Les éditeurs, d’une part, doivent être vigilants dans le déploiement de leurs idées et concepts dans la mesure où le secteur sanitaire fait l’objet de diverses réglementations spécifiques et contraignantes qui ne peuvent être ignorées dont le respect participe, au surplus, à la confiance nécessaire accordée par les clients.
D’autre part, les professionnels et établissements de santé doivent également s’astreindre à la vérification de la fiabilité et de conformité de leurs outils à la réglementation au regard du fait qu’ils demeurent responsables de leur utilisation.
Cet article a vocation à présenter, de façon non-exhaustive, les différents points de vigilance que les éditeurs de logiciels ainsi que les utilisateurs doivent vérifier en amont de la commercialisation ou de l’utilisation d’un logiciel ou d’une application en santé au regard des enjeux réglementaires (et sanctions associées), de confiance et d’éthique.
- Hébergement de données de santé : le Code de la santé publique prévoit l’obligation pour les hébergeurs de données de santé recueillies à l’occasion d’activité de prévention, de diagnostic, de soins ou de suivi social et médico-social pour le compte des professionnels de santé ou du patient, d’être certifiés. Plusieurs activités d’hébergement de données de santé sont définies par le Code de la santé publique et précisées par le référentiel de certification HDS. La réalisation d’une activité d’hébergement de données de santé sans être titulaire de la certification requise est punie d’une peine de trois ans d’emprisonnement et 45 000 euros d’amende (le montant de l’amende étant quintuplé pour les personnes morales), outre les sanctions susceptibles d’être prononcées en application du Règlement général sur la protection des données (RGPD) .
- Accord de traitement des données : l’utilisation d’un logiciel en santé implique, tant pour l’éditeur du logiciel que pour l’utilisateur, professionnel ou établissement de soins, un traitement de données de santé impliquant deux acteurs et devant faire l’objet d’un contrat encadrant le traitement des données de santé. Le plus souvent, l’éditeur exercera une mission d’hébergement (en SaaS) ou de maintenance sur le logiciel qui induira une qualification de sous-traitance de données à caractère personnel, alors que le professionnel interviendra en qualité de responsable de traitement. Au-delà du respect des clauses minimales obligatoires prévues par le Règlement général sur la protection des données, les accords de protection des données s’avèrent souvent stratégiques et doivent être adaptés à la situation de l’organisme concerné.
- Traitement de données de santé et conséquences : un traitement de données de santé est par principe interdit, sauf à répondre à l’une des exceptions prévues par le RGPD, et peut nécessiter d’effectuer des formalités préalables auprès de la CNIL selon les circonstances du traitement. Au surplus, le traitement de données de santé est susceptible d’impliquer la réalisation d’une analyse d’impact relative à la protection des données.
- Mesures de sécurité : pour mémoire, les responsables de traitement et les sous-traitants sont tous deux soumis à une obligation de sécurité en vertu de laquelle ils doivent mettre en place des mesures de sécurité adaptées au risque, et sont fréquemment sanctionnés, quel que soit leur statut, du fait de manquements à cette obligation. La description, la prise de connaissance et l’étude des mesures de sécurité au stade de la signature du contrat constituent une étape cruciale pour l’ensemble des acteurs. Au surplus, il convient d’être vigilant aux dispositions du règlement sur la cyberrésilience applicable, dans la majorité de ses dispositions, au 11 décembre 2027, qui prévoit, notamment, des exigences de cybersécurité pour les produits comportant des éléments numériques, sans toutefois s’appliquer aux dispositifs médicaux.
- Qualification de dispositif médical : un dispositif médical est un instrument, appareil, logiciel destiné par le fabricant à être utilisé, seul ou en association, chez l’homme pour une finalité médicale (par ex. diagnostic, aide au diagnostic) et dont l’action voulue dans ou sur le corps humain n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens. Tous les logiciels impliquant le traitement de données de santé et un usage dans le secteur sanitaire ne sont pas des dispositifs médicaux. Ce point doit néanmoins impérativement être vérifié avant la mise à disposition sur le marché au regard des exigences de marquage CE, des règles spécifiques en matière de publicité et des sanctions pénales attachées.
- Règlement sur l’IA : la nouvelle réglementation sur l’intelligence artificielle, dont l’application est prévue à compter du 2 août 2026 en principe, avec des applications anticipées pour certaines dispositions et plus tardives pour d’autres, prévoit diverses obligations pour les fournisseurs et les déployeurs de systèmes d’intelligence artificielle à haut risque. Il conviendra donc de vérifier d’une part, si le logiciel embarque un système d’intelligence artificielle et d’autre part, s’il répond à la qualification de système d’IA à haut risque : soit parce qu’il intervient dans les domaines répertoriés par l’Annexe III dudit Règlement, soit parce qu’il est destiné à être utilisé comme composant de sécurité d’un produit (notamment un dispositif médical) et que ce produit est soumis à une évaluation de conformité par un tiers en vue de la mise sur le marché.
- Identification des clauses essentielles dans les contrats. Comme tous les contrats, et notamment dans les contrats informatiques, de nombreuses clauses s’avèrent essentielles et stratégiques tant pour l’éditeur que l’utilisateur. Il s’agit notamment des clauses visant à organiser et limiter, voire exclure, la responsabilité de l’éditeur, celles portant sur la disponibilité du logiciel, les délais de maintenance, la réversibilité des données, les modalités de résiliation ou encore la conformité réglementaire ou les mesures de sécurité.
Au regard des nombreuses spécificités réglementaires des logiciels dans le secteur de la santé, l’ensemble de ces éléments doit être anticipé en amont du déploiement et l’utilisation de tels outils.
