VIE JURIDIQUE LES APPLICATIONS SANTÉ : QUELLE RÉGLEMENTATION POUR QUELLE RESPONSABILITÉ ? Comme l’a récemment souligné le Cnom, plus de quatre médecins sur cinq estiment que « la santé connectée est une opportunité pour la qualité de soins » et 91 % jugent qu’elle est « une opportunité pour améliorer la prévention » des maladies chez les patients(1). La transformation numérique devrait en effet permettre un développement considérable de la médecine personnalisée et préventive, avec un profond bouleversement du système de santé en vue notamment d’une médecine potentiellement plus performante : confrontation à distance des diagnostics ; facilitation de la circulation de l’information médicale (échange de sons et d’images, traitement numérique en vue d’un diagnostic ou d’un soin, etc.) ; plus grande précocité du diagnostic et, en conséquence, des traitements ; traitements et gestes chirurgicaux (notamment les technologies de réalité augmentée) plus précis, efficaces et mieux ciblés. Si cette transformation numérique est sans doute l’une des plus spectaculaires c’est parce qu’elle introduit un media entre le professionnel et l’acte médical délivré au patient. Elle ouvre ainsi vers l’extérieur une relation profondément marquée par le rapport direct et immédiat au corps malade. Cette irruption de l’intermédiaire, technique ou communicationnelle, bouleverse en conséquence la façon de concevoir les différentes exigences juridiques. C’est spécialement le cas pour les applications santé dont la multiplication exponentielle (on en trouverait déjà plus de 100 000 !) représente un enjeu décisif de régulation. Ces applications sont à la fois la traduction d’un phénomène caractéristique de l’économie numérique et un instrument de santé à finalité plus ou moins médicale. Elles rendent encore plus prégnante la problématique du statut des produits-frontières entre la santé et le bien-être. Mais elles posent aussi de nouvelles questions liées à la société de l’information, notamment celle de la sécurité et de la circulation des données. 1. LE STATUT FRONTIÈRE : APPLICATION BIEN-ÊTRE / DISPOSITIF SANTÉ MOBILE 1.1. Les difficultés de qualification Les applications désignées comme « de santé » par les plateformes (AppleStore, Google, etc.) n’ont en réalité pas de régime juridique propre. Elles peuvent dans certains cas être de véritables dispositifs médicaux soumis à ce titre à une exigence de certification de conformité (marquage CE) et au contrôle de l’ANSM ou au contraire ne relever que d’applications de loisir non réglementées. Dans certains cas, le marquage CE et le statut de dispositif médical peuvent être utilisés à des fins exclusivement marketing, ce qui détourne la réglementation de sa finalité. Dans d’autres cas, l’absence de marquage CE, pour une finalité véritablement médicale, empêche un contrôle adéquat. S’ajoute enfin toute la difficulté de qualification pour les produits-frontières qui génère une forte insécurité juridique. Les autorités européennes savent d’ailleurs qu’un nombre très important d’applications ne sont pas conformes à la réglementation européenne(2). Une récente étude, commandée par la CNIL, sur la finalité des applications de santé, a classé celles-ci du plus haut risque (celles utilisées par les professionnels de santé) au plus bas (celles utilisées directement par le patient avec un suivi bien-être : nombre de pas, qualité du sommeil…). Elle conclut que chaque catégorie nécessite un niveau de régulation différent. L’utilisation des dispositifs de santé mobile (applications, objets connectés) comporte plusieurs risques sur la qualité de l’information fournie, la pertinence du diagnostic, l’efficacité des conseils prodigués et sur la sécurité qui entoure la collecte, le traitement et l’éventuelle exploitation ou ré-exploitation des données à caractère personnel des utilisateurs, l’impact sur le secret médical… L’application bien-être quant à elle devrait disposer d’un régime plus souple mais sous réserve de précautions. En effet, l’interprétation des résultats par l’utilisateur et l’absence de médiation du médecin comportent de nombreux risques du moins grave, le mauvais aiguillage, au plus grave, l’auto-médicamentation erronée. La variété des problématiques, voire des antagonismes dans certains cas, pourrait ainsi conduire à une recomposition de l’environnement réglementaire. 