e-Santé : où est le droit ?

0
357

Marie BASTIAN Doctorante ATER au CRDP – EA 381 -Université Paris Nanterre

Le développement du numérique dans le domaine de la santé ne va pas sans soulever un certain nombre de questionnements, à la fois éthiques et juridiques. La e-Santé (au sein de laquelle on retrouve la télémédecine, l’informatique médicale, la santé connecté, la m-santé, la robotique médicale, l’intelligence artificielle, etc.) échappe d’autant moins aux discussions concernant les valeurs sociétales qu’il s’agit d’un domaine spécifique se situant au croisement de plusieurs enjeux éthiques : ceux liés au développement du numérique, et ceux concernant la pratique médicale.

Les réflexions relatives aux usages de la e-Santé et aux conséquences de leur évolution sur la pratique médicale et la santé des populations ne sauraient se faire exclusivement entre « spécialistes », à savoir entre professionnels de santé et informaticiens. Il convient désormais de mobiliser les disciplines relevant des sciences humaines, sociales et juridiques afin d’aborder les enjeux éthiques du développement de la e-Santé et d’interroger ses usages. Les évolutions scientifiques et techniques dans ce domaine sont en effet susceptibles de modifier profondément les représentations des individus quant à l’acte de soin, à leur propre santé et, de manière générale, la manière de penser la santé dans nos sociétés[1].

Si le bouleversement de la relation médicale, des pratiques professionnelles et de l’organisation du système de santé provoqué par le numérique est désormais acquis, les premières questions juridiques qui se posent face à de telles évolutions sont celles de la régulation et de la réglementation. C’est à l’Etat et aux puissances publiques qu’il revient de forger les politiques publiques permettant de favoriser l’innovation tout en sécurisant les relations entre industriels, patients et professionnels de santé. Cela suppose nécessairement l’existence d’un encadrement juridique. Pourtant, si des règles existent d’ores et déjà, l’effectivité de leur application ne va pas toujours de soi[2].

L’arsenal juridique existant actuellement, et applicable au domaine de la e-Santé, s’est principalement construit autour de deux régimes juridiques : celui du droit à la protection des données à caractère personnel (I), et celui des dispositifs médicaux (II).

I) e-Santé et données à caractère personnel

La question de l’encadrement juridique du traitement des données de santé est primordiale dans l’environnement de la e-Santé car les données personnelles sont au cœur des technologies de santé. Si l’on prend l’exemple des objets connectés de santé, c’est par le traitement des données automatiquement collectées que l’objet pourra ensuite proposer un service idoine à l’utilisateur, permettant ainsi une véritable personnalisation des soins. On ne pourrait donc pas obtenir un tel service sans accepter, en contrepartie, de communiquer ses données personnelles.

La complexité réside dans le fait de parvenir à trouver un équilibre entre une véritable ouverture et transparence des données de santé, notamment dans l’aide à l’établissement du diagnostic médical permise aujourd’hui par l’intelligence artificielle, tout en garantissant une véritable protection de ces données puisque leur utilisation par certains secteurs laisse poindre la possibilité d’abus de type discriminatoire, avec la technique dite du « profilage ». Le législateur devient ainsi un équilibriste pour défendre la protection des données personnelles, aujourd’hui droit fondamental inscrit dans la Charte des droits fondamentaux de l’Union européenne[3], tout en garantissant leur circulation pour ne pas freiner l’innovation puisque l’explosion des données et leur traitement permettent d’assurer une surveillance épidémiologique efficace et surtout de faire progresser la recherche.

Parmi l’arsenal juridique relatif au droit à la protection des données à caractère personnel déjà en place, il convient de citer la loi française Informatique et Libertés du 6 janvier 1978[4] et le nouveau règlement européen relatif au droit à la protection des données à caractère personnel (RGPD), adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018[5], qui définit, pour la première fois depuis l’apparition de ce régime dans les années 70, la donnée de santé.

Ainsi, sont désormais considérées comme données de santé « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mental passé, présent ou futur de la personne concernée»[6]. Les informations visées sont ensuite listées (maladie, handicap, donnée clinique ou thérapeutique, etc.), le texte européen indiquant également la provenance de ces données, à savoir un professionnel de santé, un hôpital, un dispositif médical, entre autres.

