Pratiques innovantes
15/04/2021

Dispositif médical connecté vs objet de santé connecté : quels périmètres ?

Le marché des produits de santé connecté connaît un essor sans précédent. Un contexte qui rend parfois difficile la distinction entre le dispositif médical communicant (DMC) et l’objet ou application de santé connecté. Où commence le médical? Où s’arrête le bien-être ?

Un bracelet connecté qui mesure la fréquence cardiaque est-il un dispositif médical communicant (DMC) ou un objet connecté de santé (OCS) ? Sur un plan juridique, il peut être soit l’un, soit l’autre. « Tout dépendra de la finalité que lui a assigné le fabricant », rappelle Cécile Vaugelade, directrice des affaires réglementaires au sein du Syndicat national de l’industrie des technologies médicales (Snitem). S’il juge que son produit de santé a vocation à être utilisé à des fins médicales telles qu’elles sont définies dans le règlement européen 2017/745, il sera considéré comme un dispositif médical. En d’autres termes, « un produit de santé utilisé chez l’homme pour une finalité diagnostique ou thérapeutique », précise Cécile Vaugelade. 
Qu’ils prennent la forme d’un implant, d’un équipement ou d’une application mobile, le DM doit répondre aux exigences spécifiques de sécurité et de bénéfice clinique de la réglementation européenne. Si tel est le cas, le produit obtiendra donc une certification attestant de sa conformité : le marquage CE médical. Il est indispensable à la mise sur le marché du DM et conditionne, entre autres, la possibilité d’être remboursé par l’Assurance maladie (1).
Applications et objets connectés de santé n’ont pas, quant à eux, de finalités médicales déclarés. Et en règle générale, ils sont dédiés aux secteurs de la prévention et du bien-être. Contrairement au dispositif médical connecté, ils n'ont pas été évalués par des études cliniques. Ces objets sont soumis au Code de la consommation et doivent respecter les dispositions du Règlement général sur la protection des données (RGPD).

Santé ou bien-être, une frontière floue

Sur « le papier », la différence entre un dispositif médical (DM) et un objet connecté de santé (OCS) paraît clair. L’un dispose du marquage CE, l’autre pas. Mais dans les faits, la frontière peut parfois paraître floue. 
« Avec la multiplication des solutions qui utilisent le numérique et le développement de l’intelligence artificielle, de plus en plus d’acteurs, souvent issus du monde de l’informatique, et de plus en plus de produits frontières font leur entrée sur le marché du numérique en santé, fait observer Cécile Vaugelade. Il existe une zone grise où se situent des produits de santé connectés qui peuvent utiliser des données de santé mais qui ne sont pas des DM comme le  cardiofréquencemètre auquel ont recours les sportifs pour connaître leur fréquence cardiaque de manière instantanée. Finalement, c’est presque du cas par cas. »
Certaines caractéristiques permettent toutefois de les distinguer notamment le marquage CE : le dispositif médical qu’il ait une fonction de télécommunication ou non, doit respecter la réglementation européenne. « Dès lors qu’il n’y a pas d’analyse de données du patient et que le résultat fournit une donnée générique ou un cas d’usage, le produit n’est pas considéré comme un dispositif médical », illustre Pierre Desmarais, avocat au barreau de Paris, spécialisé en droit du numérique, des données et de l’innovation. 
Selon l’Agence nationale de sécurité du médicament et des produits de santé (ANSM), « les fonctionnalités des dispositifs médicaux connectés couvrent l’échange de données (imagerie médicale, résultats de biologie), le pilotage d’un dispositif (programmation de pompes à perfusion ou de dispositifs implantables actifs), le suivi du patient à distance (surveillance de signes vitaux) ou la maintenance des produits »(2).

Que dit la loi ?

