Services numériques en santé, des référentiels… et des sanctions

1. Incitations et sanctions depuis fin 2024

Pour mémoire, un titre dédié aux services numériques en santé avait été introduit par ordonnance en mai 2021 imposant notamment la conformité des services numériques en santé aux référentiels de l’ANS -rendus opposables par voie réglementaire- de sécurité et d’interopérabilité à l’époque, et depuis lors également d’éthique, afin de « garantir l’échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel ».
Au départ, seuls des mécanismes d’incitation à la conformité par l’attribution de fonds publics dédiés en particulier et une liste des services disposant de certificats de conformité aux référentiels mise à disposition du public, avaient été prévus.

C’est fin décembre 2022, que la loi de financement de la sécurité sociale pour 2023[3] avait introduit à l’article L1470-6 CSP[4] la possibilité pour le ministre de la santé, sur proposition de l’ANS, de prononcer, après que l’intéressé éditeur de services numériques en santé ou utilisateur, ait été mis en mesure de présenter ses observations, une pénalité financière à sa charge d’un maximum de 1% du CA réalisé par l’éditeur en France au titre du dernier exercice clos, dans la limite d’1M d’€, ou 1000 pour les utilisateurs personnes physiques et 10 000€ pour les utilisateurs personnes morales.

Ces dispositions en vigueur depuis le 31 décembre 2024 prévoyait que des « modalités complémentaires d’incitation à la mise en conformité » pourraient être prévues par décret.

2. Contrôles et sanctions en 2026

Un décret du 3 mars 2026[5] est venu compléter les dispositions réglementaires relatives au certificat de conformité des services numériques en santé, par des dispositions relatives aux contrôles et sanctions.
Il y est notamment prévu l’administration par l’ANS d’un portail de recueil des signalements des manquements des éditeurs de services numériques en santé à leurs obligations de respecter les référentiels, et la définition annuelle d’un programme de contrôle – approuvé par arrêté- du respect des référentiels par les services numériques en santé, et s’il y a lieu, de leur obligation de disposer du certificat de conformité. Un bilan annuel sera rendu public.
L’ANS est également dotée du pouvoir de procéder à des visites sur site et d’obtenir des démonstrations des outils et de leurs spécifications.
Lorsque l’ANS constate un manquement, à la suite d’un signalement ou d’un contrôle ou audit, et que ce manquement persiste après injonction d’y remédier, elle propose au ministre de déclencher une procédure de sanction dans les limites légales susvisées, possiblement assortie d’une astreinte.
« Les critères d'appréciation de la gravité tiennent compte des spécificités du référentiel qui n'a pas été respecté, du nombre et de la nature de non-conformités, de l'impact potentiel du manquement sur la prise en charge des patients, des risques pour la santé publique et des conséquences financières pour l'assurance maladie. Lorsque l'auteur présumé du manquement est un éditeur, le montant de la pénalité proposée tient compte des conséquences de ce manquement sur le respect par les professionnels ou utilisateurs du service numérique en santé concerné de leurs obligations. »
Une procédure contradictoire est prévue afin de permettre à l’éditeur de formuler ses observations.

C’est donc non seulement par la CNIL au titre du RGPD pour manquement aux obligations de sécurité du sous-traitant mais également par le ministre de la Santé sur proposition de sanction de l’ANS au titre de manquements spécifiques réglementaires relatifs à la sécurité, l’interopérabilité et l’éthique, qu’un éditeur peut être sanctionné…

Si ces ambitions importantes de sécurité, d’interopérabilité et d’éthique des services numériques en santé apparaissent indispensables, reste que le volume d’exigences introduites par les référentiels peut être délicat (i) à appréhender par les acteurs -notamment relevant d’autres Etats membres (avec des référentiels en français uniquement)- et également, (ii) à maintenir pour assurer leur conformité aux dispositions de règlements européens tels que le règlement sur l’IA, l’EHDS ou le Data Act. A ce dernier sujet, et à titre d’exemple, on relèvera notamment que les termes du référentiel « Ethique by design » de l’IA en santé de 2022[6] mériteraient une mise à jour pour s’articuler avec ceux du règlement IA, et tenir compte des dispositions de l’EHDS écartant le consentement comme base légale de l’utilisation secondaire des données de santé.

Si les référentiels de sécurité, d’interopérabilité et d’éthique constituent néanmoins des outils de guidance importants pour les éditeurs aujourd’hui, gageons que ces sanctions seront de nature incitative pour les éditeurs français et étrangers à s’inscrire dans une démarche de conformité… et non d’évitement du marché national.

Et n’oubliez pas de prendre connaissance de la doctrine du numérique en santé[7], la version 2026 vient d’être publiée !