Quelles sont les conséquences du RGPD sur les dispositifs médicaux ?

Quelles sont les conséquences du RGPD sur les dispositifs médicaux ?
⏱ Lecture 3 min

Par Amanda Dubarry

La récente affaire dite « Implant Files » a mis en lumière un manque de contrôle et de traçabilité des dispositifs médicaux.

En effet, un consortium international de plus de 250 journalistes a enquêté pendant plus d’un an sur la mise sur le marché des dispositifs médicaux. Les journalistes ont alors constaté des défaillances concernant la sécurité, la traçabilité et l’efficacité des dispositifs médicaux.


Pour autant, les incidents liés à ces dispositifs demeurent sous-évalués selon les propres déclarations de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM), venant ternir la confiance des patients envers la médecine moderne.

Au-delà des préoccupations sociétales et sanitaires, cette affaire est l’occasion de se pencher sur l’encadrement des dispositifs médicaux au regard du règlement général sur la protection des données du 26 avril 2016 (RGPD).

1. Qu’est-ce qu’un dispositif médical au sens de la loi ?

L’article L5211-1 du code de la santé publique définit les dispositifs médicaux comme « tout instrument, appareil, équipement, matière, produit, à l'exception des produits d'origine humaine, ou autre article utilisé seul ou en association, y compris les accessoires et logiciels nécessaires au bon fonctionnement de celui-ci, destiné par le fabricant à être utilisé chez l'homme à des fins médicales et dont l'action principale voulue n'est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens. Constitue également un dispositif médical le logiciel destiné par le fabricant à être utilisé spécifiquement à des fins diagnostiques ou thérapeutiques

Les dispositifs médicaux qui sont conçus pour être implantés en totalité ou en partie dans le corps humain ou placés dans un orifice naturel, et qui dépendent pour leur bon fonctionnement d'une source d'énergie électrique ou de toute source d'énergie autre que celle qui est générée directement par le corps humain ou la pesanteur, sont dénommés dispositifs médicaux implantables actifs.»

Ainsi, les dispositifs médicaux sont des « objets » implantés dans le corps humain soit pour venir palier certains dysfonctionnement ou par esthétisme. Ainsi, tant les prothèses ou les pacemakers que les implants mammaires entrent dans la catégorie des dispositifs médicaux.

2. En quoi est-ce qu’un dispositif médical collecte-t-il des données personnelles ?

Dans le cadre de leur utilisation, et comme le précise la définition du code de la santé publique, le logiciel – dès lors qu’il a une finalité médicale - est un dispositif médical actif. Il peut fonctionner seul ou en association avec un autre dispositif (capteurs, etc.).

Il va donc collecter des données personnelles des utilisateurs pour pouvoir notamment les analyser et aider à poser un diagnostic. Or, parmi les données collectées vont figurer des données de santé qui constituent des données sensibles au sens de l’article 9 du RGPD.

Les données de santé ont une appréciation large.

Non seulement elles concernant aussi bien la santé physique que mentale d’un individu mais également tout croisement de données susceptibles de donner une indication sur l’état de santé d’une personne physique.

La CNIL estime qu’entrent dans cette définition:

  • les données de santé par nature (maladies, traitements, etc.)
  • les données qui, croisées avec d’autres données, permettant de tirer une conclusion sur l’état de santé d’une personne (le croisement du poids avec d’autres données telles que la taille, le nombre de pas, etc.)
  • les données de santé par destination (ex : admission dans tel établissement hospitalier).

3. Quelles sont les règles à respecter sur le plan du RGPD ?

Précisons au préalable qu’un traitement impliquant des données de santé induit, par nature, le respect d’un certain nombre de dispositions du code de la santé publique (ex : hébergement des données de santé, etc.).

Par ailleurs, le règlement européen 2017/745, refondu, qui encadre la fabrication et la commercialisation des « DM » et qui renforce les mesures de sécurité de ces dispositifs devrait entrer en vigueur en 2021.

L’objectif ici est de se focaliser sur les règles édictées par la loi informatique et libertés du 6 janvier 1978 modifiée et le RGPD.

Alors que le RGPD a considérablement allégé les formalités préalables en privilégiant la voie du registre de traitement (art.30 du RGPD) plutôt que de celle de la déclaration préalable, les traitements de santé suivent, pour leur part, un régime particulier :

  • Soit les responsables de traitement peuvent se déclarer conforme à un référentiel adopté par la CNIL, ou une méthodologie de référence;
  • Soit ils devront se plier au processus d’autorisation préalable :

Les traitements présentant une finalité d’intérêt public, à l’instar des dispositifs médicaux, ne répondent à aucune méthodologie de référence. En conséquence, les responsables de traitement doivent procéder à une demande d’autorisation préalable auprès de la CNIL (article 66 de loi Informatique et libertés), qui se prononce dans un délai de 2 mois.

Afin d’appuyer son dossier auprès de la CNIL, le responsable de traitement devra répondre à un certain nombres d’exigences :

  • Mener une analyse d’impact ;
  • Mettre en place les mesures d’information et de collecte du consentement des futurs utilisateurs (politique de confidentialité, notice, etc.) ;
  • Anticiper les demandes d’exercice de droits ;
  • Conclure les « data agreement » avec les acteurs intervenant dans le traitement de données selon leur statut (co-responsable, sous-traitant, etc.)
  • Documenter les mesures de sécurité techniques et organisationnelles mises en place etc

La lourdeur de ce processus se justifie au regard des risques encourus par les patients sur leur vie privée (fuite des données, divulgation, réutilisation de ces données à mauvais escient, etc.).

En effet, les risques liés aux dispositifs médicaux ne se cantonnent pas à l’aspect physique – qui est de loin, le plus dangereux pour l’intégrité du corps humain -, mais peuvent également atteindre la personne dans sa sphère la plus intime, le secret médical.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans le cadre de leur mise en conformité au RGPD et les assiste auprès de la CNIL. Si vous souhaitez être accompagné dans vos démarches être conseillé dans le cadre de votre activité de e-santé : Contactez-nous ici

Amanda DUBARRY

Auteur Amanda DUBARRY

Suivez-nous sur Linkedin