Logiciels dispositifs médicaux sur Google Play
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
Avec le développement des applications mobiles de santé, le nombre de fabricants de logiciels dispositifs médicaux (ou SaMD pour "Software as Medical Device") qui souhaitent distribuer leur(s) application(s) sur Google Play augmente.
Pourtant, quand on considère la règlementation relative aux dispositifs médicaux et la réglementation relative à la protection des données personnelles, plusieurs questions se posent au sujet de Google Play.
Penchons-nous sur ce sujet à l'occasion de cet article.
Environnement contractuel de Google Play
Quand on clique sur le lien "A propos de Google Play" en pied de la page d'accueil du site dédié, on apprend que Google Play est un service proposé par Google Ireland Limited et que les contenus sont proposés par Google Commerce Limited.
En d'autres termes, l'éditeur d'une application distribuée sur Google Play établit un contrat avec Google Commerce Limited et amène les utilisateurs de l'application à se placer sous contrat avec Google Ireland Limited.
Pour la simplicité de cet article, nous désignerons Google Commerce Limited et Google Ireland Limited par l'appellation Google sans nous attarder sur les rôles respectifs de ces deux entités.
Néanmoins, il est important de noter que deux contrats distincts sont établis par Google pour la distribution d'une application sur Google Play :
- un contrat avec l'éditeur de l'application et
- un contrat avec l'utilisateur de l'application.
Avec l'éditeur de l'application, Google établit un contrat intitulé Contrat relatif à la distribution sur Google Play (pour les développeurs).
Dans son paragraphe 3, ce contrat précise que l'éditeur de l'application désigne Google pour mettre le logiciel à disposition des utilisateurs sur Google Play.
3. Relation commerciale, tarification, paiements et taxes
3.1 Vous nommez Google en tant que Votre agent ou fournisseur de services de la place de marché comme indiqué ici pour mettre Vos Produits à la disposition des utilisateurs dans Google Play.
Source : Contrat relatif à la distribution sur Google Play (pour les développeurs) du 3 octobre 2022
Quant à l'utilisateur de l'application, il est assujetti aux Conditions d'utilisation de Google Play.
Et, dans ce document, Google indique qu'il recueille et traite des données à caractère personnel dans le cadre défini par ses Règles de confidentialité.
Informations vous concernant. Les Règles de confidentialité de Google expliquent comment nous traitons vos données à caractère personnel et protégeons votre vie privée lorsque vous utilisez Google Play.
Source : Conditions d'utilisation de Google Play du 4 août 2020
Sur cette base, quand on considère les applications qualifiées de dispositif médical (DM), l'utilisation de Google Play pour leur distribution pourrait faire de Google
- un distributeur de dispositifs médicaux et
- un responsable du traitement de données de santé.
Distribution d'un logiciel dispositif médical
Le Règlement (UE) 2017/745 relatif aux dispositifs médicaux (DM) fournit la définition suivante de distributeur de dispositifs médicaux.
Distributeur
Toute personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, qui met un dispositif à disposition sur le marché, jusqu'au stade de sa mise en service.
Source : Règlement (UE) 2017/745, Article 2, Définition 34
Ainsi, en distribuant un logiciel dispositif médical sur Google Play, Google rentrerait dans le cadre de cette définition.
Et, par voie de conséquence, il devrait au moins respecter les exigences de l'article 14 du Règlement (UE) 2017/745 qui traite des obligations générales des distributeurs.
Parmi ces exigences, on peut remarquer le devoir d'informer l'autorité compétente de l'état membre dans lequel il est établi s'il a des raisons de croire qu'un logiciel dispositif médical dont il est distributeur est un dispositif falsifié.
Ceci dans le but d'assurer la sécurité des patients.
Lorsque le distributeur considère ou a des raisons de croire que le dispositif présente un risque grave ou est un dispositif falsifié, il informe également l'autorité compétente de l'État membre dans lequel il est établi.
Source : Règlement (UE) 2017/745, Article 14
Pensez-vous que Google ait mis en place l'organisation nécessaire et les processus requis pour respecter les obligations générales des distributeurs de dispositifs médicaux ?
Dans tous les cas, à ce jour, il n'en est pas fait mention dans son Contrat relatif à la distribution sur Google Play.
Traitement de données de santé
Le Règlement (UE) 2016/679 relatif à la protection des données (RGPD) fait reposer la définition de données concernant la santé sur la définition de données à caractère personnel.
Données concernant la santé
Les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.
Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Source : Règlement (UE) 2016/679, Article 4, Définitions 15 et 1
Et ce règlement précise que toute opération effectuée sur des données à caractère personnel, y compris la transmission et / ou la conservation, constitue un traitement.
Traitement
Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Source : Règlement (UE) 2016/679, Article 4, Définition 2
Par ailleurs, les Conditions d'utilisation de Google Play indiquent que Google recueille et traite des données à caractère personnel dans le cadre de ses Règles de confidentialité.
Et ces Règles de confidentialité précisent que les données personnelles recueillies permettent l'identification, sans équivoque, de l'utilisateur considéré et des applications qu'il a installées.
Les informations que nous collectons incluent les identifiants uniques, le type et les paramètres du navigateur, le type et les paramètres de l'appareil, le système d'exploitation, des données relatives au réseau mobile (telles que le nom de l'opérateur et le numéro de téléphone) et le numéro de version de l'application. Nous recueillons aussi des informations relatives aux interactions entre vos applications, vos navigateurs, vos appareils et nos services, telles que l'adresse IP, les rapports d'erreur, l'activité du système, ainsi que la date, l'heure et l'URL de provenance de votre demande.
