FAQ de l'offre : Conformité (labels, référencements et certifications)

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

L’exigence ETH.33 « Le Système DOIT intégrer dans son cycle de vie une démarche globale de développement durable. » concerne la société de TLC au sens large alors que l’exigence ETH.34 « Le Système DOIT mettre en œuvre des pratiques d'écoconception afin de réduire l’impact environnemental du service. » concerne le logiciel.

Au sujet de la démarche globale, il est attendu de prouver l’engagement de la société dans sa préoccupation au sujet de l’impact environnemental du numérique de la TLC. Vous devez démontrer une démarche d’évaluation, par exemple avoir un écolabel par un organisme indépendant, faire une autoévaluation, fournir un rapport annuel RSE avec description des activités, transmettre le pourcentage de salariés formés à l’écoconception. 

L’écoconception concerne la façon de coder le SI. 

Dans les deux cas, l’objectif est de réduire votre impact environnemental.

Pour rappel l’exigence ETH.29.1 est la suivante : « Le Système DOIT être développé en Responsive Web Design (RWD) permettant une adaptation automatique de l’affichage à la taille de l’écran du terminal qui le lit [...] ».

Le Responsive Web Design (RWD) doit permettre une adaptation automatique de l'affichage à la taille de l'écran du terminal qui le lit à la fois pour le patient mais aussi pour le professionnel médical. Si une charte impose l'utilisation d'un dispositif spécifique pour le professionnel médical, l'affichage doit être optimisé pour ce dernier. Il n'est pas imposé d'optimiser l'affichage automatique de l'écran pour les autres dispositifs.

Dans le cadre de l'exigence ETH.24.1 « SI les données recueillies au cours de la téléconsultation sont traitées pour servir une finalité secondaire, ALORS les données DOIVENT être traitées de façon à ne pas permettre la réidentification directe des patients ? », il est conseillé de suivre les règles de la CNIL auquel cas, il est attendu de votre système, une démonstration de sa performance à anonymiser / pseudonymiser. (échantillonnage, process d’évaluation et de qualification par exemple : score d’anonymisation). Il est recommandé de spécifier le processus de pseudomysation, de produire l’attestation du DPO, …

Dans le cas où les données sont anonymisées, il doit être impossible de réidentifier l'usager. Si les données sont pseudonymisées, la réidentification de l’usager est directement impossible, mais indirectement possible.

Vous pouvez consulter les procédés proposés par le CNIL sur leur site.

On appelle Système d'Intelligence Artificielle (SIA) un logiciel, développé à l'aide d'une ou de plusieurs des techniques et approches énumérées ci-dessous, capable de calculer à partir d’éléments reçus en entrée des résultats représentant des prédictions, des recommandations ou des propositions de décisions susceptibles d'influencer des environnements, physiques ou virtuels, avec lesquels le SIA interagit. Les différents systèmes d'IA varient en fonction de leur niveau d'autonomie et de leur capacité d'adaptation après leur déploiement.

Les techniques et approches considérées sont les suivantes :

• les approches d'apprentissage automatique (AAA) encore appelé apprentissage machine, notamment les apprentissages supervisés, non supervisé ou par renforcement, pouvant utiliser une grande variété de techniques, y compris l'apprentissage profond. Les systèmes d’IA générative utilisent ce type d’approche et s'appuient sur des réseaux neuronaux numériques profonds pour générer leurs résultats. Les AAA permettent aux SIA d’identifier des motifs, des structures, ou des relations dans les données puis de les utiliser pour produire un résultat.
• les approches logiques et fondées sur les connaissances, intégrant le raisonnement (symbolique), les bases de connaissances, les moteurs d'inférence notamment déductifs, la programmation inductive (logique) et les systèmes experts.
• Les approches statistiques, l'estimation bayésienne, les méthodes de recherche et d'optimisation.

L'exigence ETH.17.1 « SI le Système intègre une intelligence artificielle, que ce soit pour l'aide à la décision du professionnel médical ou un chatbot interagissant avec le patient ALORS le Système DOIT informer les utilisateurs (professionnels médicaux et/ou patients) qu'ils interagissent avec une solution d'intelligence artificielle, s’assurer de leur bonne compréhension, et recueillir leur consentement. » s'applique uniquement aux solutions de téléconsultation intégrant une intelligence artificielle au cours du parcours de téléconsultation. Cette exigence est donc considérée "Non applicable" pour une solution de téléconsultation qui n’intègre pas d’intelligence artificielle, ou qui intègre une intelligence artificielle en dehors de la téléconsultation (par ex., chatbot répondant aux questions en rapport avec l’utilisation du SI de téléconsultation). Dans ce cas, une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve.

Il en est de même pour l'exigence ETH.18.1 « SI le Système met en œuvre un traitement algorithmique des données issues de la téléconsultation intégrant une intelligence artificielle ALORS le Système DOIT documenter et rendre consultable par tous, le niveau de performance et les biais algorithmiques de la solution d'intelligence artificielle. »

La réponse ci-dessous est aussi valable pour l’ETH.12 et ETH.30.

