Dix règles de bonnes pratiques pour les applications santé

Dix règles de bonnes pratiques pour les applications santé

Pour favoriser le développement d’applications et d’objets connectés “sûrs, fiables et de qualité”, la HAS propose un référentiel de 101 bonnes pratiques. Cinq domaines ont été arrêtés pour répartir ces bonnes pratiques.
La Haute Autorité de santé (HAS) publie ce 7 novembre un référentiel de bonnes pratiques pour les applications santé. Élaboré avec l’appui de la Commission nationale de l’informatique et des libertés (Cnil) et l’Agence nationale de la sécurité des systèmes d’information (Anssi), ce référentiel s’adresse aux industriels et aux évaluateurs. Il vise à “guider, à promouvoir l’usage et à renforcer la confiance dans les applications et les objets connectés”. Au total, 101 bonnes pratiques ont été définies pour que ces derniers soient “sûrs, fiables et de qualité”.
Les cinq domaines des 101 bonnes pratiques
Le guide porte sur les applications et les objets connectés n’ayant pas de finalité médicale déclarée. Il concerne “tout particulièrement la zone grise”, soit ceux ayant un effet potentiel sur la santé sans être un dispositif médical. Les dispositifs médicaux (DM) entraînant le marquage CE en sont exclus. Par ailleurs, prévient la HAS, il ne se substitue pas à la loi ou la réglementation concernant les DM ou encore la protection des données personnelles. Concrètement, le référentiel couvre la fiabilité du contenu de santé, la protection des données et la cybersécurité. Les 101 bonnes pratiques sont regroupées en cinq domaines :
information utilisateurs : description, consentement ;
contenu santé : conception du contenu initial, standardisation, contenu généré et contenu interprété ;
contenant technique : conception technique, flux de données ;
sécurité-fiabilité : cybersécurité, fiabilité, confidentialité ;
utilisation-usage : utilisation-design, acceptabilité, intégration-import.
Chaque partie est accompagnée d’arguments, d’exemples illustrant le contenu attendu et les modalités de vérification et de références bibliographiques le cas échéant. Le référentiel propose une matrice de risque permettant de moduler le niveau de l’applicabilité des bonnes pratiques en fonction de l’application et/ou de l’objet connecté considéré. “Cette modulation dépend du principal utilisateur cible et de la destination d’usage”, prévient la HAS.
Les principaux critères à respecter
En premier lieu, la HAS préconise qu’une application ou un objet connecté “délivre des informations de santé fiables et de qualité”. Les contenus santé doivent en ce sens être élaborés par des professionnels de santé ou des organismes professionnels compétents. Par ailleurs, en cas d’interprétation humaine des données, elle doit être assurée par un professionnel compétent identifiable. Second point sur lequel insiste la HAS : que les applications soient techniquement performantes. Ainsi, la performance de la mesure en vie réelle et dans les contextes d’utilisation propres à l’application doit être assurée. De plus, un système de prévention de pannes doit être également mis en place. Il est nécessaire que les applications et les objets connectés garantissent la confidentialité et la sécurité des données personnelles. Sur ce point, la HAS note que “lorsque des données personnelles ou de santé sont recueillies, les applications ainsi que les processus de transfert et de stockage des données doivent répondre à des exigences strictes”. Les données doivent par exemple être rendues confidentielles par pseudonymisation. Elles doivent être chiffrées “de manière robuste en utilisant des suites cryptographiques. L’hébergeur doit procéder à la vérification de l’intégrité et de l’authenticité des données transférées.” Enfin, l’utilisation de l’application ou de l’objet “doit être simple, intuitive et fluide”. Elle doit aussi pouvoir proposer des options d’adaptation de l’utilisation en fonction du niveau ou des besoins de l’utilisateur, de synchronisation des données avec plusieurs appareils, des fonctions d’import et d’export des données et ses différentes versions doivent être rétrocompatibles.

La HAS ajoute que l’exigence de conformité dépend de deux paramètres : la finalité de l’application d’une part et le public cible d’autre part. Selon ces deux paramètres, “une application ou un objet devra répondre à un niveau d’exigence et chaque bonne pratique sera alors obligatoire, recommandée ou conseillée”.

Les étapes pour utiliser le référentiel :
déterminer le niveau de criticité de l’application et de l’objet connecté ;
sélectionner les critères d’évaluation ;
évaluer les critères obligatoires ;
évaluer les critères recommandés et souhaités ;
compiler et synthétiser.