Nous collectons ces informations lorsqu'un service Google contacte nos serveurs depuis votre appareil, par exemple lorsque vous installez une application depuis le Play Store ou quand un service vérifie la disponibilité de mises à jour automatiques. Si vous utilisez un appareil Android sur lequel des applications Google sont installées, votre appareil contacte régulièrement les serveurs Google pour nous fournir des informations le concernant ou liées aux connexions à nos services, telles que le type d'appareil que vous utilisez, le nom de l'opérateur, des rapports d'erreur, les applications que vous avez installées et, selon les paramètres de votre appareil, d'autres informations sur l'usage que vous faites de votre appareil Android.
Source : Règles de confidentialité de Google du 4 octobre 2022
Par voie de conséquence, en distribuant un logiciel dispositif médical sur Google Play, Google serait en train de mettre en œuvre des traitements de données de santé.
En effet, la nature médicale de l'application fournirait des informations sur l'état de santé de l'utilisateur.
Pensez-vous que Google ait prévu l'organisation requise et dispose des accréditations nécessaires pour mettre en œuvre des traitements de données de santé dans le cadre de la distribution de logiciels avec Google Play ?
De nouveau, à ce jour, il n'est fait aucune mention à ce sujet dans le Contrat relatif à la distribution sur Google Play ni dans les Conditions d'utilisation de Google Play.
Positionnement de Google
Google fait tout son possible pour que ses contrats, ses règlements et ses conditions d'utilisation s'avèrent particulièrement absconces pour tous ceux qui souhaitent en prendre connaissance :
- les informations utiles manquent souvent de précision,
- elles sont éparpillées sur plusieurs documents,
- elles sont noyées parmi des propos sans rapport avec l'objet du document…
Cependant, pour l'utilisation de Google Play par les fabricants de logiciels dispositifs médicaux, Google a fait preuve de clairvoyance et de clarté.
D'une part, le Contrat relatif à la distribution sur Google Play précise que l'éditeur de l'application doit se conformer au Règlement du programme pour les développeurs.
Et ce règlement souligne que la distribution de logiciels dispositifs médicaux sur Google Play n'est pas autorisée.
Fonctionnalités médicales
Nous n'autorisons pas les applications présentant des fonctionnalités médicales ou liées à la santé qui sont mensongères ou potentiellement dangereuses. Par exemple, nous n'autorisons pas les applications qui affirment disposer d'une fonction d'oxymétrie uniquement basée sur l'application. Les applications d'oxymètre doivent être acceptées par un équipement externe, un accessoire connecté ou des capteurs de smartphone dédiés conçus pour prendre en charge une fonction d'oxymétrie. Ces applications acceptées doivent aussi comporter des clauses de non-responsabilité dans les métadonnées. Ces clauses doivent stipuler qu'elles ne sont pas destinées à un usage médical, sont uniquement conçues à des fins générales de forme et de bien-être et ne sont pas un dispositif médical. Elles doivent aussi correctement indiquer le modèle des équipements/appareils compatibles.
Source : Règlement du programme pour les développeurs : Services et contenu liés à la santé
D'autre part, le cas échéant, Google fait endosser à l'éditeur de l'application distribuée toutes les responsabilités éventuelles. Notamment les responsabilités liées aux pertes ou dommages que Google pourrait subir.
4.10 Vous êtes seul responsable et dégagez Google de toute responsabilité à Votre égard concernant Vos Produits, y compris l'utilisation de toute API Google Play et les conséquences découlant de Vos actions, notamment les pertes ou les dommages que subirait Google.
Source : Contrat relatif à la distribution sur Google Play (pour les développeurs) du 3 octobre 2022
Cette approche protège particulièrement bien les intérêts de Google.
En effet, la lecture des Règles de confidentialité de Google du 4 octobre 2022 permet de supposer que Google ne respecte pas les exigences réglementaires applicables aux traitements de données de santé dans le cadre de Google Play.
Et de tels manquements à la réglementation en vigueur pourraient se chiffrer à plusieurs millions d'euros d'amende.
Au titre d'exemple, en avril 2022, la société Dedalus Biologie a été sanctionnée à hauteur de 1.5 millions d'euros pour des défauts de sécurité de données médicales.
Implications pour les fabricants de logiciels dispositifs médicaux
Vous l'avez bien compris : la distribution d'un logiciel dispositif médical sur Google Play n'est aujourd'hui pas possible.
D'autant que, se fondant sur l'opposition explicite de Google, les utilisateurs potentiels pourraient penser à une contrefaçon et contacter
- l'ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) ou la CNIL (Commission Nationale de l'Informatique et des Libertés) pour ce qui touche au respect de la réglementation ou encore
- directement Google pour faire retirer l'application de la plateforme.
De plus, en cas de poursuites, Google serait en mesure de se retourner contre le fabricant sur la base du contrat établi.
Nonobstant, il existe toujours une manière efficace de distribuer un logiciel dispositif médical dans le cadre du respect de la réglementation en vigueur.
Au besoin, je serai heureux de vous aider pour ce faire.
Pour en savoir plus
Les données concernant la santé sont des données sensibles protégées par le Règlement (UE) 2016/679 (ou RGPG).
Dans l'Union Européenne, les logiciels dispositifs médicaux (DM ou DMDIV) requièrent un marquage CE.