Un guide des bonnes pratiques pour les applis et objets connectés

La Haute Autorité de santé (HAS) publie un référentiel de 101 bonnes pratiques, élaboré avec la Commission nationale de l'informatique et des libertés (CNIL) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) afin de favoriser le développement d'applications et d'objets connectés « sûrs, fiables et de qualité ». Très attendu, ce guide est destiné aux développeurs, industriels et évaluateurs d'applis.

« 50 000 applications santé sont actuellement disponibles et de nouvelles apparaissent chaque jour. Leur développement se fait toutefois sans cadre prédéfini, ce qui soulève de nombreuses questions concernant leur fiabilité, la réutilisation des données collectées et respect de la confidentialité », note la HAS.

Le groupe de travail a retenu 5 thématiques pertinentes : l'information « utilisateurs » (description du produit, consentement), le contenu de santé, le contenant technique (flux des données), la sécurité/fiabilité (cybersécurité) et l'utilisation/usage (ergonomie, lisibilité, évaluation). Le guide porte sur les applis et les objets connectés n’ayant pas de finalité médicale déclarée. « Il concerne donc tout particulièrement la zone dite "grise" des applications ou des objets connectés ayant un effet potentiel sur la santé sans être un dispositif médical », souligne l'institution.

Fiable, ergonomique et construit par des professionnels

L'utilisation de l'application ou de l'objet doit être « simple, intuitive et fluide » mais aussi accessible aux personnes en situation de handicap visuel ou auditif. Une assistance devra être proposée via une foire aux questions, aide en ligne ou hotline.

Sans surprise, la HAS préconise la délivrance d'informations de santé fiables et de qualité. « Les contenus santé doivent être élaborés par des professionnels de santé ou des organismes professionnels compétents, et les données présentées mises à jour et basées sur des références bibliographiques fiables et accessibles ». 

Les données mesurées devront être précises et paramétrées « selon un étalonnage reconnu », avec la mention de « la marge d'erreur éventuelle ».

Garantir la confidentialité

Autre recommandation : garantir la confidentialité et la sécurité des données personnelles. À ce titre, la HAS suggère que les informations soient rendues confidentielles par « pseudonymisation » quel que soit le support utilisé (smartphone, tablette, ordinateur). Elles devront être « chiffrées » en utilisant « des suites cryptographiques dès le départ et jusqu'à la transmission à l'hébergeur ». Les entreprises auront obligation d'indiquer aux utilisateurs la durée et le délai de conservation des données sur le serveur.

L'institution précise que le niveau d'exigence diffère en fonction de la finalité de l'application ou de l'objet connecté et du public ciblé. Autrement dit, une application d'information très générale ne répond pas aux mêmes exigences qu'une appli de mise en relation entre malades et professionnels de santé.