Sur le plan juridique, le DMC n’a pas de réalité juridique propre. « Le terme connecté renvoie simplement à l’ajout d’une fonction de communication à un dispositif médical », précise Me Desmarais. Pour autant, il doit respecter un socle juridique : le droit à la protection des données à caractère personnel notamment via le RGPD et la réglementation européenne propre aux dispositifs médicaux. Le règlement 2017/745 dont l’entrée en vigueur interviendra en mai 2021 s’adapte aux évolutions technologiques des DM et précise les exigences sur la dimension logiciel des DM. « Les fabricants vont notamment devoir mettre en œuvre des procédures de marquages CE renforcées », rapporte Cécile Vaugelade du Snitem.
Pour mémoire, le dispositif médical peut être un objet physique (pansement, prothèse, etc.), un logiciel autonome (logiciel de planification de traitement en radiothérapie), ou un objet qui utilise un logiciel (pompes à perfusion, stations de monitoring) (3)
Le développement de ces DM n’est pas sans poser la question de la sécurité informatique. « Les risques autour de la donnée sont majeurs, rappelle Me Desmarais. Le piratage des dispositifs médicaux, pacemakers, pompes à insuline, est aujourd’hui techniquement possible. » 
En France, si la sécurité informatique des DM est abordée dans différents textes liés à la santé connectée, « le dispositif médical n’en est pas l’objet principal, commentait l’ANSM en 2017 lors de la création d’un comité scientifique sur la cybersécurité des logiciels dispositifs médicaux. De la même manière, la réglementation européenne des DM ne couvre pas, ou de façon insuffisante, le risque d’attaque informatique des DM. »
A noter que ce comité scientifique de l’ANSM a élaboré une série de recommandations sur la cybersécurité (3) à destination des fabricants de DM.

La cybersécurité : un enjeu majeur

Lorsqu’il est utilisé dans un établissement hospitalier public, le dispositif médical connecté devrait impérativement se conformer à la politique de sécurité des systèmes d’information de l’Etat et, le cas échéant, au cadre réglementaire du Référentiel général de sécurité (4), lesquels imposent une homologation. « Le DM connecté devient un élément du système d’information, souligne Me Desmarais. Il est interconnecté avec celui de l’établissement hospitalier. C’est d’ailleurs à ce niveau qu’intervient la principale différence avec le dispositif médical standard ».
Pour le dispositif médical « logiciel », la logique est la même. « Un établissement hospitalier public ne peut pas mettre en œuvre un logiciel sans une homologation de sécurité obtenue par le responsable de la sécurité informatique, précise Me Desmarais. Bon nombre de praticiens voit d’abord le côté pratique d’un outil connecté et ne s’interroge pas sur l’enjeu de sécurité. » 
S’il n’est pas intégré au système d’information hospitalier, « le risque est de voir une partie du dossier patient externalisé sans que quiconque n’y ait accès, indique Me Desmarais. Les directions des établissements de santé doivent mener une politique forte sur les produits de santé connectés : soit on utilise ce qui est fourni par l’hôpital, soit c’est interdit, soit on valide l’utilisation d’un outil extérieur avec le service en charge de la sécurité informatique.»

Quelles répercussions pour le pharmacien hospitalier ?

La réflexion sur l’usage des produits de santé connecté doit être globale et « se faire en lien avec le responsable des achats et le responsable sécurité de l’établissement pour pouvoir déterminer quelles sont les contraintes qui seront imposées au fabricant que ce soit, par exemple, sur l’hébergement des données ou sur la maintenance du dispositif médical lorsqu’il y a une télémaintenance assurée », souligne Pierre Desmarais. Il faudra également s’assurer de la réversibilité des données, de l’interopérabilité des dispositifs médicaux connectés, etc. 
Pour l’avocat, la question de la formation est cruciale : « Le pharmacien hospitalier doit être formé à l’usage de ces dispositifs pour à son tour être en mesure de former les praticiens et/ou le patient qui peut être amené à l’utiliser à domicile. »

Sources

(1) Pour figurer sur la liste des produits et prestations remboursables par l’Assurance maladie, le dispositif médical doit être évalué, après obtention du marquage CE, par la Commission nationale d’évaluation des dispositifs médicaux et des technologies de santé (CNEDiMTS) de la Haute autorité de santé.
(2)  Création d’un comité scientifique sur la cybersécurité des logiciels dispositifs médicaux, Point d'Information, ANSM, octobre 2017.
(3) Cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie, Recommandations de l’ANSM, juillet 2019.
(4) Pris en application du décret du 2 février 2010, le référentiel général de sécurité s’impose aux systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et dans leurs relations avec les usagers. Il comprend les règles permettant de garantir aux citoyens et aux autres administrations un niveau de sécurité de leurs systèmes d’information adapté aux enjeux et risques liés à la cybersécurité. (Source Agence nationale de la sécurité des systèmes d’information).

Autres articles sur « Pratiques innovantes »

Information médicale

Une question sur un produit ? Un article que vous souhaitez consulter ? Besoin d'aide pour vos recherches bibliographiques ? Nous pouvons vous aider.

M-FR-00003422-2.0
Établi en août 2022