Pierre Desmarais : “Contenus et services numériques en santé : le début d’un casse-tête contractuel”

La directive 2019/770 du 20 mai 2019 va en effet s’appliquer à tout contrat onéreux portant sur des contenus – comprendre des données produites ou fournies numériquement – et des services dédiés à la création, au stockage, au traitement de ces données ou à leur partage ou à une interaction. Et il ne suffira pas de démontrer l’absence de contrepartie financière de la part du consommateur pour y échapper.

Faisant application du principe de réalité, l’Union européenne assimile à un contrat onéreux celui dans le cadre duquel le professionnel est autorisé à réutiliser des données à caractère personnel relatives à d’autres fins que la fourniture du service ou la satisfaction de ses obligations légales. Le texte complète ici l’« intérêt légitime » dont un responsable de traitement peut se prévaloir, dans le règlement général sur la protection des données (RGPD), en indiquant que le droit de réutilisation peut s’analyser comme la contrepartie au service numérique. Ce faisant, l’Europe casse la thèse, parfois défendue par la Commission nationale de l’informatique et des libertés (Cnil), selon laquelle des données concernant la santé ne pourraient être cédées à titre onéreux. La récente prohibition par l’autorité hollandaise de protection des données des mécanismes conditionnant l’accès à un service numérique à l’acceptation des cookies pourrait également être remise en cause. L’impact de ce texte, relativement clair pour le secteur concurrentiel, doit également être pris en compte pour le « public ». Les groupements régionaux d’appui au développement de la e-santé (Grades), les agences régionales de santé (ARS) et les hôpitaux qui proposeront des services numériques autres que des soins de santé devront ainsi, lorsqu’ils réutilisent les données à des fins statistiques, de mesure d’audience ou d’amélioration du service par exemple, proposer un contrat conforme aux dispositions de cette directive.

Des codes de bonne conduite opposables

Et le casse-tête contractuel ne s’arrête pas là. Le texte écarte de son champ d’application les « soins de santé », définis comme les « services de santé fournis par des professionnels de la santé aux patients pour évaluer, maintenir ou rétablir leur état de santé, y compris la prescription, la délivrance et la fourniture de médicaments et de dispositifs médicaux », et les dispositifs médicaux prescrits ou fournis par un professionnel de santé. En revanche, il trouve à s’appliquer aux dispositifs médicaux obtenus autrement, aux « applications de santé » (sic !) et aux contenus et services numériques proposés par des non-professionnels de santé. Si la situation est claire pour les éditeurs d’application de santé non-DM, ceux ayant obtenu le marquage CE vont en revanche devoir proposer des clauses contractuelles différentes selon que leur outil a été prescrit ou vendu par un professionnel de santé. Le tout, naturellement, en continuant à rédiger de façon claire et compréhensible.

Un autre point d’intérêt pour les fournisseurs de service d’e-santé tient à l’opposabilité indirecte, à compter de l’entrée en application du texte, des « normes techniques » et, en leur absence, des codes de bonne conduite applicables au secteur. En effet, la conformité des services par rapport à leur finalité d’utilisation pourra être appréciée au vu de ces « référentiels ». Si l’opposabilité des recommandations de la Haute Autorité de santé (HAS), par exemple, était déjà acquise, celle des codes de conduite élaborés par certains organismes professionnels ou opérateurs économiques reposait sur l’adhésion à ces organismes. À compter du 1er janvier 2022, rien n’empêcherait de voir un consommateur opposer au fournisseur d’un service d’e-santé le non-respect d’un code de bonne conduite auquel il n’a pas souscrit. Voilà qui promet d’intéressants débats pour les prochaines années.