Table of Contents

Le paysage changeant du partage des données sur le diabète

L'adoption de systèmes de surveillance continue du glucose (CGM) a fondamentalement modifié la façon dont le diabète est géré. Ces dispositifs produisent un flux continu de données à haute résolution sur les niveaux de glucose interstitiaux, fournissant aux patients et aux cliniciens des informations exploitables qui étaient inimaginables avec les méthodes traditionnelles de la touche de doigt. Ces données, cependant, sont profondément personnelles et cliniquement sensibles. À mesure que l'écosystème entourant la technologie de la MCC s'étend, les données se transmettent souvent au-delà de la relation initiale entre les patients et les dispositifs à un large éventail de tiers, y compris les fournisseurs de services en nuage, les algorithmes de renseignement artificiel, les sociétés pharmaceutiques, les assureurs-santé et les aidants familiaux.

L'écosystème essentiel : cartographie des flux de données et des intervenants liés aux MCC

Comprendre les dimensions juridiques et éthiques commence par une carte claire de la façon dont les données de la MCC se déplacent et qui les touche.

  • Le capteur et l'émetteur:[ Le matériel porté par le patient qui mesure le glucose interstitiel et le diffuse sans fil.
  • L'application locale (App ou lecteur de téléphone intelligent):[ reçoit des données biométriques de l'émetteur, affiche les valeurs actuelles de glucose, stocke des données historiques localement et transmet les données au nuage.
  • Le fabricant , Cloud Platform:[ Infrastructure de moteur centralisée qui regroupe les données de millions d'appareils, exécute des algorithmes analytiques et fournit des portails destinés aux patients et des tableaux de bord destinés aux cliniciens.
  • L'application ou le service tiers:[ Toute entité qui reçoit des données du fabricant via une API, SDK, ou le partage direct de données par l'utilisateur. Cela comprend les applications de coaching en santé numérique, les plateformes d'études de recherche, les systèmes de dossiers de santé électroniques (DSE) et les programmes de bien-être des assureurs.

La désignation « tierce partie » est large. Elle s'étend aux entités couvertes par l'HIPAA (cliniques spécialisées, hôpitaux), aux associés commerciaux (fournisseurs d'hébergements de nuages, fournisseurs d'analyses) et aux entités non assujetties à l'HIPAA (programmes de bien-être de l'employeur, applications de santé directe au consommateur, fabricants d'appareils eux-mêmes lorsqu'ils agissent en dehors d'une relation d'entité couverte). Chaque type de bénéficiaire a une désignation juridique différente et une obligation correspondante.

Cadres juridiques des États-Unis

Règles de confidentialité et de sécurité de l'HIPAA

La Health Insurance Portability and Accountability Act (HIPAA) demeure la pierre angulaire de la protection des données sur la santé aux États-Unis pour les entités couvertes (plans de santé, centres de compensation de soins de santé et fournisseurs de soins qui effectuent des transactions électroniques standard) et leurs associés commerciaux. Lorsqu'un appareil de MSC est prescrit et que ses données sont gérées dans un système de soins de santé, les restrictions de l'HIPAA s'appliquent.

Dans ce cas, le développeur et le tiers ne sont généralement pas liés par l'application HIPAA, à moins qu'ils ne soient admissibles comme associés commerciaux agissant au nom d'une entité couverte. L'exception de l'application signifie que les applications de santé des consommateurs sont en grande partie réglementées par d'autres autorités, principalement par les lois de l'État sur la protection de la vie privée et par la Commission fédérale du commerce (CFT). Ce patchwork crée d'importantes lacunes en matière de protection de la vie privée. Par exemple, un programme de bien-être parrainé par l'employeur qui demande à un employé de partager ses données de MSC en échange d'une réduction de primes n'est pas nécessairement une entité couverte par l'application HIPAA, ce qui laisse à l'employé des protections fédérales limitées en matière de protection de la vie privée.

Loi sur les Cures du 21e siècle et blocage de l'information

La loi sur les soins de santé du XXIe siècle et son règlement d'application définitif du Bureau du coordonnateur national des technologies de la santé (ONC) ont apporté des changements radicaux à l'accès aux données de santé. La règle désigne les données de la MSC détenues par un fournisseur de soins comme étant des renseignements de santé électroniques (ISE).

Cette pression réglementaire vers l'interopérabilité permet aux patients de transmettre leurs données de MRC à toute application tierce qu'ils choisissent, souvent via des API normalisées comme HL7 FHIR. Cela permet aux patients de se charger de la protection de la vie privée, mais aussi de transférer la responsabilité de la protection des données au patient au point de partager les données. Le fournisseur doit s'assurer que les données sont accessibles, mais il n'est pas nécessaire de les contrôler.

