Protection des données et agrément ministériel
Le développement de la télémédecine a permis des progrès considérables en termes de santé publique. Certains soins sont devenus accessibles à des personnes isolées grâce à la téléconsultation et les appareils cardiaques implantés sauvent des vies chaque année. Cependant ces nouvelles technologies doivent être accompagnées d’une grande vigilance en matière de protection des données personnelles. En effet, un nombre important d’appareils, comme les défibrillateurs automatiques implantables (DAI), recueillent en permanence des données qui sont ensuite transmises au médecin traitant via des serveurs.
Le Code de la Santé publique (1) est très clair : les entreprises qui hébergent des données de santé à caractère personnel, recueillies à l’occasion d’activités médicales, doivent faire l’objet d’une certification afin d’être reconnues hébergeurs agréés de données de santé (HADS) et ce avant d’être mis sur le marché. Ces agréments sont en effet un élément essentiel de la protection des données. Il s’agit de s’assurer que les serveurs de stockage et les moyens de transmission de données sont suffisamment protégés contre la cybercriminalité et les tentations de revente sur le marché, très lucratif, des données personnelles.
En 2012 le Ministère de la Santé a insisté sur ce point dans son document (2) Recommandations pour la mise en œuvre d’un projet de télémédecine : les hébergeurs doivent disposer « obligatoirement de l’agrément ministériel. » Les demandes d’agrément sont étudiées par l’ASIP Santé, par la CNIL et par le Comité d’agrément (CAHD), un organe de l’ASIP.
Remboursement d’appareils non agréés
L’agrément d’hébergeur est un préalable à la prise en charge par la Sécurité Sociale des appareils en question. Pour faire partie de la liste des produits et prestations remboursables par l’Assurance Maladie (LPP), les médicaments et autre appareils médicaux doivent d’abord être conformes en tous points à la réglementation les concernant. C’est la Haute Autorité de Santé (HAS) en particulier qui veille à la conformité des produits pouvant être remboursés. Mais, plus habituée à traiter de médicaments et molécules au sens large, la HAS laisse parfois passer des technologies de santé dont l’évaluation de la conformité serait plus du ressort d’un spécialiste SSII. C’est en profitant de cette faille du dispositif d’évaluation que trois industriels de télémédecine ont obtenu de figurer sur la liste des produits remboursés, sans avoir été agréés HADS auparavant.
Biotronik, multinationale de technologies biomédicales basée à Berlin, a pu mettre sur le marché français son système de surveillance cardiaque à distance Home monitoring, avant d’avoir obtenu l’agrément HADS. En 2011 le Journal Officiel (3) le faisait figurer sur la liste des produits pris en charge par la Sécurité Sociale et c’est seulement en 2016 (4) qu’il obtient l’agrément HADS. De même la société américaine Boston Scientific a obtenu que son système de communication à distance d’un défibrillateur cardiaque Latitude, soit remboursable par la Sécu à la même date que Biotronik pour n’obtenir l’agrément qu’en 2015. Pire encore, la multinationale Medtronic, s’est vu inscrire son système de télétransmission Carelink en 2012 (5) et n’a toujours pas obtenu l’agrément HADS.
Ces incohérences se doublent parfois de conflits d’intérêts entre mondes médical et industriel. Par exemple, le Docteur Arnaud Lazarus, cardiologue à la clinique Ambroise Paré (Neuilly-sur-Seine), reconnaît dans sa déclaration d’intérêt être salarié du fabricant Biotronik France en tant que directeur médical… Mais cette précision est rarement mentionnée lors de ses interventions médiatiques en tant qu’expert de la télécardiologie (il a été membre de la Commission Télémédecine de la Société Française de Cardiologie), lesquelles intègrent parfois la promotion des produits de la société qui l’emploie.
Responsabilité des hôpitaux
Comment des produits non agréés se sont-ils retrouvés dans nos hôpitaux alors que les fabricants cités ci-dessus étaient ou sont encore en situation d’infraction vis-à-vis du Code de la Santé publique et contreviennent ouvertement aux recommandations explicites du ministère de la santé ?
Pour se faire accepter par les hôpitaux, les industriels usent de deux arguments. Tout d’abord ils présentent leurs produits comme étant « en cours d’agrément » ou « agréé au niveau européen ». Bien évidemment cela ne les dispense absolument pas de l’agrément qui doit être fait en France par l’organisme autorisé. Le second argument est précisément le fait de figurer sur la liste des produits remboursés par la sécurité Sociale. En effet, les médecins et établissements de santé vont nécessairement penser qu’un produit remboursé par la Sécu a obtenu toutes les autorisations légales. Mais en l’espèce, ils ont été trompés et en acceptant ces produits ils ont engagé leur responsabilité légale en ayant une confiance trop aveugle en notre système de contrôle.
Un système de contrôle inadapté
En France c’est la CNIL (Commission nationale de l’informatique et des libertés), dirigée par Isabelle Falque-Perrotin, qui est censée jouer ce rôle de contrôle de conformité à la loi sur le respect des données personnelles. Cette commission est une véritable institution en France et ses avis sont pris très au sérieux par les politiques et les entreprises sont tenus par leurs sanctions. Ironiquement, Délia Rahal-Löfskog, chef du service de la santé de la CNIL, affirmait en 2016 (6) dans un entretien donné au Journal du Net que respecter les normes devenait un argument concurrentiel pour les entreprises. Pourtant c’est en se passant de ces agréments que les sociétés Boston Scientific, Medtronic et Biotronik ont pu se retrouver plus rapidement sur le marché français. Un précédent inquiétant qui pose la question de l’efficacité de la CNIL face à cette véritable déferlante de nouvelles technologies de télémédecine.
1) https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000021941353&cidTexte=LEGITEXT000006072665
2) http://solidarites-sante.gouv.fr/IMG/pdf/Recommandations_mise_en_oeuvre_projet_telemedecine.pdf
3) https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=57F36A74F0B7F5962214B1B7B48B2FD9.tplgfr39s_2?cidTexte=JORFTEXT000023734250&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000023734009
4) http://www.dsih.fr/article/1934/biotronik-france-hebergeur-agree-de-donnees-de-sante-pour-son-activite-de-telecardiologie.html
5) https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=9A34EEFA2C599E6EB2942A4ED44CDC87.tplgfr39s_2?cidTexte=JORFTEXT000025193526&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000025193321
Le développement de la télémédecine a permis des progrès considérables en termes de santé publique. Certains soins sont devenus accessibles à des personnes isolées grâce à la téléconsultation et les appareils cardiaques implantés sauvent des vies chaque année. Cependant ces nouvelles technologies doivent être accompagnées d’une grande vigilance en matière de protection des données personnelles. En effet, un nombre important d’appareils, comme les défibrillateurs automatiques implantables (DAI), recueillent en permanence des données qui sont ensuite transmises au médecin traitant via des serveurs.
Le Code de la Santé publique (1) est très clair : les entreprises qui hébergent des données de santé à caractère personnel, recueillies à l’occasion d’activités médicales, doivent faire l’objet d’une certification afin d’être reconnues hébergeurs agréés de données de santé (HADS) et ce avant d’être mis sur le marché. Ces agréments sont en effet un élément essentiel de la protection des données. Il s’agit de s’assurer que les serveurs de stockage et les moyens de transmission de données sont suffisamment protégés contre la cybercriminalité et les tentations de revente sur le marché, très lucratif, des données personnelles.
En 2012 le Ministère de la Santé a insisté sur ce point dans son document (2) Recommandations pour la mise en œuvre d’un projet de télémédecine : les hébergeurs doivent disposer « obligatoirement de l’agrément ministériel. » Les demandes d’agrément sont étudiées par l’ASIP Santé, par la CNIL et par le Comité d’agrément (CAHD), un organe de l’ASIP.
Remboursement d’appareils non agréés
L’agrément d’hébergeur est un préalable à la prise en charge par la Sécurité Sociale des appareils en question. Pour faire partie de la liste des produits et prestations remboursables par l’Assurance Maladie (LPP), les médicaments et autre appareils médicaux doivent d’abord être conformes en tous points à la réglementation les concernant. C’est la Haute Autorité de Santé (HAS) en particulier qui veille à la conformité des produits pouvant être remboursés. Mais, plus habituée à traiter de médicaments et molécules au sens large, la HAS laisse parfois passer des technologies de santé dont l’évaluation de la conformité serait plus du ressort d’un spécialiste SSII. C’est en profitant de cette faille du dispositif d’évaluation que trois industriels de télémédecine ont obtenu de figurer sur la liste des produits remboursés, sans avoir été agréés HADS auparavant.
Biotronik, multinationale de technologies biomédicales basée à Berlin, a pu mettre sur le marché français son système de surveillance cardiaque à distance Home monitoring, avant d’avoir obtenu l’agrément HADS. En 2011 le Journal Officiel (3) le faisait figurer sur la liste des produits pris en charge par la Sécurité Sociale et c’est seulement en 2016 (4) qu’il obtient l’agrément HADS. De même la société américaine Boston Scientific a obtenu que son système de communication à distance d’un défibrillateur cardiaque Latitude, soit remboursable par la Sécu à la même date que Biotronik pour n’obtenir l’agrément qu’en 2015. Pire encore, la multinationale Medtronic, s’est vu inscrire son système de télétransmission Carelink en 2012 (5) et n’a toujours pas obtenu l’agrément HADS.
Ces incohérences se doublent parfois de conflits d’intérêts entre mondes médical et industriel. Par exemple, le Docteur Arnaud Lazarus, cardiologue à la clinique Ambroise Paré (Neuilly-sur-Seine), reconnaît dans sa déclaration d’intérêt être salarié du fabricant Biotronik France en tant que directeur médical… Mais cette précision est rarement mentionnée lors de ses interventions médiatiques en tant qu’expert de la télécardiologie (il a été membre de la Commission Télémédecine de la Société Française de Cardiologie), lesquelles intègrent parfois la promotion des produits de la société qui l’emploie.
Responsabilité des hôpitaux
Comment des produits non agréés se sont-ils retrouvés dans nos hôpitaux alors que les fabricants cités ci-dessus étaient ou sont encore en situation d’infraction vis-à-vis du Code de la Santé publique et contreviennent ouvertement aux recommandations explicites du ministère de la santé ?
Pour se faire accepter par les hôpitaux, les industriels usent de deux arguments. Tout d’abord ils présentent leurs produits comme étant « en cours d’agrément » ou « agréé au niveau européen ». Bien évidemment cela ne les dispense absolument pas de l’agrément qui doit être fait en France par l’organisme autorisé. Le second argument est précisément le fait de figurer sur la liste des produits remboursés par la sécurité Sociale. En effet, les médecins et établissements de santé vont nécessairement penser qu’un produit remboursé par la Sécu a obtenu toutes les autorisations légales. Mais en l’espèce, ils ont été trompés et en acceptant ces produits ils ont engagé leur responsabilité légale en ayant une confiance trop aveugle en notre système de contrôle.
Un système de contrôle inadapté
En France c’est la CNIL (Commission nationale de l’informatique et des libertés), dirigée par Isabelle Falque-Perrotin, qui est censée jouer ce rôle de contrôle de conformité à la loi sur le respect des données personnelles. Cette commission est une véritable institution en France et ses avis sont pris très au sérieux par les politiques et les entreprises sont tenus par leurs sanctions. Ironiquement, Délia Rahal-Löfskog, chef du service de la santé de la CNIL, affirmait en 2016 (6) dans un entretien donné au Journal du Net que respecter les normes devenait un argument concurrentiel pour les entreprises. Pourtant c’est en se passant de ces agréments que les sociétés Boston Scientific, Medtronic et Biotronik ont pu se retrouver plus rapidement sur le marché français. Un précédent inquiétant qui pose la question de l’efficacité de la CNIL face à cette véritable déferlante de nouvelles technologies de télémédecine.
1) https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000021941353&cidTexte=LEGITEXT000006072665
2) http://solidarites-sante.gouv.fr/IMG/pdf/Recommandations_mise_en_oeuvre_projet_telemedecine.pdf
3) https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=57F36A74F0B7F5962214B1B7B48B2FD9.tplgfr39s_2?cidTexte=JORFTEXT000023734250&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000023734009
4) http://www.dsih.fr/article/1934/biotronik-france-hebergeur-agree-de-donnees-de-sante-pour-son-activite-de-telecardiologie.html
5) https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=9A34EEFA2C599E6EB2942A4ED44CDC87.tplgfr39s_2?cidTexte=JORFTEXT000025193526&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000025193321