L’essor des objets connectés de santé : un défi réglementaire inédit

Montres qui mesurent notre rythme cardiaque, inhalateurs qui collectent des données sur la prise des traitements, balances intelligentes, applications de télésurveillance pour personnes diabétiques, piluliers connectés… L’irruption de ces objets connectés de santé (OCS ou IoMT, pour Internet of Medical Things) ne cesse de croître sur le marché européen. Selon Deloitte, en 2023, plus de 260 millions d’OCS circulaient en Europe, une progression de +18 % en un an. Mais cette révolution – qui touche aussi bien les cabinets médicaux que l’autogestion de la santé – soulève immédiatement une double exigence : garantir la sécurité des patients et la confidentialité de leurs données, sans empêcher l’innovation.

Comment la réglementation européenne relève-t-elle ce défi ? Entre responsabilité des fabricants, normes techniques et enjeux éthiques, les objets de santé connectés sont l’objet d’une vigilance juridique inédite.

Grands repères : les textes qui encadrent aujourd’hui les objets connectés de santé

À l’échelle européenne, la régulation des OCS croise plusieurs cadres législatifs. Ces textes forment un écheveau complexe, que l’on peut regrouper autour des cinq piliers suivants :

• Les règlements relatifs aux dispositifs médicaux (DM) et dispositifs médicaux de diagnostic in vitro (DMDIV) – Règlement UE 2017/745 (MDR) et UE 2017/746 (IVDR)
• La directive sur la sécurité générale des produits – 2001/95/CE (pour les objets qui ne relèvent pas des règlements DM/DMDIV)
• Le règlement général sur la protection des données (RGPD) – 2016/679
• Le cadre relatif à la cybersécurité (notamment la directive NIS2 adoptée en 2023)
• Les standards techniques et référentiels européens (ISO, normes harmonisées, guides MedTech Europe…)

Cette mosaïque de textes assure à la fois la libre circulation des dispositifs en Europe, l’équité entre fabricants, mais aussi une exigence d’efficacité clinique, de sécurité et de traçabilité des produits tout au long de leur cycle de vie.

Dispositif médical ou non ? Décision cruciale pour la réglementation applicable

Premier point fondamental : tous les objets connectés de santé ne sont pas d’office des « dispositifs médicaux », car tout dépend de leur finalité revendiquée par le fabricant.

• Si l’objet (appli, capteur, montre…) vise à diagnostiquer, prévenir, surveiller, traiter ou atténuer une maladie, ou à compenser un handicap, alors il entre probablement dans la catégorie des dispositifs médicaux ou DMDIV (règlements MDR/IVDR).
• Si l’objet relève simplement du bien-être, sans allégations médicales (bracelets sportifs, objets de suivi du sommeil non médical…), il reste un « consumer device » : il devra se conformer à la directive sur la sécurité générale des produits, nettement moins exigeante.

Cette distinction, loin d’être anecdotique, conditionne tout le processus de certification, les obligations du fabricant, les niveaux de surveillance du marché, ainsi que l’accès aux systèmes de remboursement. Un rapport de la Commission européenne estime d’ailleurs qu’environ 35 % des applications mobiles de santé devraient en réalité être considérées comme des dispositifs médicaux, alors qu’elles ne sont aujourd’hui traitées que comme de simples gadgets de bien-être (Commission européenne).

Certification CE : comment la conformité est-elle évaluée ?

Les objets connectés de santé revendiquant un usage médical doivent impérativement porter le marquage CE. Ce signe, apposé sur le dispositif, indique que toutes les exigences essentielles de sécurité, de performance et de gestion des risques sont respectées – sur tout le territoire de l’Espace économique européen.

• Dossier technique : le fabricant doit constituer un dossier qui prouve la qualité, l’efficacité clinique et la sécurité de son dispositif. L’évaluation porte aussi bien sur la gestion du risque informatique, la traçabilité des versions logicielles, que la robustesse des algorithmes.
• Implication d’un organisme notifié : pour la majorité des dispositifs (hors classe I), la conformité doit être vérifiée par un organisme notifié (ex : BSI, TÜV SÜD…). C’est un acteur indépendant et accrédité par une autorité nationale qui évalue le produit à travers audits, tests, revues documentaires et parfois inspections sur site.
• Suivi post-commercialisation : le marquage CE n’est pas une fin en soi. Le fabricant est tenu d’assurer une vigilance permanente, de rapporter tout incident grave et de mettre à jour la documentation technique et la cybersécurité de l’application ou du dispositif.

Avec la nouvelle réglementation MDR/IVDR, ce processus est notablement plus exigeant qu’avant : on requiert des preuves cliniques issues d’études robustes, une documentation détaillée sur l’intelligence artificielle embarquée, sur la gestion des mises à jour logicielles et la transparence des algorithmes.

Données de santé : quand RGPD et spécificités du secteur s’entremêlent

Un objet connecté de santé collecte, par définition, des données particulièrement sensibles sur la physiologie, les traitements, la localisation, voire l’activité quotidienne d’un individu. À ce titre, le RGPD (2016/679) s’applique strictement, mais dans des conditions parfois renforcées pour la santé.