Ainsi, le champ de la définition donnée par le RGPD des données de santé se limiterait à l’univers médical stricto sensu. Or, la frontière de plus en plus ténue entre données de santé et données de bien-être[7] n’est pas définitivement tranchée par le législateur européen. Cela est regrettable puisque les données de bien-être peuvent tout à fait révéler des éléments sur la santé de l’individu, au même titre que des données diverses et ordinaires[8], qui, une fois recoupées, deviennent des indicateurs très sérieux sur l’état de santé actuel ou futur d’un individu.

Le Big Data en santé semble entrer directement en contradiction avec les grands principes de la protection des données qui sont la proportionnalité[9], la finalité[10] et la limitation dans le temps[11]. Le Big Data, au contraire, est une collecte massive, automatique, avec une conservation illimitée de tout ce qui existe sous une forme numérique, sans qu’il y ait nécessairement de finalité établie a priori. L’utilité et la finalité des données se manifesteront en cours de processus, grâce au Data Mining, et dont le potentiel d’innovation épistémologique et épidémiologique est désormais connu. La règlementation européenne pourrait ainsi se trouver marquée d’une obsolescence programmée pour inadéquation face à l’ampleur du Big Data.

D’autre part, le champ d’application de cette nouvelle réglementation européenne est extra-territorial. Elle a vocation à s’appliquer aux entreprises qui ont leur siège en dehors de l’Union européenne, dès lors qu’elles proposent des biens ou des services sur le sol européen. Cela est particulièrement pertinent concernant la circulation des données en dehors de l’Union européenne et le stockage par un Cloud situé dans un pays hors Union européenne. En revanche, concernant le transfert des données personnelles aux Etats-Unis, il existe une particularité puisque la relation Union européenne – Etats-Unis est régie par un accord spécifique. Cela intéresse particulièrement le domaine de la santé numérique puisque les GAFA[12] investissent sérieusement ce domaine.

Depuis 2000, la relation Union européenne – Etats-Unis concernant le transfert de données personnelles était régie par l’accord Safe Harbor, invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne (CJUE) qui estimait alors la protection offerte par ce texte insuffisante. Un nouvel accord international a donc été conclu entre l’Union européenne et les Etats-Unis pour faire suite au Safe Harbor : le Privacy Shield, définitivement adopté le 12 juillet 2016 par la Commission européenne, et qui, malgré quelques améliorations notables, ne demeure pas moins insusceptible d’une nouvelle condamnation par la CJUE. En effet, ce texte a été conclu sous l’ancienne administration présidentielle américaine, et l’actuelle administration a adopté un décret d’amélioration de la sécurité publique au sein des Etats-Unis limitant la protection de la vie privée des étrangers, ce qui pourrait avoir un impact sur le Privacy Shield. Également, sur le fond, les obligations de transparence imposées aux entreprises américaines paraissent toujours moindres que celles imposées aux entreprises européennes, de nature à créer une distorsion de concurrence. Il convient aussi de noter l’absence de certains droit, notamment le droit à l’effacement (« droit à l’oubli »), désormais intégré dans le RGPD et ignoré dans le Privacy Shield, qui n’a donc pas anticipé l’entrée en vigueur du règlement européen.

II) e-Santé et dispositifs médicaux

Au niveau européen, comme dans le Code français de la santé publique, le régime juridique des dispositifs médicaux est clairement établi.

Un instrument est qualifiable de DM à condition d’entrer dans le champ d’une longue et dense définition : « tout instrument, appareil, équipement, logiciel, implant, réactif, matière ou autre article, destiné par le fabricant à être utilisé, seul ou en association, chez l’homme pour l’une ou plusieurs des fins médicales précises suivantes : diagnostic, prévention, contrôle, prédiction, pronostic, traitement ou atténuation d’une maladie ; diagnostic, contrôle, traitement, atténuation d’une blessure ou d’un handicap ou compensation de ceux-ci ; investigation, remplacement ou modification d’une structure ou fonction anatomique ou d’un processus ou état physiologique ou pathologique ; communication d’informations au moyen d’un examen in vitro d’échantillons provenant du corps humain, y compris les dons d’organes, de sang et de tissus, et dont l’action principale voulue dans ou sur le corps humain n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens »[13].

