Par Cécile Théard-Jallu et Jean-Marie Job, avocats associés. De Gaulle Fleurance & Associés
M-santé?: quelques réflexes à avoir pour le laboratoire éditeur d’application
Avec plus de 17 000 références présentes à ce jour dans les stores, les applications pour smartphones et tablettes en matière de santé attirent de plus en plus les laboratoires pour les atouts notamment médicaux qu’elles représentent. Voici un rappel de quelques principes juridiques à considérer avant de lancer un tel outil sur le marché.
Les applications de m-santé sont en progression constante (multiplication par 7 du chiffre d’affaires en 2011 avec 718 M$). Base de données médicales, presse, formation, auto-suivi, télésurveillance… les usages sont multiples et visent à faciliter à la fois la vie du patient et celle des professionnels de santé. Cette technologie d’avenir de plus en plus prisée par les laboratoires pharmaceutiques soulève des questions juridiques principalement liées à la médecine par Internet, l’éducation thérapeutique, aux données personnelles des patients et dispositifs médicaux. Voici quelques exemples de réflexes à avoir, déclinés selon que l’application fournit un simple contenu ou permet une interaction d’acteurs avec collecte de données.
Simple fourniture de contenu
Les restrictions en matière de publicité pour les médicaments, notamment l’interdiction de toute publicité pour un médicament remboursable ou sur prescription si elle n’est pas destinée à des professionnels, rendent étroites les possibilités pour les laboratoires, qui sont sous le contrôle de l’ANSM, d’éditer des applications de m-santé à destination du grand public. Ils peuvent cependant choisir de s’adresser aux professionnels de santé, en particulier les médecins. Quel que soit l’usager, au-delà des principes généraux régissant l’édition de contenu internet tous types confondus (interdiction de contenu illicite, respect de la propriété intellectuelle de tiers, etc.), les industriels devront veiller à appliquer les règles spécifiques à l’édition de contenu médical prévues par la loi notamment : respect du secret médical, fourniture de données confirmées par la science, avec prudence, en ayant le souci des répercussions de la diffusion auprès du public, interdiction de diffuser tout nouveau procédé de diagnostic ou de traitement non suffisamment éprouvé dans le public non médical ou de le faire auprès d’un milieu médical sans les réserves nécessaires… Le contenu de l’application ne devra pas constituer un programme d’apprentissage ou d’éducation thérapeutique qui ne peut être ni élaboré ni mis en œuvre en direct par un laboratoire pharmaceutique même s’il peut y contribuer. Tout en encadrant ces deux notions, le Code de la santé publique laisse toutefois des possibilités de communication auprès des patients. Les recommandations du CNOM à l’égard des industriels éditeurs de sites web à destination des médecins, sous réserve de leur portée juridique, sont également à considérer (par ex. : nécessaire qualité et fiabilité des informations fournies, respect de l’indépendance du médecin). Malgré l’absence de collecte directe de données personnelles par l’application, la question du respect de la vie privée se pose déjà : le rapprochement entre données de téléchargement et de connexion (nom, n° tél., géolocalisation…) et choix de l’application pourrait permettre de déceler une sensibilité médicale particulière de l’usager générant ainsi des données de santé (ex. : application d’aide au relevé de glycémie utilisée régulièrement par un individu souffrant peut-être de diabète) avec le risque d’usage détourné que cela induit (assureur, banque, employeur…).
Stockage local de données personnelles de santé
Ici, l’usager ne communique a priori pas ses données de santé qui restent stockées dans son mobile. Le but est que le patient dispose de ces données pour une simple auto-surveillance (ex. : prise de la tension) ou une communication ultérieure à son médecin hors Internet. Toutefois, le risque d’une atteinte à la vie privée existe là encore du fait du possible recoupement entre données d’identification et choix d’une application de m-santé spécifique. Le responsable du traitement des données, à savoir celui qui en définit les finalités et moyens, devra en assumer les obligations. Selon le contexte, le patient sera responsable du traitement des données conservées en local tandis que l’exploitant de la plateforme Internet de téléchargement de l’application sera responsable des données qui y sont collectées. Le professionnel de santé recueillant les données du patient dans ses dossiers électroniques, par exemple lors d’une visite de contrôle, pourra lui-même être considéré comme responsable.
Application visant la collecte de données de santé
Qu’il s’agisse d’un utilisateur fournissant ses propres données ou d’un professionnel transmettant les données d’un patient au moyen d’un dispositif mobile (ex. : service hospitalier utilisant des smartphones en réseau pour centraliser les résultats de prélèvements sanguins), l’édition d’applications visant une collecte et un traitement de données personnelles de santé, est évidemment soumise à la loi Informatique et Libertés. Le cadre est strict : nécessité de déclarer le traitement à la CNIL sauf existence d’un CIL, autorisation spécifique à obtenir dans certains cas, usages des données limitativement définis par la loi, obligation de préserver leur sécurité, confidentialité et intégrité, interdiction d’usage commercial, communication aux tiers très délimitée, information du patient, respect de ses droits d’accès, rectification, suppression…, temps de conservation des données limitées selon la finalité, etc. Les professionnels de santé transmettant ces données ont eux aussi des obligations (notamment secret médical impliquant dans certains cas une anonymisation…). Est également en jeu l’exercice de la médecine (notamment prohibition des consultations médicales personnalisées à distance sans examen clinique du patient, nécessité de préserver sa sécurité et l’indépendance du médecin). La pratique de la télémédecine est en elle-même fortement encadrée.
Enfin, si l’application (notamment le logiciel avec lequel elle fonctionne) constitue un dispositif médical, les règles concernées devront être mises en œuvre (marquage, mise sur le marché, etc.).
