Le législateur européen vient d’adopter une directive relative aux contrats de fourniture de contenus numériques et de services numériques[1] dont l’incidence dans le secteur de l’e-santé pourrait s’avérer importante.
Le texte va en effet s’appliquer à tout contrat onéreux portant sur des contenus – comprendre des données produites ou fournies numériquement – et des services dédiés à la création, au stockage, au traitement de ces données ou à leur partage ou à une interaction. Et il ne suffira pas de démontrer l’absence de contrepartie financière de la part du consommateur pour y échapper.
Faisant application du principe de réalité, l’UE assimile à un contrat onéreux celui dans le cadre duquel le professionnel est autorisé à réutiliser des données à caractère personnel relatives à d’autres fins que la fourniture du service ou la satisfaction de ses obligations légales. Le texte complète ici l’ « intérêt légitime » dont un responsable de traitement peut se prévaloir, dans le RGPD, en indiquant que le droit de réutilisation peut s’analyser comme la contrepartie au service numérique. Ce faisant, l’Europe casse la thèse, parfois défendue par la CNIL[2], selon laquelle des données concernant la santé ne pourraient être cédées à titre onéreux. L’impact de ce texte, relativement clair pour le secteur concurrentiel, doit également être pris en compte pour le « public ». Les GRADES, ARS et hôpitaux qui proposeront des services numériques autres que des soins de santé devront ainsi, lorsqu’ils réutilisent les données à des fins statistiques, de mesure d’audience ou d’amélioration du service par exemple, proposer un contrat conforme aux dispositions de cette directive.
Et le casse-tête contractuel ne s’arrête pas là. Le texte écarte de son champ d’application les « soins de santé », définis comme les « services de santé fournis par des professionnels de la santé aux patients pour évaluer, maintenir ou rétablir leur état de santé, y compris la prescription, la délivrance et la fourniture de médicaments et de dispositifs médicaux »[3], et les dispositifs médicaux prescrits ou fournis par un professionnel de santé. En revanche, il trouve à s’appliquer aux dispositifs médicaux obtenus autrement, aux « applications de santé » (sic !) et aux contenus et services numériques proposés par des non-professionnels de santé. Si la situation est claire pour les éditeurs d’application de santé non-DM, ceux ayant obtenu le marquage CE vont en revanche devoir proposer des clauses contractuelles différentes selon que leur outil a été prescrit ou vendu par un professionnel de santé. Le tout, naturellement, en continuant à rédiger de façon claire et compréhensible.
Un autre point d’intérêt pour les fournisseurs de service d’e-santé tient à l’opposabilité indirecte, à compter de l’entrée en application du texte, des « normes techniques » et, en leur absence, des codes de bonne conduite applicables au secteur. En effet, la conformité des services par rapport à leur finalité d’utilisation pourra être appréciée au vu de ces « référentiels ». Si l’opposabilité des recommandations de la HAS, par exemple, était déjà acquise, celle des codes de conduite élaborés par certains organismes professionnels ou opérateurs économiques reposait sur l’adhésion à ces organismes. A compter du 1er janvier 2022, rien n’empêcherait de voir un consommateur opposer au fournisseur d’un service d’e-santé le non-respect d’un code de bonne conduite auquel il n’a pas souscrit. Voilà qui promet d’intéressants débats pour les prochaines années
[1] Directive 2019/770 du 20 mai 2019.
[2] CNIL, Le corps, nouvel objet connecté, 13 octobre 2013.
[3] Directive 2011/24 du 9 mars 2011.