Félicie DEBACKERE-KEIGNAN Avocate e-santé et DPO externalisée
Depuis le Règlement UE 2017/745 du 5 avril 2017 sur les dispositifs médicaux (DM), il ne fait plus aucun doute qu’un logiciel capable d’accomplir par lui-même une finalité médicale relèvera du statut des DM. Dans cette logique, le Conseil d’Etat a jugé dans un arrêt du 12 juillet 2018 que les logiciels d’aide à la prescription doivent être considérés comme des dispositifs médicaux au sens du droit de l’UE. Enfin, selon l’ANSM, l’autorité compétente en matière de dispositifs médicaux, une application pour téléphone mobile peut être qualifiée de DM.
Aussi, outre le respect de la règlementation spécifique aux DM, le respect de la protection des données de santé par les éditeurs de ces logiciels médicaux est essentiel.
Quelles données de santé peuvent être collectées par les logiciels médicaux ?
Selon le Règlement européen sur la protection des données (RGPD) (article 4, alinéa 15), les données concernant la santé sont « des données à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé qui révèlent des informations sur l’état de santé de cette personne. »
Cette définition, comprise de façon très large par la CNIL, comprend les données sur l’état de santé en général (bon ou mauvais), les données médicales, les données patient mais aussi les données sans lien apparent avec la santé physique ou mentale d’une personne mais qui combinées avec d’autres permettent de révéler l’état de santé de cette personne.
Quelles mesures de protection doivent être prises par les éditeurs de logiciels médicaux ?
Il est acquis, depuis l’entrée en application du RGPD, que les données de santé sont des données sensibles dont le traitement est soumis à des conditions particulières.
Par principe, le traitement des données de santé est interdit par le RGPD (article 9.1), sauf dans le cadre des exceptions précisées à l’article 9.2 du RGPD et à l’article 8 de la Loi Informatique et Libertés telles que : le consentement exprès de la personne concernée, le traitement nécessaire à la sauvegarde de la vie humaine, le traitement nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé ou par une autre personne à laquelle s’impose, en raison de ses fonctions, l’obligation de secret professionnel.
Dans le cadre de ces exceptions, le RGPD et le Référentiel de la Haute Autorité de Santé imposent tout particulièrement :
1/ la réalisation par l’éditeur d’une étude d’impact sur la vie privée (article 35 du RGPD) ;
2/ lorsque le consentement est requis, que l’éditeur mette la personne concernée en capacité de manifester sa volonté de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair ;
3/ que l’éditeur justifie la pertinence des données collectées par rapport à l’usage du logiciel et à l’intérêt de l’utilisateur ; il doit éviter toute dérive de collecte en masse ou d’utilisation malveillante ;
4/ que la collecte soit limiter aux données nécessaires à la finalité fixée ; ce principe de minimisation devant être exposé de manière transparente à l’utilisateur afin qu’il soit informé de manière objective sur l’utilisation de ses données ; à l’usage, le logiciel ne doit utiliser que ce qui est strictement nécessaire afin d’éviter la collecte ou l’utilisation abusive de données ;
5/ que les modalités d’hébergement des données suivent des principes règlementaires : recours à un hébergeur agréé ou certifié, sécurité de l’hébergeur, etc. ; un chiffrement des données stockées sur les serveurs distants, en complément du dispositif de chiffrement global proposé par le système d’exploitation doit être assuré ;
6/ que l’éditeur garantisse une sécurité appropriée des données de santé, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
7/ que l’éditeur mette en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : la pseudonymisation et le chiffrement des données de santé ; des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
Bonjour,
Si l’éditeur est bien concerné par la “privacy by design” et “by default” je n’ai jamais lu qu’il doive faire une analyse d’impact sur la vie privée, cette obligation vise le responsable de traitement.