Par Gerard Haas et Amanda Dubarry, Avocats.
 
  • 225 lectures
  • Parution : 19 avril 2021

  • 4.97  /5
Guide de lecture.
 

Quelles sont les conséquences du RGPD sur les dispositifs médicaux ?

Un consortium international de plus de 250 journalistes a enquêté pendant plus d’un an sur la mise sur le marché des dispositifs médicaux. Les journalistes ont alors constaté des défaillances concernant la sécurité, la traçabilité et l’efficacité des dispositifs médicaux.

Un consortium international de plus de 250 journalistes a enquêté pendant plus d’un an sur la mise sur le marché des dispositifs médicaux. Les journalistes ont alors constaté des défaillances concernant la sécurité, la traçabilité et l’efficacité des dispositifs médicaux.

Pour autant, les incidents liés à ces dispositifs demeurent sous-évalués selon les propres déclarations de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM), venant ternir la confiance des patients envers la médecine moderne.

Au-delà des préoccupations sociétales et sanitaires, cette affaire est l’occasion de se pencher sur l’encadrement des dispositifs médicaux au regard du règlement général sur la protection des données du 26 avril 2016 (RGPD).

1. Qu’est-ce qu’un dispositif médical au sens de la loi ?

L’article L5211-1 du Code de la santé publique définit les dispositifs médicaux comme

« tout instrument, appareil, équipement, matière, produit, à l’exception des produits d’origine humaine, ou autre article utilisé seul ou en association, y compris les accessoires et logiciels nécessaires au bon fonctionnement de celui-ci, destiné par le fabricant à être utilisé chez l’homme à des fins médicales et dont l’action principale voulue n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens. Constitue également un dispositif médical le logiciel destiné par le fabricant à être utilisé spécifiquement à des fins diagnostiques ou thérapeutiques.

Les dispositifs médicaux qui sont conçus pour être implantés en totalité ou en partie dans le corps humain ou placés dans un orifice naturel, et qui dépendent pour leur bon fonctionnement d’une source d’énergie électrique ou de toute source d’énergie autre que celle qui est générée directement par le corps humain ou la pesanteur, sont dénommés dispositifs médicaux implantables actifs ».

Ainsi, les dispositifs médicaux sont des « objets » implantés dans le corps humain soit pour venir palier certains dysfonctionnement ou par esthétisme. Ainsi, tant les prothèses ou les pacemakers que les implants mammaires entrent dans la catégorie des dispositifs médicaux.

2. En quoi est-ce qu’un dispositif médical collecte-t-il des données personnelles ?

Dans le cadre de leur utilisation, et comme le précise la définition du code de la santé publique, le logiciel - dès lors qu’il a une finalité médicale - est un dispositif médical actif. Il peut fonctionner seul ou en association avec un autre dispositif (capteurs, etc.).

Il va donc collecter des données personnelles des utilisateurs pour pouvoir notamment les analyser et aider à poser un diagnostic. Or, parmi les données collectées vont figurer des données de santé qui constituent des données sensibles au sens de l’article 9 du RGPD.

Les données de santé ont une appréciation large.

Non seulement elles concernant aussi bien la santé physique que mentale d’un individu mais également tout croisement de données susceptibles de donner une indication sur l’état de santé d’une personne physique.

La CNIL [1] estime qu’entrent dans cette définition :
- les données de santé par nature (maladies, traitements, etc.),
- les données qui, croisées avec d’autres données, permettant de tirer une conclusion sur l’état de santé d’une personne (le croisement du poids avec d’autres données telles que la taille, le nombre de pas, etc.),
- les données de santé par destination (ex : admission dans tel établissement hospitalier).

3. Quelles sont les règles à respecter sur le plan du RGPD ?

Précisons au préalable qu’un traitement impliquant des données de santé induit, par nature, le respect d’un certain nombre de dispositions du Code de la santé publique (ex : hébergement des données de santé, etc.).

Par ailleurs, le règlement européen 2017/745, refondu, qui encadre la fabrication et la commercialisation des « DM » et qui renforce les mesures de sécurité de ces dispositifs devrait entrer en vigueur en 2021.

L’objectif ici est de se focaliser sur les règles édictées par la loi informatique et libertés du 6 janvier 1978 modifiée et le RGPD.

Alors que le RGPD a considérablement allégé les formalités préalables en privilégiant la voie du registre de traitement (art.30 du RGPD) plutôt que de celle de la déclaration préalable, les traitements de santé suivent, pour leur part, un régime particulier :
- Soit les responsables de traitement peuvent se déclarer conforme à un référentiel adopté par la CNIL, ou une méthodologie de référence ;
- Soit ils devront se plier au processus d’autorisation préalable.

Les traitements présentant une finalité d’intérêt public, à l’instar des dispositifs médicaux, ne répondent à aucune méthodologie de référence. En conséquence, les responsables de traitement doivent procéder à une demande d’autorisation préalable auprès de la CNIL (article 66 de loi Informatique et libertés), qui se prononce dans un délai de 2 mois.

Afin d’appuyer son dossier auprès de la CNIL, le responsable de traitement devra répondre à un certain nombres d’exigences :
- Mener une analyse d’impact ;
- Mettre en place les mesures d’information et de collecte du consentement des futurs utilisateurs (politique de confidentialité, notice, etc.) ;
- Anticiper les demandes d’exercice de droits ;
- Conclure les « data agreement » avec les acteurs intervenant dans le traitement de données selon leur statut (co-responsable, sous-traitant, etc.) ;
- Documenter les mesures de sécurité techniques et organisationnelles mises en place etc...

La lourdeur de ce processus se justifie au regard des risques encourus par les patients sur leur vie privée (fuite des données, divulgation, réutilisation de ces données à mauvais escient, etc.).

En effet, les risques liés aux dispositifs médicaux ne se cantonnent pas à l’aspect physique - qui est de loin, le plus dangereux pour l’intégrité du corps humain -, mais peuvent également atteindre la personne dans sa sphère la plus intime, le secret médical.

Gerard Haas
Docteur en droit
Avocat associé fondateur du Cabinet HAAS Avocats

Amanda DUBARRY
Collaboratrice au sein du Cabinet HAAS Avocats

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

Notes de l'article:

A lire aussi dans la même rubrique :



Profitez-en !

C'est seulement aujourd'hui sur Le Village de la Justice:

Abonnez-vous à La Base Lextenso - 2021 est offert !

Demain une autre offre !


LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs