Dispositifs médicaux et RGPD : tous concernés

Par Pierre Le Guellec, Président de Yec’Hed Mat Conseil

La Rentrée du Dispositif Médical qui s’est tenue les 25 et 26 septembre dernier à Besançon a permis des échanges intéressants avec les congressistes. En effet, une petite révolution s’annonce dans le domaine du DM, puisque le 26 mai 2020 le nouveau règlement 2017/745 d’application obligatoire dans toute l’Europe, va voir le jour.

Si ce règlement focalise toutes les attentions dans le milieu du DM, la plupart des congressistes ne se sentent pas particulièrement concernés par le RGPD entré en application deux ans plus tôt. Et pourtant une lecture attentive du règlement 2017/745 permet de repérer l’article 110 qui explique très clairement que le RGPD doit s’appliquer aux dispositifs médicaux.

En effet le premier alinéa de l’article 110 précise : « Les États membres appliquent la directive 95/46/CE au traitement des données à caractère personnel effectué dans les États membres en vertu du présent règlement » autrement dit, la directive 95/46 qui a été remplacée depuis par le RGPD s’applique de plein droit. La filière du DM est donc directement concernée.

Comment cela se traduit-il dans les faits ? On peut considérer qu’il y a trois étapes principales dans la commercialisation d’un nouveau dispositif médical. La première phase se situe avant la mise sur le marché (pré-market), la deuxième phase est la mise sur le marché proprement dite et la troisième phase est celle du post-market qui correspond à la surveillance et à la publicité qui est faite autour des DM.

La phase pré-market va obliger le fabricant de DM à réaliser des investigations cliniques. On doit lors de cette phase, s’assurer que le consentement des personnes se prêtant à cette investigation clinique a été correctement recueilli : ceci est explicité autant dans le nouveau règlement sur les DM que dans le RGPD.

Les logiciels liés ou non au fonctionnement des DM sont également intéressants, car ils permettent de voir les passerelles qui existent entre le RGPD et le règlement sur les DM. On devra ainsi s’assurer que le logiciel a été écrit en respectant le RGPD et en particulier le privacy by design et le privacy by default. Cela signifie que tout au long de la réalisation du logiciel on ne collectera pas des données à caractère personnel qui ne soient pas nécessaires et que l’ensemble de l’architecture du logiciel répondra à des normes de cybersécurité, exigées par des référentiels de type ASIP santé ou normatifs de type ISO 27001. La preuve de cette protection devra être apportée, comme l’indique l’article 32 du RGPD qui rappelle que les mesures techniques et organisationnelles doivent garantir un niveau de sécurité adapté au risque. Or le traitement des données de santé considérées comme données sensibles doit amener à la plus grande vigilance lors du développement des logiciels.

Lors de la mise sur le marché, Le nouveau règlement des DM s’intéresse également à leur traçabilité, à travers l’attribution d’un système d’identification unique. Les établissements de santé ayant l’obligation d’enregistrer les DM implantables de classe III seront donc amenés à enregistrer cette information dans le dossier du patient.

Le SAV d’un fabricant de DM est tout aussi concerné par le RGPD. En effet, s’il y a prise de contrôle à distance d’un système ou intervention sur site, le technicien peut avoir connaissance d’informations médicales d’un patient, car la simple consultation d’une information (même non modifiée) est déjà considérée comme un traitement. Charge à l’intervenant de prouver que son personnel a été formé à la cybersécurité et qu’il est sensibilisé à la confidentialité des données auxquelles il peut avoir accès. Toutes ces informations devront être conservées et présentées à la CNIL en cas de contrôle.

Rappelons qu’au même titre que la matériovigilance – qui est aussi un traitement de données à caractère personnel au sens du RGPD – la  violation de données doit faire l’objet d’une déclaration dans les 72 heures auprès de la CNIL.

On voit à travers ces quelques exemples que le RGPD est présent de la conception à la destruction des DM. Il est donc important que toute la filière économique, des fabricants aux distributeurs, prenne conscience que tous sont concernés par le RGPD, au même titre que le sont toutes les entreprises et a fortiori celles qui œuvrent dans le domaine de la santé.