6 étapes clés pour réussir le lancement d'un produit en e-santé

Vous vous apprêtez ou souhaitez commercialiser une application mobile ou web, un objet connecté embarquant ou non de l’intelligence artificielle (IA) dans le milieu de la santé ? Passées les phases de conception de la stratégie commerciale et des contraintes techniques, voici les six questions à se poser pour sécuriser et garantir son lancement en anticipant les contraintes juridiques et réglementaires qui peuvent se dresser devant vous.

La première étape clé consiste à distinguer le simple objet connecté à usage personnel – tel qu'une appli bien être – du dispositif médical (DM) ou du dispositif médical de diagnostic in vitro (DIV), tous deux réglementés à l’échelle européenne et impliquant l’obtention d’un marquage CE de conformité préalable à toute mise sur le marché du produit concerné. Les procédures d’obtention de ce marquage peuvent être longues, complexes et coûteuses et doivent être anticipées le plus en amont possible.

La première question à se poser ici est la suivante : quelle est la finalité du produit ? Sera qualifié de DM ou DIV, le produit qui (1) fournit une information médicale nouvelle, contribuant par exemple au diagnostic ou au traitement d’un patient, et (2) donne un résultat propre à ce patient sur la base de données individuelles. À l’inverse, un logiciel destiné à des informations générales sur la santé ou liés au mode de vie/bien-être ne relèvera pas de ce statut et ne sera donc pas soumis aux mêmes contraintes.

Attention : cette finalité correspond en réalité à l’utilisation revendiquée par le fabricant lui-même. Ceci implique d’apporter une attention toute particulière aux informations du produit – étiquette, notice d'utilisation, matériel promotionnel ou encore évaluation clinique ou des performances.

Si ce choix est stratégique, il faut garder à l’esprit que les revendications devront être scientifiquement démontrées en vue de l’obtention du marquage CE et du remboursement, le cas échéant. Une fois sur le marché, les autorités compétentes pourront également prononcer toute mesure administrative en cas de non-conformité.

Le risque lié à l’utilisation d’un DM/DIV est un critère de classification. Le produit numérique considéré comme DM relève en général, avec le nouveau règlement (UE) 2017/745, des classes IIa ou IIb, voire de la classe III pour certains dispositifs couplés (hardware/software).

Dans le cadre d’un DIV – ici, le dispositif médical a la particularité d’être destiné à être utilisé in vitro dans l’examen d’échantillons provenant du corps humain –, la classification s'applique en fonction de la destination du dispositif – détermination d'un état de maladie infectieuse, d'un état immunitaire, évaluation du stade d’une maladie, autodiagnostics, etc.

Dans tous les cas, il sera nécessaire d’identifier au plus tôt cette classe de risque pour déterminer la procédure d’évaluation adaptée, le niveau de preuves cliniques exigées ainsi que l’ensemble des aspects à intégrer dans son dossier technique et son système qualité. La prise de contact avec un organisme notifié (ON) pour obtenir sa certification CE doit également être anticipée le plus en amont possible, car les délais d’attente et les prix ont explosé depuis l’entrée en application des nouveaux règlements.

Le type de données à produire varie en fonction de la classe du dispositif et de son stade de progression dans la mise sur le marché : obtention du marquage CE, remboursement ou encore suivi clinique post-commercialisation. Si les exigences générales de sécurité et de performance requises en la matière sont définies légalement, c’est au fabricant lui-même qu’il revient d’identifier les données à sélectionner, ainsi que la méthodologie de recueil et d’analyse, ce qui peut s’avérer être un exercice périlleux.

Objectif : optimiser. Il faut s’interroger (1) sur la disponibilité des données cliniques sur toutes les solutions déjà existantes qui revendiquent la même destination que votre dispositif, et (2) sur celles à générer.

En pratique, il conviendra ainsi de :

1. Constituer la documentation la plus exhaustive sur les données cliniques de tout dispositif équivalent ;
2. Identifier précisément la place du dispositif dans l’arsenal disponible en France, en particulier pour l’accès au remboursement ;
3. Déterminer l’intérêt de recourir à des investigations cliniques – de même que la procédure et les délais applicables avec avis Comité de Protection des Personnes (CPP) et/ou autorisation de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM) ;
4. Se faire assister le cas échéant par des professionnels de santé experts du domaine thérapeutique concerné par le dispositif.