1.2. Quel avenir pour la réglementation : l’hypothèse d’une certification a priori Aux États-Unis, la Food and Drug Administration (FDA) a émis une recommandation le 25 septembre 2013 (mis à jour le 9 février dernier) précisant qu’elle serait en charge du contrôle des applications de m-santé(3). En France, l’idée d’un label voire d’une certification, permettant une régulation des objets et applications connectés et du phénomène du quantified self commence à faire son chemin. La solution proposée par le Conseil national du numérique serait de mettre en place un guichet unique Luc-Marie Augagneur pour traiter les demandes de catégorisation (dispositif médical, application bien-être ou autre)(4). Cette instance viserait à assurer que le dispositif commercialisé respecte la réglementation particulière à ce type de dispositif en s’appuyant sur les compétences des autorités existantes ; ministère de la Santé ou consortium regroupant l’ASIP (Agence des systèmes d’informations partagées de santé), l’ANSM (Agence Nationale de Sécurité du Médicament), la HAS (Haute autorité de santé) et la CNIL. Ce « guichet unique » aurait vocation à permettre au fabricant de déclarer le dispositif commercialisé, si celui-ci collecte des données personnelles de bien-être, voire de santé, alors même que ce dernier n’analyse pas les données ainsi collectées. Il serait alors utile que les critères de qualification des dispositifs de m-Santé soient harmonisés entre les autorités et guichets des différents États membres. … VIE JURIDIQUE DU SAMEDI 25 AVRIL AU VENDREDI 1ER MAI 2015 39 Vie juridique … 2. LA RESPONSABILITÉ INDUITE PAR LES APPLICATIONS DE SANTÉ 2.1. La gestion de données sensibles La collecte, le partage et l’utilisation des données personnelles et non personnelles de santé posent avec acuité la question du cadre juridique à mettre en place, afin de permettre à la fois l’innovation et la recherche dans un souci d’intérêt général, et le respect le plus strict de la vie privée et des droits individuels. Une récente étude montre d’ailleurs que si une grande partie du public se déclare intéressée par l’utilisation d’objets connectés en matière de santé, 70 % manifeste sa préoccupation à l’égard de ses données(5). À cet égard, ainsi de nombreuses questions déterminent le régime applicable. Elles ont principalement trait tant à la nature et à la qualification des données personnelles qu’aux modalités d’information des utilisateurs et de leur consentement. Mais l’exploitation de ces données et la possibilité de rendre anonymes certaines d’entre-elles dans la mesure où elles peuvent s’avérer utiles pour la prévention santé à l’échelon national (cas d’épidémie de virus par exemple) peuvent dans certains cas, constituer un compromis entre des exigences contraires. Pour le quantified self, il faut noter que les données sont produites par les utilisateurs. Pourtant, même si ces données touchent à l’intimité, les utilisateurs ont une large tendance à les partager. La CNIL s’inquiète ainsi de la sécurisation et de l’utilisation des données par les sociétés qui les collectent(6). Le rapport indique que les utilisateurs ont l’impression d’avoir un rapport direct avec ces données, « puisqu’ils en sont à l’origine », alors que les entreprises pourraient les céder, ou les utiliser à des fins non connues par les utilisateurs (7). La CNIL s’inquiète enfin de la frontière ténue entre le bien-être et la santé. En effet, les données de santé sont considérées comme sensibles et font l’objet d’une réglementation renforcée (8). Comme il décloisonne le rapport entre publicité et information, le numérique reconfigure les périmètres traditionnels de la santé. 40 2.2. Nouveaux risques, nouvelles responsabilités ? Enfin de nouveaux risques surgissent avec ces applications entraînant bien évidemment l’épineuse question de la responsabilité. En matière de sûreté, les capteurs à partir desquels fonctionnent les applications santé ont un degré de précision très variable, notamment en fonction de la finalité recherchée(9). La fiabilité de la technologie retenue est donc déterminante du risque selon l’usage qui en est fait. Par ailleurs, s’il se produit une erreur d’algorithme dans une application de suivi de grossesse par exemple, la recherche de la responsabilité se trouve largement complexifiée. L’algorithmisation du monde conduit à