DE NOUVEAUX PRODUITS

de santé...

Ce qui est intéressant, c’est de voir que la pratique voit naître de nouveaux types de produits dédiés à la santé. Certains sont les dérivés de produits de santé actuels : les dispositifs médicaux communicants sont les plus connus, mais depuis l’été 2015, on peut également évoquer les médicaments connectés. Oui, c’est déjà une réalité. Aux côtés de ces classiques remis au goût du jour se dressent désormais les objets connectés dédiés à la santé et les applications mobiles de santé. Ces nouveaux produits dédiés à la santé obéissent à un régime juridique bien différent. Alors que les premiers obéissent au droit des produits de santé – obligation d’assurance, pas de clause élusive de responsabilité, etc. –, les seconds sont régis par le droit de la consommation, le droit des produits défectueux et le droit civil.

... ENTRENT DANS L’HÔPITAL

L’impact de cette différence de régime ne doit pas être négligé, d’autant qu’objets connectés et applications de santé mobile sont déjà monnaie courante dans les éta- blissements. Certains hôpitaux, précurseurs, entrent ainsi de plain-pied dans le 21ème siècle. Mais dans la plupart des cas, la porte d’entrée, ce sont les praticiens eux-mêmes. Le phénomène a été baptisé Bring Your Own Device (BYOD). Mais à l’hôpital, le BYOD expose les patients à des risques nouveaux.

... ET CRÉENT DE NOUVEAUX RISQUES

Traditionnellement, les patients sont exposés à quatre principaux risques : l’erreur de diagnostic, le défaut d'organisation du service, l’infection nosocomiale et le défaut d'information. Mais avec l’arrivée à l’hôpital de ces nou-veaux produits, vont s’ajouter à ces risques :

  • le défaut de marquage CE : oui, rappelons que le logo CE est apposé sur 11 autres types de produits que les dispositifs médicaux !
  • le défaut d’interfaçage entre un objet connecté ou une application et le Dossier Patient Informatisé (DPI) : rappe- lez-vous ce dramatique accident au CH de Versailles,
  • le défaut d’information sur le risque numérique,
  • les bugs et attaques informatiques : avez-vous déjà googlé « Barnaby Jack » ?
  • les failles de sécurité du SIH,
  • la réutilisation des données par un prestataire : aviez- vous suivi l’Affaire ivg.gouv.fr dans laquelle le Ministère de la Santé fournissait complaisamment à Google les don- nées relatives aux internautes en quête d’information sur l’IVG ?

CE DÉBARQUEMENT MODIFIERA

le fondement des actions en responsabilité

Le classique article L1142-1 du Code de la Santé Publique ne permettra pas d’encadrer les actions en responsabilité tendant à la réparation des dommages consécutifs à la réalisation de ces risques. Les patients se tourneront donc vers d’autres solutions. Des solutions nettement plus favorables. En cas d’altération, de perte ou de divulgation de données, l’obligation de moyens renforcée pesant sur l’hôpital en matière de confidentialité fera peser la charge de la preuve de l’absence de faute sur l’établissement. En cas de divulgation de données, ce sera d’ailleurs du pain béni pour le patient. Pourquoi ? Parce que l’article 9 du Code Civil, relatif à la protection de la vie privée, dispensera le patient de démontrer un préjudice. Face au traditionnel triptyque faute-préjudice-lien causal, le simple constat de la divulgation devrait alors suffire à obtenir une indemnité.

... CE QUI POURRAIT LAISSER

l’hôpital sans couverture assurantielle

Eh oui ! relisez vos polices d’assurance. Elles couvrent en principe exclusivement les actions relatives à des actes de diagnostic, de soins ou de prévention et à l’utilisation de produits de santé acquis par l’hôpital. Les divulgations de données et leur reconstitution en cas d’attaque infor- matique ne sont pas couvertes. N’est probablement pas non plus couverte l’utilisation d’objets connectés appor- tés par les praticiens ou d’applications installées sur leur smartphone.

L’HÔPITAL,

responsable des défauts du BYOD ?

Vous l’aurez compris, la situation est particulièrement délicate. Juridiquement, l’hôpital pourrait devenir respon- sable sans faute du fait de l’utilisation – sans qu’il en ait connaissance – d’objets connectés ou d’applications de santé mobile appartenant à un praticien. Dans cette hypo- thèse, l’hôpital aura deux solutions :

  • exercer un recours contre le fabricant : il faudra alors démontrer un défaut, c’est-à-dire que le produit « n'offre pas la sécurité à laquelle on peut légitimement s'attendre », ce qui sera en réalité pratiquement impossible, si le marquage CE – Dispositif médical n’a pas été apposé dessus ;
  • exercer un recours contre le médecin.

LA SOLUTION, SE RETOURNER

vers le médecin ?

Je vous imagine déjà, tiquant à la lecture de la ligne précédente. Oui, je pèse mes mots. Un recours récursoire contre le médecin ayant introduit l’objet connecté ou l’application mobile dans l’hôpital est sérieusement envi- sageable. Les juges ont, en effet, d’ores et déjà admis des recours récursoires en cas de violation caractérisée des règles de déontologie – l’utilisation d’une messagerie personnelle pour envoyer une information médicale à un confrère, c’est déjà une violation du secret médical ! – ou de faute d'une gravité extrême et inexcusable – utiliser une application de santé mobile, y stocker des données sur ses patients et ne pas les inscrire dans le DPI, peut-être ?

L’IDÉAL SERAIT

peut-être de prévenir ?

Tenter d’interdire le Bring Your Own Device n’est pas réa- liste. Une telle mesure serait à peu près autant respectée que l’interdiction de traverser en dehors des passages piétons. La solution consiste donc à l’aménager, à l’encadrer en introduisant volontairement les objets connectés et applications de santé mobile à l’hôpital. Il s’agirait alors d’établir la liste des outils autorisés et de laisser les prati- ciens choisir de les utiliser dans leur pratique quotidienne. On parle alors de Choose Your Own Device. La DSI devra nécessairement être associée à ce type d’achats. De même qu’elle devra prendre les mesures – techniques et organisationnelles – nécessaires pour empêcher l’uti- lisation d’autres outils et pour conditionner le CYOD à l'absence d'externalisation des données patients – toutes doivent être dans le DPI, et nulle part ailleurs.

Bon, dans cette attente, il ne reste plus qu’à rédiger l’appel d’offres !