Remboursement des dispositifs médicaux numériques de télésurveillance : êtes-vous prêts ?

Tous les fabricants de dispositifs médicaux numériques (DMN) de télésurveillance (diabète, insuffisance rénale, insuffisance respiratoire, insuffisance cardiaque et prothèses cardiaques implantables) enregistrés auprès du Ministère de la santé doivent désormais prouver leur conformité au RGPD, depuis le passage de la télésurveillance médicale dans le droit commun au 1^er janvier 2023.

Si une preuve de conformité au RGPD a toujours été recommandée, elle est désormais obligatoire pour tout exploitant de DMN en télésurveillance en vue de sa prise en charge par l’Assurance maladie.

Un référentiel d’interopérabilité pour obtenir un remboursement de l’assurance maladie

Le référentiel d’interopérabilité et de sécurité des dispositifs médicaux numériques [PDF] reprend l’ensemble des exigences déterminées par l’ANS (Agence du Numérique en Santé) pour obtenir un remboursement. Parmi celles-ci, l’exigence n°103 concerne une partie des mesures du RGPD, ciblées sur trois thématiques clés : les sous-traitants, la sécurité des traitements et les études d’impact. Ces points font respectivement références aux articles 28, 32 et 35 du RGPD.

Une fois la conformité assurée par un DPO, les exploitants de DMN de télésurveillance doivent produire une preuve de conformité aux dispositions législatives et réglementaires relatives à la protection des données personnelles en s’engageant à la Déclaration de conformité aux dispositions législatives et réglementaires relatives à la protection des données à caractère personnel des exploitants de dispositifs médicaux numériques.

Les autres articles du RGPD présents entre les lignes

Si le référentiel met en avant principalement trois articles du règlement de la protection des données (28-32-35), il stipule également l’importance de deux autres articles afin de répondre à l’exigence n°77.

Il s’agit d’une part du droit d’accès aux données et du droit à la portabilité de ces dernières (article 15 et 20 du RGPD). Ces exigences particulièrement importantes sont souvent soulignées par l’ANS lors de ses diverses interventions sur le sujet comme au cours de son webinaire du 25 août 2022.

L’exploitant doit s’engager à ce que le DMN de télésurveillance permette l’export de l’ensemble des données de santé qu’il traite. Le format d’export doit être lisible, exploitable, et documenté par l’industriel. En revanche cette exigence ne porte pas sur les données échangées entre le DMN de télésurveillance et les accessoires de collecte (comme les capteurs de température, de pression artérielle…) et les objets connectés (montres, bagues connectées…).

Les démarches à faire une fois la mise en conformité effective

Une fois la conformité assurée au sein de son entreprise, l’exploitant de DMN doit s’inscrire au guichet de l’ANS afin d’effectuer les formalités nécessaires pour obtenir le remboursement de son dispositif.

Il obtiendra ensuite de la part de l’ANS un premier retour informatif sur la recevabilité de la candidature à la certification (pièces justificatives de la candidature) et sur l’instruction et l’analyse des preuves de conformité aux exigences du référentiel d’interopérabilité et de sécurité des DMN de télésurveillance.

Si l’ANS donne une réponse positive à la candidature (compter 30 jours d’analyse), le remboursement par l’Assurance Maladie sera effectif dans les 60 jours suivants. Dans le cas d’une réponse négative, l’ANS demandera au fabricant la mise à jour de son dossier.

Par la suite des inspections de l’ANS pourront survenir pour s’assurer du bon maintien des obligations règlementaires. Le non-respect au RGPD peut entrainer une sanction pécuniaire de la CNIL jusqu’à 20 millions d’euros d’amende et l’annulation du remboursement du DMN par l’Assurance Maladie.

L’implémentation du RGPD dans le passage en droit commun marque une nouvelle avancée pour la protection des données à caractère personnel dans le cadre de l’exercice de la télémédecine en France.