Les impacts de la loi européenne sur les données sur les entreprises de dispositifs médicaux et de santé

Le Règlement de l’UE sur les règles harmonisées concernant l’accès et l’utilisation équitables des données (« Loi sur les données de l’UE »)[1] est entrée en vigueur le 11 janvier 2024. La loi européenne sur les données introduit de nouvelles règles concernant l’accès, l’utilisation et le partage des données générées par les produits connectés ou les services associés. Le Data Act aura un impact important sur les entreprises du monde entier et notamment sur les entreprises du secteur des dispositifs médicaux et de santé.

Sous réserve de dispositions particulières, les organisations couvertes par le Data Act de l’UE devront se conformer à leurs obligations d’ici le 12 septembre 2025. Dans cet article, nous examinons de plus près l’application du Data Act et les étapes à suivre. prises pour s’y conformer.

À qui s’applique la loi européenne sur les données ?

La loi européenne sur les données s’applique notamment aux fabricants de « Produits connectés » et aux fournisseurs de « Services associés ».

« Produits connectés » fait référence à tout appareil ou portable qui obtient, génère ou collecte des données concernant leur utilisation ou leur environnement et qui est capable de communiquer ces données via un service de communications électroniques, une connexion physique ou un accès sur l’appareil.[2] Cela inclut les appareils médicaux connectés et autres appareils liés à la santé, tels que les appareils de surveillance, les pompes à perfusion, les dispositifs implantés, les auto-injecteurs, les appareils de diagnostic, les appareils portables de bien-être, les trackers de fitness, les capteurs ingérables, les scanners IRM et à rayons X, etc.

« Services associés » fait référence à tous les services numériques connectés aux produits connectés. Cela inclut les applications ou les interfaces utilisateur fournies avec les produits connectés.

Les fournisseurs de « Produits connectés » et de « Services associés », quel que soit leur lieu d’établissement, doivent se conformer à la loi européenne sur les données dans la mesure où leurs utilisateurs sont situés dans l’UE. Cela implique que les organisations établies en dehors de l’UE pourraient également être soumises à la loi européenne sur les données.

Quelles obligations la loi sur les données impose-t-elle ?

La loi européenne sur les données impose notamment une série d’obligations aux « titulaires de données ». Les titulaires de données sont des personnes physiques ou morales qui ont le droit ou l’obligation légale d’utiliser et de mettre à disposition des données. Il s’agit généralement des fabricants des Produits Connectés et/ou des fournisseurs de Services Associés. Les entreprises produisant des appareils médicaux et de santé pourraient être considérées comme détentrices de données.

En application de la loi européenne sur les données, les Titulaires des Données doivent notamment :

Fournir aux utilisateurs des informations sur les données générées par le Produit Connecté ou les Services Associés et sur la manière dont celles-ci sont utilisées ;[3]
Concevoir les Produits Connectés et les Services Associés de manière à permettre un accès direct et facile aux données du Produit Connect et des Services Associés, y compris les métadonnées pertinentes ;[4]
Rendre les données, y compris les métadonnées pertinentes, facilement accessibles aux utilisateurs ou, sous certaines conditions, à un tiers désigné par les utilisateurs sans retard injustifié et, lorsque cela est pertinent et techniquement possible, en continu et en temps réel ;[5]
Rendre les données, y compris les métadonnées pertinentes, disponibles à une autre entreprise ; fournir un accès équitable, raisonnable, non discriminatoire et transparent à ces données ; et ne doit pas facturer de frais excessifs pour ce faire ;[6]
Sous certaines conditions, partager des données, y compris des métadonnées pertinentes, avec des organismes du secteur public, lorsqu’il existe un besoin exceptionnel d’utiliser ces données pour l’exécution d’une tâche spécifique effectuée dans l’intérêt public, comme les statistiques officielles, ou l’atténuation ou la récupération de une urgence publique ;[7]
désigner un représentant légal dans un État membre de l’UE, s’il n’est pas établi dans l’UE.[8]