Souvent sous-estimés, les aspects juridiques jouent pourtant un rôle fondamental à toutes les phases du développement. Une étape essentielle sera de s'assurer que la propriété intellectuelle (PI) est sous votre contrôle dès la phase de conception et de développement du dispositif, le dépôt de brevet(s) et marque(s) doit être envisagé le plus en amont possible. De même si le dispositif utilise un support appartenant à un tiers, il importe de s’assurer de disposer des droits d’utilisation et d’accès aux données ou à la plateforme. Il s’agira également de mettre en œuvre tout contrat relatif aux droits de PI autrement adapté à ce stade – accord de consortium pour un projet collaboratif R&D, contrat de copropriété/licence/cession de PI –, sans jamais oublier les accords de non-divulgation pour éviter la fuite des informations confidentielles.

Dans un contexte généralisé de prestations externalisées, les contrats de fourniture, fabrication, distribution et sous-traitance détermineront le statut légal et les obligations incombant à chaque partie prenante dans la chaîne de production et de distribution.

L’assurance ne doit pas non plus être négligée. Les DM couplés devront faire l’objet d’une assurance sur mesure, alliant une assurance responsabilité civile professionnelle classique pour la partie hardware, et une assurance garantissant les risques de défaillance spécifiques liés au numérique (PI, engagements de performance ou à la sécurité des données, cloud IaaS, PaaS, SaaS, cloud public, hébergement et interopérabilité des données de santé, etc).

La sécurité du système informatique, dont les risques d’attaques sont potentiellement dommageables en termes de données voire pour le patient lui-même, de même que la sécurité afférente exclusivement aux données collectées et traitées, doivent être au centre des préoccupations du dispositif e-santé (ou m-santé).

À cet effet, il convient de prendre en compte l’ensemble des procédures suivantes :

• Prévoir une procédure dédiée à la cybersécurité, avec la réalisation d’une analyse de risque générale en fonction du type de dispositif concerné et l’implémentation de mesures techniques et organisationnelles adaptées à tous les stades du cycle de vie du dispositif, de sa conception à sa mise hors service ;
• Adapter les procédures internes au RGPD : tenir une documentation interne – décrivant les traitements mis en œuvre et les mesures de mise en conformité de ces traitements –, désigner un délégué à la protection des données (DPO) ;
• Assurer le respect des droits des personnes : droit à l’information, droit d’accès, à la portabilité, de rectification, de suppression, d’opposition pour motif légitime ;
• Réaliser une analyse d’impact du traitement de données, portant tant sur les risques sécurité, techniques que juridiques pour les personnes, avant de mettre en œuvre certains traitements, notamment ceux portant sur des données de santé à grande échelle ;
• Supprimer les données brutes pour conserver les données agrégées ;
• Porter une attention particulière à l’encadrement contractuel des prestations de tiers fournisseurs de service, notamment avec l’hébergement ;
• Respecter les principes de protection des données de santé – finalité, pertinence et proportionnalité, durée de conservation limitée, sécurité et confidentialité, respect des droits des personnes.

La responsabilité sans faute du fait des produits défectueux est applicable aux produits e-santé. La présentation du produit étant essentielle dans l’appréciation de la défectuosité, la conception de la notice et de l’étiquette devra donc être élaborée avec soin et en stricte conformité avec la réglementation applicable – mises en garde, précautions et autres contre-indications applicables.

Le professionnel agissant en tant que vendeur de produits e-santé auprès des consommateurs doit également :

• Remplir son obligation d’information précontractuelle sur les caractéristiques essentielles du bien ou du service fourni – principalement les fonctionnalités, la compatibilité et l’interopérabilité du bien comportant des éléments numériques, du contenu ou du service numérique et les restrictions d’installation du logiciel ;
• Satisfaire à la garantie de conformité en vertu de laquelle il doit livrer un bien conforme au contrat ;
• Ne pas recourir à des clauses abusives ou déséquilibrées : attention, à cet égard, au traitement des données.

En bref, les obligations à charge du fabricant du dispositif médical ou du dispositif médical de diagnostic in vitro en e-santé sont nombreuses et doivent donc être circonscrites très en amont de tout lancement. Et ce, de façon à éviter les risques de responsabilité vis-à-vis de tout autre opérateur, utilisateur ou autorité compétente par la suite.

Julie Vasseur et Aude Vidal sont avocates associées au sein du cabinet ELSI Avocat