Les services d’e-Santé mettent en œuvre des produits vendus pour la réalisation de la prestation. Ceux-ci sont régis par la législation européenne sur la vente de marchandises qui garantit que le produit correspond effectivement à la description donnée par le vendeur[14]. L’appareil doit assurer des fonctions précises concordant avec ce qui est indiqué sur son emballage, être sûr et efficace. Il détient également des informations confidentielles sur la patiente, le matériel doit donc être protégé contre toute interférence extérieure pour éviter le piratage de ces données. Cette application de télésanté appartient à la catégorie des dispositifs médicaux implantables. De ce fait, il ne peut être mis sur le marché qu’à la condition de ne pas porter atteinte à la santé et à la sécurité des patients et de leurs utilisateurs sous peine de retrait et se trouve nouvellement régi par le règlement européen 2017/745[15].

La définition proposée des DM permet d’illustrer immédiatement la complexité et la technicité de la matière. Elle montre aussi l’hétérogénéité des objets concernés. Qu’y a-t-il de commun entre un abaisse-langue, un pansement, une seringue, un pacemaker, un stérilet, des électrodes, un cœur artificiel et un logiciel d’imagerie médicale ? « Ce constat, qui peut donner une impression d’inventaire à la Prévert, peut être éminemment perturbant, y compris pour les fabricants et les distributeurs »[16].

Il existe de nombreuses sous-catégories de DM et une grande variété de régimes applicables. La catégorisation principale repose sur des critères de risque suspecté[17] : quatre classes établies selon que le risque est faible (I)[18], faible à modéré (IIa)[19], modéré à élevé (IIb)[20] ou élevé (III)[21]. Ces classes renvoient à des régimes de mise sur le marché dont la rigidité est progressive. Dans la procédure la moins contraignante, il suffit au fabricant de produire ou d’actualiser une revue des connaissances sur son produit, d’établir une documentation technique sur ledit produit et de « certifier » lui-même que son produit est conforme aux normes en vigueur[22]. Suivant la procédure la plus exigeante, le fabricant devra réaliser des investigations cliniques et obtiendra une décision préalable explicite de la part d’un organisme certificateur habilité à contrôler la conformité de chaque produit aux normes techniques en vigueur[23].

La disparité des objets n’est donc finalement nullement dissimulée par l’unicité d’une problématique sanitaire ou d’un traitement juridique. La complexité réglementaire est au contraire particulièrement élevée.

La définition de DM fait jouer un rôle déterminant à la destination de l’objet : il doit être prévu par le fabricant qu’il sera utilisé, seul ou en association, chez l’homme à des fins médicales[24]. C’est donc l’intention du fabricant qui est décisive. L’utilisation en contexte médical n’entraîne pas per se la destination médicale, nombreuses sont celles qui présentent aussi un intérêt pour le marché de la grande consommation, dites de « bien-être ». Il suffit de penser aux instruments de mesure (poids, température, etc.) déclinés en version de vente directe pour le grand public et en version médicale.

Cette dualité d’usage prend désormais des proportions inédites du fait de la conjugaison de deux phénomènes. Le premier tient à la diffusion, auprès du grand public, d’appareils et de logiciels servant à suivre quotidiennement son état de santé. Sport, alimentation, sommeil, croissance infantile…les domaines pour lesquels une application Smartphone est disponible pour s’auto-mesurer ou s’auto-contrôler ne se comptent désormais plus[25]. La seconde évolution a lieu dans le milieu médical, où se déploie le souci de recueillir le plus de données possibles sur les patients en recourant notamment aux outils informatiques. Extrayant la relation de soin du temps de la consultation, ordinateurs et tablettes numériques deviennent des supports de recueil et de transmission d’informations.