Ces obligations d’accès aux données s’appliquent aux « Données Produits » et aux « Données des Services associés ». Les Données Produit font référence aux données générées par l’utilisation du Produit Connecté et récupérables.[9]. À leur tour, les données des Services Associés font référence aux données représentant la numérisation des actions des utilisateurs ou des événements liés au Produit Connecté.[10]. En pratique, celles-ci couvrent toutes les données générées par l’utilisation du Produit Connecté ou du Service Associé, et s’appliquent aussi bien aux données personnelles que non personnelles, y compris les métadonnées pertinentes. Toutefois, les données déduites ou dérivées ne sont pas couvertes.

Il convient de souligner que les « Utilisateurs » au sens de la loi européenne sur les données désigne toute personne physique ou morale qui possède ou loue un Produit connecté ou reçoit des Services associés. Dans le cas des dispositifs médicaux et des dispositifs de santé, les utilisateurs peuvent être des patients ou des individus, ainsi que des prestataires de soins de santé.

A noter que l’accès aux données peut être restreint, notamment :

Les utilisateurs et les titulaires de données peuvent restreindre ou interdire contractuellement l’accès aux données si cela menace la sécurité du produit ou a un impact négatif sur la santé, la sûreté ou la sécurité ;
Les Utilisateurs et Titulaires de Données peuvent accepter la mise en œuvre de mesures techniques et organisationnelles proportionnées, nécessaires à la préservation de la confidentialité des secrets d’affaires.

Quelles mesures de conformité les entreprises de dispositifs médicaux et de santé doivent-elles prendre ?

La loi européenne sur les données aura des implications considérables sur les entreprises de dispositifs médicaux et de santé actives sur le marché de l’UE. En effet, la conformité à ce nouveau Règlement nécessitera des changements allant de la conception et du développement d’un Produit Connecté et/ou de Services Associés, à la mise en œuvre de procédures et processus, jusqu’à la rédaction des informations requises. Il est donc essentiel qu’ils commencent immédiatement à travailler au respect de cette nouvelle réglementation.

Les entreprises de dispositifs médicaux et de santé soumises à la loi européenne sur les données devront notamment :

Veiller à ce que leurs Produits Connectés ou Services Associés soient conçus de manière à permettre de remplir les obligations d’accès aux données ;
Rédiger une notice sur les données générées par leurs Produits Connectés ou Services Associés ;
Mettre en œuvre des procédures et processus internes pour répondre à toute demande d’accès aux données ;
Identifiez et documentez les données qui doivent être protégées en tant que secrets commerciaux, ainsi que les mesures nécessaires qui doivent être mises en œuvre pour les protéger. Cela suppose de procéder à une analyse approfondie pour déterminer si l’accès à certaines données pourrait affecter la confidentialité de leurs secrets d’affaires, et d’identifier et de mettre en œuvre des mesures proportionnées afin de sauvegarder ces secrets d’affaires, essentielles à la protection de leurs modèles économiques et de leur compétitivité ;
Consultez leurs termes et conditions.

Quels sont les risques en cas de non-respect de la loi européenne sur les données ?

Les sanctions en cas de violation de la loi européenne sur les données seront définies au niveau national par chaque État membre de l’UE.[11] Les États membres de l’UE doivent rendre compte à la Commission européenne des règles mises en œuvre à cet égard d’ici le 12 septembre 2025.[12]

Les violations des obligations liées au partage de données pourraient être sanctionnées par les amendes administratives prévues par le Règlement général sur la protection des données (RGPD) de l’UE, à savoir des amendes administratives allant jusqu’à 20 000 000 EUR ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’organisation qui s’engage. l’infraction.[13]

Conclusion

La loi européenne sur les données sera applicable à partir du 12 septembre 2025. Compte tenu des étapes conséquentes qui seront nécessaires pour se conformer à la loi européenne sur les données, les entreprises de dispositifs médicaux et de santé feraient bien de commencer dès maintenant à évaluer ce qu’elles devront faire pour s’y conformer. avec ça. En commençant tôt ce processus d’adaptation, ils peuvent réduire les responsabilités potentielles et garantir le respect de la loi européenne sur les données de manière appropriée et en temps opportun.