Pour rappel l’exigence ETH.11.1.2 est la suivante : « En cas de réutilisation des données issues de la téléconsultation, le Système DOIT mettre en œuvre des mécanismes permettant de garantir que les patients ont été informés de la réutilisation de leurs données pour servir des finalités secondaires, de la finalité poursuivie, de l’identité du responsable de traitement (si différent du SI de téléconsultation), et des droits RGPD des personnes, qu'ils l'ont bien compris et qu’ils y consentent. » Le consentement au recueil des données de la téléconsultation et au traitement de ces données en rapport avec la prise en charge du patient est inclus dans le consentement à la téléconsultation. Le traitement des données servant une finalité secondaire nécessitera autant de consentements que de finalités secondaires. (consentement à la carte, la dissociation des finalités secondaires est donc requis). 

Par exemple dans le cas particulier de la recherche, il peut y avoir plusieurs recherches et dans ce cas, si la Sté de TLC a obtenu une autorisation générique recherche, un seul consentement au traitement des données pour la recherche suffira en plus du consentement à la téléconsultation qui lui sera obtenu à chaque téléconsultation. Si la Sté de TLC n’a pas obtenu d’autorisation générique recherche, il faudra autant de consentements que de finalités de recherche, en plus du consentement à la téléconsultation, à chaque téléconsultation. 

Si les données sont anonymisées, elles ne sont pas réidentifiantes et elles perdent leur statut de données à caractère personnel. Dans ce cas, la réutilisation secondaire des données anonymisées est possible après une simple information du patient. Néanmoins, l’éditeur doit se donner les moyens de vérifier que cette information a bien été comprise par les patients. 

Au contraire, si les données sont pseudonymisées (une réidentification du patient est possible), le RGPD est applicable, et d'un point de vue éthique, il est attendu que l'éditeur recueille le consentement du patient pour chaque type de réutilisation secondaire des données et qu’il s’assure de la bonne compréhension par le patient des informations qui lui sont fournies, condition d’un consentement éclairé. Aussi, il est nécessaire de savoir si les données sont anonymisées ou seulement pseudonymisées.

Dans le cas du critère ETH.11.1.2 « En cas de réutilisation des données issues de la téléconsultation, le Système DOIT mettre en œuvre des mécanismes permettant de garantir que les patients ont été informés de la réutilisation de leurs données pour servir des finalités secondaires, de la finalité poursuivie, de l’identité du responsable de traitement (si différent du SI de téléconsultation), et des droits RGPD des personnes, qu'ils l'ont bien compris et qu’ils y consentent », une finalité secondaire est la finalité d'un traitement qui ne sert pas directement le soin du patient.

Cela peut être par exemple d’améliorer le service, de servir la recherche, la commercialisation des données ou des résultats d’analyse des données, l’utilisation des données pour alimenter les statistiques propres à l’éditeur, etc.

Cette définition est valable également pour ETH.12 et ETH.30 

• ETH.12 : « Le Système DOIT mettre en œuvre des mécanismes permettant de distinguer le type des finalités secondaires en faisant la différence entre les finalités secondaires non essentielles servant notamment l’intérêt général et les finalités secondaires non essentielles servant un intérêt particulier, afin de permettre un consentement "à la carte" » (par ex., pouvoir consentir au traitement des données à des visées de recherche et ne pas consentir au traitement servant la production de statistiques d’usage à destination de l’éditeur).
• ETH.30 : « Le Système DOIT permettre aux patients de ne pas consentir au traitement de leurs données pour servir une finalité secondaire sans qu’il n’y ait de dégradation du service rendu par le STLC ou d’impact sur la qualité de leur prise en charge. »

L'exigence ETH.11.1.2 précise qu' « en cas de réutilisation des données issues de la téléconsultation, le Système DOIT mettre en œuvre des mécanismes permettant de garantir que les patients ont été informés de la réutilisation de leurs données pour servir des finalités secondaires, de la finalité poursuivie, de l’identité du responsable de traitement (si différent du SI de téléconsultation), et des droits RGPD des personnes, qu'ils l'ont bien compris et qu’ils y consentent ». L'analyse d’un panel de patients (idéalement une trentaine, et au moins 10) pourrait répondre à l'exigence, à condition que ce soit un panel représentatif de la population d’usagers ciblées par la téléconsultation (en termes par exemple d'âge, de sexe, de handicap, de niveau de littératie, de catégorie socio professionnelle…).

L'exigence ETH.09.1 « SI la téléconsultation est enregistrée, le Système DOIT en informer le patient (l'information doit être claire et facilement accessible), et le Système DOIT permettre au patient de consentir à l'enregistrement de la téléconsultation ou de mettre fin à la téléconsultation ? » s'applique uniquement aux solutions de téléconsultation proposant l'enregistrement des téléconsultations. 

Cette exigence est donc considérée "Non applicable" pour les solutions de téléconsultation qui n’enregistrent pas les téléconsultations. Dans ce cas, une déclaration sur l'honneur justifiée, datée et signée par le responsable légal de l'entreprise, devra être fournie en preuve.

L'exigence ETH.07.1 « Le Système DOIT permettre au patient lors de la téléconsultation d'accéder aux informations suivantes : la civilité, le titre, le nom, le prénom, la spécialité, le niveau de formation du professionnel de santé à la téléconsultation (formation interne de la société de téléconsultation, formation réalisée par une société savante, formation du Développement Professionnel Continu, formation par une organisation de Formation Médicale Continue, ...) et s'il a un exercice médical en présentiel, l'adresse de son cabinet. » impose que les informations du professionnel médical soient mises à disposition du patient. Si le professionnel médical exerce également en présentiel, l'adresse de son lieu d’exercice doit être accessible au patient. Il est accepté de ne renseigner que la ville ou le code postal du lieu d'exercice.