repenser tout le régime de la responsabilité civile sur lequel repose notre régulation du risque et notre système de réparation des dommages. Dans notre droit actuel, la responsabilité est l’issue d’une triple démonstration : une faute, un dommage et un lien de causalité entre eux. La faute suppose une décision consciente ou une négligence, en tout cas un fait de l’homme. Mais l’algorithme constitue une aide à la décision, notamment par la modélisation prédictive issue des données. Il faut donc prendre en compte cette interaction décisionnelle pour appréhender la responsabilité et la répartir entre l’usager et celui qui devrait éventuellement supporter le risque porté par l’algorithme qui n’est rien d’autre qu’un robot. De même, la question du lien de causalité se trouve bouleversée par le Big Data et l’algorithmisation. La prolifération des données et la puissance croissante des algorithmes permettent d’établir certains types de corrélations sans que nous soyons capables d’en expliquer la causalité scientifique. Si le modèle déductif s’imposait, c’est tout le régime de responsabilité qui changerait d’ère. Or, le domaine des applications santé constitue le terrain le plus propice pour que cet enjeu s’exprime. En matière de sécurité, de nombreuses applications sont piratables jusqu’à 90 mètres de distance comme c’est le cas avec les pacemakers. DU SAMEDI 25 AVRIL AU VENDREDI 1ER MAI 2015 VIE JURIDIQUE Nicolas Martin-Teillard Notre droit voit progressivement émerger, dans le contexte numérique, à la fois une exigence grandissante de devoir de sécurité informatique, mais aussi une multiplication de cybercriminalité. Une faille de sécurité peut dans certains cas engendrer la responsabilité pénale du gestionnaire du système. Dans d’autres cas, elle peut restreindre très fortement son droit à réparation en cas de cyber-attaque. La sécurité constitue donc un enjeu fondamental pour les applications de santé. L’ensemble de ces considérations fait apparaître un besoin de régulation nouveau, ne serait-ce que pour assurer un niveau de sécurité juridique satisfaisant. Pourtant, dans le même temps, nous assistons à un mouvement de privatisation des règles de fonctionnement des écosystèmes. Les superpuissances d’Internet, les Gafa tendent en effet à vouloir jouer les premiers rôles en matière de santé connectée. Pour le docteur Laurent Alexandre, tout repose sur l’idéologie transhumaniste. Le souhait de ces géants du web serait d’imposer le phénomène des NBIC (nanotechnologies, biotechnologies, informatique et sciences cognitives) malgré les atteintes à la vie privée ou la mise en péril de la confidentialité des données. Selon lui, « les «Gafa»(Google, Apple, Facebook, Amazon) vont avoir le monopole du contrôle de la m-santé pour les vingt ans à venir » (10). L’enjeu n’est pas seulement celui de la régulation technique mais aussi celui du cadre concurrentiel. ■■ Luc-Marie Augagneur, avocat à la cour, Associé, Département droit économique ■■Nicolas Martin-Teillard, avocat à la cour, Département propriété intellectuelle Lamy & Associés (Lyon / Paris) (1) http://www.latribune.fr/technos-medias/20150119tribf8387c82b/objets-connectes-lesmedecins-partages-entre-interet-et-mefiance.html (2) H. Guillaud, Les applications de santé en question http://internetactu.blog.lemonde. fr/2015/03/07/les-applications-de-sante-en-questions/ (3) http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM263366.pdf (4) https://contribuez.cnnumerique.fr/sites/default/files/media/synthese_pour_site_-_ sante_numerique_.pdf (5) Activité physique et prévention : des secteurs porteurs sur le marché des objets connectés, le Quotidien du Médecin, 13/03/205 (6) http://www.cnil.fr/les-themes/sante/fiche-pratique/article/donnees-de-sante-un-imperatif-la-securite/ (7) http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNIL_CAHIERS_IP2_ WEB.pdf (8) http://www.cnil.fr/linstitution/actualite/article/article/quantified-self-m-sante-le-corpsest-il-un-nouvel-objet-connecte/ (9) H. Guillaud, Les applications de santé en question, http://internetactu.blog.lemonde. fr/2015/03/07/les-applications-de-sante-en-questions (10) La Mort de la mort, comment la technomédecine va bouleverser l’humanité ? (Editions JC Lattès) de Laurent Alexandre cité dans l’article de P. Cappelli, « Santé le grand vertige numérique » - EcoFutur Libération 15 juin 2014.