Ceci crée une difficulté nouvelle sur le terrain de la qualification des instruments utilisés[26]. Certes, le droit positif fournit quelques réponses puisqu’il est expressément prévu qu’un logiciel puisse obtenir la qualification de DM, à titre principal ou accessoire[27]. Le règlement précise également que le logiciel est considéré « comme un dispositif actif »[28]. Cependant, ceci n’est possible que lorsque le logiciel est spécifiquement destiné par son fabricant « à une ou plusieurs des fins médicales visées dans la définition de la notion de dispositif médical ». Dans la foulée, il est précisé qu’un logiciel destiné à des usages relatifs au mode de vie ou au bien-être n’entre pas dans la catégorie des DM. On en revient donc à la question de la destination indiquée par le fabricant[29]. A cela s’ajoute la considération selon laquelle le logiciel doit, pour avoir une finalité médicale, ne pas se contenter d’enregistrer, de transmettre ou de conserver l’information : il doit la traiter au moyen de programmes ou d’algorithmes pour les analyser et en dégager des informations enrichies et/ou différentes de celles collectées initialement[30].

Conclusion

Il n’existe pas de dispositions juridiques spécifiques à la e-Santé, ou aux objets connectés. Seule la télémédecine, la protection des données à caractère personnel et les dispositifs médicaux sont réglementés. Mais les risques juridiques sont finalement déjà connus. Rien ne change en apparence. La loi Informatique et Libertés s’applique ici et là, offrant une protection réduite si la personne a consenti, car le consentement demeure au cœur du dispositif légal.

Un changement existe pourtant bel et bien : celui de l’échelle (la « scalabilité »), notamment avec les objets connectés. Les problèmes se multiplient en raison de la propagation des objets, la connexion devient permanente ou quasi permanente, la mondialisation provoque des difficultés pour agir en justice, et la crainte de ne pas maîtriser et contrôler ses données ne cesse de croître. Dès lors, il apparaît nécessaire de repenser certaines questions sociales, économiques, politiques et…juridiques.

Le décalage entre la lenteur des institutions et l’évolution exponentielle de la société de l’information prouve que le droit n’est pas, en l’état actuel, totalement armé pour ces nouveaux défis. Certes, les textes existent, en France et en Europe, mais ils ne sont pas suffisamment efficients parce qu’ils sont très souvent sous-appliqués.

Il importe donc de rester vigilant sur le respect de la vie privée des patients et de veiller à développer un suivi des dispositifs médicaux connectés. Si l’ouverture des données de santé permettrait de construire des politiques publiques plus efficaces, de donner enfin à la prévention toute sa place et sans doute de rationaliser les dépenses, si la maîtrise des données est aussi la clé pour arriver à mettre en place une médecine personnalisée, l’enjeu est de ne pas prendre de retard dans ce qui est devenu aujourd’hui une véritable compétition internationale – les GAFA s’intéressant déjà au secteur de la médecine génomique[31], ou au transhumanisme…

[1] Portail universitaire du droit, « E-santé : usages et enjeux éthiques », Colloque, 13 mars 2018.

[2] POIROT-MAZERES (I.), « E-Santé : de nouvelles règles pour empêcher les dérives », Magazine UT-Capitole, 19 septembre 2017.

[3] Charte des droits fondamentaux de l’Union européenne, 2000/C, 364/01, art. 8.

[4] L. n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO du 7 janvier 1978, p. 227.

[5] Règl. (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), JOUE L119/1, du 4 mai 2016, pp. 1-88.

[6] Cons. 35 du Règlement précité.

[7] Notamment issues des objets connectés de Quantified Self.

[8] Telles que des données de géolocalisation, des données sur la consommation, ou des données de navigation sur Internet.

[9] Ne collecter que les données nécessaires au but poursuivi.

[10] Ne collecter que les données dans un but identifié, déclaré, légitime.

[11] Les données doivent être effacées une fois le but atteint.

[12] Google, Apple, Facebook, Amazon.

[13] Règl. (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) n°178/2002 et le règlement (CE) n°1223/2009, et abrogeant les directives 90/385/CEE et 93/42/CEE du Conseil, JOUE L 117/1 du 5 mai 2017, art. 2, 1).