• La base légale du traitement : il est nécessaire d’informer clairement l’utilisateur, de recueillir (sauf cas d’urgence médicale) un consentement explicite pour le traitement et la transmission de ses données.
• Le principe de minimisation : seules les données strictement utiles à la finalité de l’objet peuvent être collectées (exemple : pas de wifi tracking à des fins commerciales via un tensiomètre connecté).
• L’hébergement des données : pour les dispositifs suivis médicalement, les données doivent être stockées sur des serveurs conformes aux exigences européennes, par exemple les « Hébergeurs de Données de Santé » agréés dans certains pays (France, Allemagne).
• La portabilité et l’accès de l’utilisateur : chaque personne dispose d’un droit de reprise sur ses propres données, y compris face à l’éditeur de l’application ou à une plateforme tierce.

Le non-respect de ces exigences n’est pas anodin : les premières sanctions RGPD visant des applications santé sont tombées (CNIL, cas Doctolib; Privacy.org), et la vigilance des utilisateurs incite le secteur à se doter de labels spécifiques (ex : label DTA en Allemagne, certifications eHealth Belgium…).

Cybersécurité et mise à jour logicielle : de nouveaux standards pour les objets de santé

La sécurité ne se limite pas à la fiabilité physique du produit : pour les OCS, la question cybersécurité est aujourd’hui non négociable. Dès 2024, la directive NIS2 (Network and Information Security Directive 2) implique les fabricants d’OCS dans une logique de :

• Gestion active des failles : les logiciels doivent pouvoir être mis à jour à distance, pour corriger des vulnérabilités découvertes après la commercialisation.
• Auditabilité des algorithmes : transparence sur la manière dont le dispositif prend (ou assiste) la décision médicale, enjeu clé pour les IA intégrées.
• Gestion des incidents : plan de réponse rapide en cas de hacking, exfiltration de données, ou dysfonctionnement pouvant mettre en danger l’utilisateur.
• Notion de « sécurité dès la conception » (Security/Privacy by design) imposée dès le développement du prototype.

Le cas du pacemaker piraté, objet d’une alertes de sécurité en 2021 (CPO Magazine), illustre l’importance systémique de cette vigilance : un défaut logiciel peut avoir des conséquences vitales. L’Europe promeut ainsi des normes harmonisées (EN ISO/IEC 81001-5-1, ISO 27001) et la coordination des agences de sécurité numérique (ENISA, ANSSI…).

Enjeux éthiques, limites et débats actuels : la régulation, moteur d’innovation ?

La réglementation européenne se veut ambitieuse : elle ne cherche pas seulement à éviter les dérives, elle tente d’imposer une qualité d’innovation et de faciliter la confiance du public. Néanmoins, certains débats restent ouverts :

• Compétitivité : des startups alertent sur la lourdeur et le coût de certification en Europe (un processus qui, selon MedTech Europe, prend en moyenne 13 à 18 mois, soit 2 à 3 fois plus qu’aux États-Unis sous la FDA).
• Consentement réel : comment obtenir un assentiment informé auprès de publics vulnérables ou peu familiarisés avec le numérique ?
• Encadrement de l’IA médicale : les recommandations de l’Espace européen des données de santé (EHDS), débattues depuis 2022, devront adapter la loi pour cadrer l’IA générative, limiter le « black box effect » et multiplier les expertises indépendantes.
• Interopérabilité : de nombreux OCS restent incompatibles entre eux ou leurs données difficilement exploitables par les professionnels de santé, ce qui limite le bénéfice pour la coordination des soins.

Des initiatives avancent : le Health Data Hub français ou le dossier santé électronique en Allemagne cherchent à structurer un écosystème où les objets connectés dialoguent vraiment avec les acteurs du soin.

Ressources et perspectives pour les acteurs du secteur

La régulation européenne des objets connectés de santé sera encore amenée à évoluer : le projet de Règlement sur l’IA (AI Act, actuellement en discussion), les recommandations à venir sur l'usage secondaire des données de santé (EHDS), et la prochaine version du guide MedTech Europe vont encore spécifier les contrôles exigés.

Pour suivre et anticiper ces évolutions, voici des ressources incontournables :

• Règlement Dispositifs Médicaux (UE 2017/745)
• RGPD – Règlement général sur la protection des données
• ANSSI – Agence nationale de la sécurité des systèmes d’information
• MedTech Europe – Guides et support réglementaire
• CNIL – Dossiers pratiques et sanctions
• Commission européenne – Stratégie eHealth
• ECHA – Réglementations produits chimiques concernés par le règlement OCS

À mesure que les objets connectés deviennent indispensables au parcours de santé, la réglementation européenne façonne leur avenir. Elle invite à concevoir des technologies qui méritent pleinement la confiance : rigoureuses, transparentes et tournées vers l’intérêt concret des personnes.