Face à des technologies de plus en plus sophistiquées, les initiatives des organismes professionnels et des régulateurs devraient s’accentuer et les contrôles s’amplifier compte tenu des avantages de la m-santé pour soignés et soignants mais aussi des risques potentiels de responsabilité et de traitement illicite de données qu’elle engendre.
Les applications de m-santé sont en progression constante (multiplication par 7 du chiffre d’affaires en 2011 avec 718 M$). Base de données médicales, presse, formation, auto-suivi, télésurveillance… les usages sont multiples et visent à faciliter à la fois la vie du patient et celle des professionnels de santé. Cette technologie d’avenir de plus en plus prisée par les laboratoires pharmaceutiques soulève des questions juridiques principalement liées à la médecine par Internet, l’éducation thérapeutique, aux données personnelles des patients et dispositifs médicaux. Voici quelques exemples de réflexes à avoir, déclinés selon que l’application fournit un simple contenu ou permet une interaction d’acteurs avec collecte de données.
Simple fourniture de contenu
Les restrictions en matière de publicité pour les médicaments, notamment l’interdiction de toute publicité pour un médicament remboursable ou sur prescription si elle n’est pas destinée à des professionnels, rendent étroites les possibilités pour les laboratoires, qui sont sous le contrôle de l’ANSM, d’éditer des applications de m-santé à destination du grand public. Ils peuvent cependant choisir de s’adresser aux professionnels de santé, en particulier les médecins. Quel que soit l’usager, au-delà des principes généraux régissant l’édition de contenu internet tous types confondus (interdiction de contenu illicite, respect de la propriété intellectuelle de tiers, etc.), les industriels devront veiller à appliquer les règles spécifiques à l’édition de contenu médical prévues par la loi notamment : respect du secret médical, fourniture de données confirmées par la science, avec prudence, en ayant le souci des répercussions de la diffusion auprès du public, interdiction de diffuser tout nouveau procédé de diagnostic ou de traitement non suffisamment éprouvé dans le public non médical ou de le faire auprès d’un milieu médical sans les réserves nécessaires… Le contenu de l’application ne devra pas constituer un programme d’apprentissage ou d’éducation thérapeutique qui ne peut être ni élaboré ni mis en œuvre en direct par un laboratoire pharmaceutique même s’il peut y contribuer. Tout en encadrant ces deux notions, le Code de la santé publique laisse toutefois des possibilités de communication auprès des patients. Les recommandations du CNOM à l’égard des industriels éditeurs de sites web à destination des médecins, sous réserve de leur portée juridique, sont également à considérer (par ex. : nécessaire qualité et fiabilité des informations fournies, respect de l’indépendance du médecin). Malgré l’absence de collecte directe de données personnelles par l’application, la question du respect de la vie privée se pose déjà : le rapprochement entre données de téléchargement et de connexion (nom, n° tél., géolocalisation…) et choix de l’application pourrait permettre de déceler une sensibilité médicale particulière de l’usager générant ainsi des données de santé (ex. : application d’aide au relevé de glycémie utilisée régulièrement par un individu souffrant peut-être de diabète) avec le risque d’usage détourné que cela induit (assureur, banque, employeur…).
Stockage local de données personnelles de santé
Ici, l’usager ne communique a priori pas ses données de santé qui restent stockées dans son mobile. Le but est que le patient dispose de ces données pour une simple auto-surveillance (ex. : prise de la tension) ou une communication ultérieure à son médecin hors Internet. Toutefois, le risque d’une atteinte à la vie privée existe là encore du fait du possible recoupement entre données d’identification et choix d’une application de m-santé spécifique. Le responsable du traitement des données, à savoir celui qui en définit les finalités et moyens, devra en assumer les obligations. Selon le contexte, le patient sera responsable du traitement des données conservées en local tandis que l’exploitant de la plateforme Internet de téléchargement de l’application sera responsable des données qui y sont collectées. Le professionnel de santé recueillant les données du patient dans ses dossiers électroniques, par exemple lors d’une visite de contrôle, pourra lui-même être considéré comme responsable.
Application visant la collecte de données de santé
Qu’il s’agisse d’un utilisateur fournissant ses propres données ou d’un professionnel transmettant les données d’un patient au moyen d’un dispositif mobile (ex. : service hospitalier utilisant des smartphones en réseau pour centraliser les résultats de prélèvements sanguins), l’édition d’applications visant une collecte et un traitement de données personnelles de santé, est évidemment soumise à la loi Informatique et Libertés. Le cadre est strict : nécessité de déclarer le traitement à la CNIL sauf existence d’un CIL, autorisation spécifique à obtenir dans certains cas, usages des données limitativement définis par la loi, obligation de préserver leur sécurité, confidentialité et intégrité, interdiction d’usage commercial, communication aux tiers très délimitée, information du patient, respect de ses droits d’accès, rectification, suppression…, temps de conservation des données limitées selon la finalité, etc. Les professionnels de santé transmettant ces données ont eux aussi des obligations (notamment secret médical impliquant dans certains cas une anonymisation…). Est également en jeu l’exercice de la médecine (notamment prohibition des consultations médicales personnalisées à distance sans examen clinique du patient, nécessité de préserver sa sécurité et l’indépendance du médecin). La pratique de la télémédecine est en elle-même fortement encadrée.
Enfin, si l’application (notamment le logiciel avec lequel elle fonctionne) constitue un dispositif médical, les règles concernées devront être mises en œuvre (marquage, mise sur le marché, etc.).
Face à des technologies de plus en plus sophistiquées, les initiatives des organismes professionnels et des régulateurs devraient s’accentuer et les contrôles s’amplifier compte tenu des avantages de la m-santé pour soignés et soignants mais aussi des risques potentiels de responsabilité et de traitement illicite de données qu’elle engendre.