[14] Dir. 1999/44/CEE du Parlement européen et du Conseil du 25 mai 1999 sur certains aspects de la vente et des garanties des biens de consommation, JOCE n° L 171, p. 12.

[15] Op. cit. Règl. (UE) 2017/745.

[16] ADELE (P.-A.), « Droit des dispositifs médicaux : vers une réforme ou un simple réaménagement ? », RDSS, 2016, p. 930.

[17] Cette classification est fondée sur des critères qui correspondent à une synthèse entre la probabilité et la gravité des éventuels accidents. Explicitement, elle est fondée sur « les risques des dispositifs qui sont composés de substances ou de combinaisons de substances qui sont absorbées par le corps humain ou dispersées localement dans celui-ci. […] Les règles de classification devraient tenir compte de l’endroit où le dispositif agit, à l’intérieur ou à la surface du corps humain, de l’endroit où il est introduit ou appliqué et de l’absorption systémique ou non des substances dont est composé le dispositif ou des produits de métabolisme de ces substances dans le corps humain » (Règl. 2017/745, cons. 59, exposé des motifs).

[18] Ex. : gants d’examen, pansements, lèves-personne, abaisse-langue, bandes de contention, scalpels, fauteuils roulants, lunettes.

[19] Ex. : lentilles de contact, tensiomètre, thermomètres, échographes, appareils d’aide auditive, oxygénateurs, agrafes cutanées.

[20] Ex. : contraceptifs, préservatifs, implants dentaires, couveuses pour nouveaux nés, hémodialyseurs, pompes à perfusion, sutures internes, systèmes de radiothérapie.

[21] Ex. : pompes cardiaques, sondes d’aspiration aortique, prothèses articulaires de la hanche, du genou et de l’épaule.

[22] Art. R. 5211-34-1° C. santé publ. : la mise sur le marché des DM de classe I est soumise à une simple « déclaration CE de conformité ».

[23] Art. R. 5211-36-2 C. santé publ.

[24] Celles-ci étant certes définies largement (Régl. 2017/745, art. 2, 1)).

[25] On parle de « m-santé » pour désigner plus spécifiquement l’usage de terminaux mobiles (téléphones, smartphones et tablettes), sans que cette expression soit systématiquement bien distinguée de l’e-santé ou de la santé connectée. En 2016, le marché de la santé mobile pesait plus de 12,5 milliards de dollars (10,4 milliards d’euros), avec plus de 259 000 applications en santé recensées et 3,2 milliards de téléchargements dans le monde.

[26] BOSSI MALAFOSSE (J.), « À partir de quand peut-on qualifier un logiciel de dispositif médical ? », Dalloz IP/IT, 2016, p. 82.

[27] Règl. 2017/745, cons. 19.

[28] Règl. 2017/745, art. 2, 4), et not. est actif « tout dispositif dont le fonctionnement dépend d’une source d’énergie autre que celle générée par le corps humain à cette fin ou par la pesanteur (…) ».

[29] CJUE, 22 nov. 2012, aff. C-219/11 : à propos d’un logiciel destiné à des fins d’étude d’un processus physiologique sans revendication de finalité médicale, la CJUE rappelle qu’il ne suffit pas que le logiciel soit utilisé dans un contexte médical mais qu’il est encore nécessaire que sa destination soit spécifiquement médicale. Le problème paraît être identique aux USA : TOLOMEO (D. E.), CLARKE (L. A.), « Medical Devices : The Obvious, the Readily-Accepted, and the Surprisin », Journal Health Life Sciences Law, 2008, pp. 117-142.

[30] Op.cit. BOSSI MALAFOSSE (J.). Le manuel européen sur les produits frontières publié par la Commission européenne en juillet 2014 (version 1.16) considère ainsi qu’une application destinée aux femmes enceintes sur le point d’accoucher pour mesurer la durée des contractions et enregistrer des données alors transmises à un professionnel de santé n’est pas un DM, mais seulement un outil de communication entre le patient et le professionnel de santé.

[31] Op. cit. POIROT-MAZÈRES (I).

Laisser un commentaire