[1] Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées concernant l’accès et l’utilisation équitables des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (loi sur les données). ).

[3] Article 3, paragraphes 2 et 3, de la loi européenne sur les données.

[4] Article 3, paragraphe 1, de la loi européenne sur les données.

[5] Article 3, paragraphes 2, et 4, paragraphe 1, de la loi européenne sur les données.

[6] Articles 5 et 8 de la loi européenne sur les données.

[7] Articles 14, 15 et 18 de la loi européenne sur les données.

[8] Article 37, paragraphe 11, de la loi européenne sur les données.

[9] Article 2, paragraphe 15, de la loi européenne sur les données.

[10] Article 2, paragraphe 16, de la loi européenne sur les données.

[11] Article 40, paragraphe 1, de la loi européenne sur les données

[12] Article 40, paragraphe 2, de la loi européenne sur les données

[13] Article 40, paragraphe 4, de la loi européenne sur les données

A propos de l’auteur

Anne Gabrielle Haie

Partenaire

Anne-Gabrielle Haie conseille ses clients sur un large éventail de questions liées au numérique, avec un accent particulier sur la protection des données, la confidentialité et la cybersécurité. De plus, elle a développé une expertise considérable sur l’IA et la blockchain.

Elle conseille ses clients sur le respect des lois de l’UE et la gestion des risques. Anne-Gabrielle possède également une solide expérience dans le conseil aux clients sur les questions de confidentialité des données et de cybersécurité liées aux transactions stratégiques et aux négociations commerciales. Elle aide en outre les clients dans la préparation à la cybersécurité et la réponse aux violations de données et autres incidents de sécurité.

La pratique d’Anne-Gabrielle inclut la représentation de clients dans le cadre d’actions en exécution et en contentieux devant les autorités de contrôle et les tribunaux européens.

Ses clients comprennent des multinationales, des start-ups et des scale-ups dans divers secteurs, et elle possède une solide expérience dans les secteurs des sciences de la vie et de la technologie.

A propos de l’auteur

Maria Avramidou

Associé

Maria Avramidou conseille ses clients en matière de confidentialité, de protection des données, de cybersécurité et sur des questions générales de droit numérique. Elle aide notamment ses clients à se conformer aux lois européennes et nationales sur la protection des données et le numérique, notamment le RGPD, la directive NIS 2, le Digital Service Act et le Data Governance Act. En outre, les connaissances de Maria s’étendent aux lois et réglementations internationales sur la protection des données, l’IA, les données et les plateformes numériques. En plus d’élaborer des programmes de conformité et de sensibilisation, elle possède de l’expérience en gestion des risques.

De plus, Maria a acquis une expérience significative en conseillant des startups actives dans différents secteurs dans leur conformité aux lois et politiques numériques, notamment en matière de transferts internationaux de données personnelles, d’IA et de données.

Avant de rejoindre Steptoe, Maria était stagiaire à la Commission européenne, DG JUST, Unité Affaires internationales et flux de données.

Archie Mitchell

Archie Mitchell, with a prestigious master’s degree from France and two decades of experience, is an authority in his field, renowned for making complex subjects engaging through his blog. At 49, he seamlessly merges academic knowledge with practical insights, aimed at educating and empowering his audience. Beyond his professional life, Archie’s hobbies and personal interests add depth to his writing, making it a valuable resource for both professionals and enthusiasts looking to expand their understanding.

Rédigé par

Archie Mitchell

Archie Mitchell, with a prestigious master's degree from France and two decades of experience, is an authority in his field, renowned for making complex subjects engaging through his blog. At 49, he seamlessly merges academic knowledge with practical insights, aimed at educating and empowering his audience. Beyond his professional life, Archie's hobbies and personal interests add depth to his writing, making it a valuable resource for both professionals and enthusiasts looking to expand their understanding.