniques pour se protéger contre les failles de sécurité et autres brèches de confidentialité (vol de fichier, intrusion, hacking, etc.).

Parmi ces outils, (cf. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/), citons :

 

La déontologie  des professions médicales codifiée dans le code de la santé publique limite les informations et contenus qu’un professionnel de santé peut fournir sur internet.

De plus, la déontologie médicale encadre strictement les transferts de données susceptibles de contrevenir au secret médical, qui est un droit fondamental reconnu au malade et dont toute infraction est sanctionnée pénalement (https://www.haas-avocats.com/actualite-juridique/le-secret-medical/).

Le porteur de projet e-santé devra donc nécessairement mettre à disposition des professionnels de santé une plateforme correspondant aux standards fixés par les différents ordres des professionnels de santé, tout en prenant en compte que chaque Ordre (Chirurgien-dentiste, médecin,…) a sa propre doctrine en la matière.

 

La mise en œuvre de tout projet e-santé supposera la création d’une architecture contractuelle solide.

Qu’elle soit créée sous la forme d’une MarketPlace (cf. https://www.haas-avocats.com/ecommerce/cles-juridiques-pour-reussir-marketplace/), d’une solution SaaS ou sous forme de sites web standard, les solutions e-santé devront s’appuyer sur des contrats solides pour assurer la sécurité juridique de l’activité (ex. encadrement des fonctionnalités proposées dans les CGU) tout en renforçant la confiance des utilisateurs (ex. politique de confidentialité, Charte Cookies etc.)

 

Tout élément répondant à la définition de « dispositif médical » devra, pour sa mise sur le marché, et dès lors qu’il sera susceptible de représenter un risque pour la santé de ses utilisateurs, faire l’objet d’une certification européenne CE.

La qualification juridique du projet envisagé est là encore essentielle tant les implications d’une telle démarche de certification peuvent être nombreuses.

 

III/ Le Cabinet HAAS accompagne les porteurs de projet e-santé 

Bénéficiant d’une triple labélisation CNIL, le cabinet HAAS Avocats intervient depuis plusieurs années, de manière transversale, sur les problématiques inhérentes à l’e-santé, que ce soit en matière :

 

Pour toute demande d’information contacter nous ICI.

 

[1] DGE (Direction Générale des Entreprises) : « E-santé : faire émerger l’offre française en répondant aux besoins présents et futurs des acteurs de santé » Rapport final Février 2016

[2] Science & Santé, n°29 – Février 2016 « La e-santé, de quoi parle-t-on ? »

[3] Art. 8-I modifié de la loi n°78-17 du 6 janvier 1978

[4] Considérant 35 du règlement européen 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[5] Articles  R.4127-1 et suivants du Code de la Santé publique

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com