FDA Surveillance de la cybersécurité des instruments médicaux

La Food and Drug Administration (FDA) réglemente les appareils de MCC comme des appareils médicaux de classe II. L'agence a des directives sur la cybersécurité avant et après la mise en marché qui influent de façon significative sur la façon dont les fabricants de MCC sécurisent leurs appareils et l'infrastructure de données qui y est associée. La FDA exige des fabricants qu'ils conçoivent la sécurité de leurs appareils, y compris les interfaces qui facilitent le partage de données par des tiers.

Les fabricants doivent tenir une facture de matériel logicielle (SBOM), surveiller les vulnérabilités et émettre des correctifs en temps opportun. Lorsqu'un intégrateur tiers introduit un défaut de sécurité, le fabricant de l'appareil assume la responsabilité réglementaire de la sécurité globale du système, même si le défaut réside dans le code de l'intégrateur. Ce modèle de responsabilité partagée fait des exigences contractuelles en matière de sécurité et de contrôle rigoureux des tiers une nécessité réglementaire pour les fabricants de MCC.

Application de la loi par la FTC et règle de notification de violation de la santé

La Commission fédérale du commerce (CFT) est devenue le principal organisme chargé de faire respecter la vie privée des entreprises de santé numériques non visées par la LSIP. En vertu de l'article 5 de la Loi sur la CTF, l'organisme peut poursuivre les entreprises pour des actes ou pratiques injustes ou trompeurs. Une entreprise qui déclare dans sa politique de protection de la vie privée qu'elle ne partagera pas de données sur la santé, mais vend ensuite ces données aux annonceurs a commis un acte trompeur. La CTF a également appliqué avec violence la règle de notification des atteintes à la santé contre les applications de santé.

Pour les développeurs d'applications CGM, cette règle est un point de conformité critique. Si un développeur partage des données CGM avec une entreprise d'analyse de données ou un réseau publicitaire sans autorisation explicite de l'utilisateur final, qui constitue une violation déclenchant des notifications obligatoires. Le FTC , les cas récents contre EasyHealth et GoodRx illustrent la volonté de l'agence de scruter les pratiques de partage de données de santé et d'imposer des sanctions civiles importantes.

L'Union européenne et les cadres réglementaires internationaux

RGPD: Données de catégorie spéciale à risque élevé

Dans l'Union européenne, le règlement général sur la protection des données (RGPD) classe explicitement les données relatives aux MGC comme des "données concernant la santé" en vertu de l'article 9, paragraphe 1. Le traitement de ces données de catégorie spéciale est généralement interdit à moins qu'il n'existe une base juridique explicite. Pour la plupart des scénarios de partage par des tiers, la base appropriée est le consentement explicite. Le consentement doit être donné librement, spécifique, informé et sans ambiguïté.

De plus, comme le traitement des données sur les MGC implique une surveillance à grande échelle de l'état de santé, une évaluation de l'impact sur la protection des données (IDPD) est légalement prescrite en vertu de l'article 35. La DIDPD doit décrire systématiquement le traitement, évaluer la nécessité et la proportionnalité et évaluer les risques pour les personnes concernées.

Nouvelles normes internationales

Les juridictions du monde entier adoptent des lois sur la protection des données spécifiques à la santé. Brésil Lei Geral de Proteção de Dados (LGPD), Japon , loi sur la protection des informations personnelles (APPI) et Inde , loi sur la protection des données personnelles numériques créent des obligations locales qui diffèrent de HIPAA et GDPR. Un fabricant américain de MCC échange des données avec un partenaire de recherche dans un autre pays doit respecter les restrictions locales de transfert de données transfrontières.

Les dimensions éthiques du partage des données

La conformité juridique est à elle seule insuffisante pour établir la confiance.Les dimensions éthiques du partage des données sur les MCC exigent une norme plus élevée, axée sur les principes sous-jacents de l'autonomie, de la bienfaisance, de la non-malédiction et de la justice.

Consentement éclairé et autonomie du patient

Le véritable consentement éclairé exige que les patients comprennent l'étendue du partage des données, l'identité des destinataires, l'objet du traitement et les risques potentiels.Cette norme n'est souvent pas respectée dans la pratique.Les accords de licence d'utilisateur final et les politiques de confidentialité pour les applications de MCC sont des documents longs et denses que peu de patients lisent. Le phénomène de « fatigue de consentement » conduit les patients à cliquer systématiquement sur « d'accord » sans compréhension.

Vie privée, stigmatisation et discrimination

Même les données de MGC dé-identifiées comportent un risque de réidentification. Les données de la série chronologique sur le glucose sont très individualistes, un modèle semblable à une signature biométrique. Un acteur motivé – un assureur, un employeur, un courtier de données – peut avoir des traces de glucose dé-identifié croisées avec d'autres ensembles de données pour réidentifier des patients particuliers.Les conséquences de la réidentification peuvent être graves.Une personne diabétique mal contrôlée peut faire face à des primes d'assurance plus élevées, à une discrimination en matière d'emploi ou à une stigmatisation sociale.

Justice, équité et équité algorithmique

Les avantages de l'agrégation des données sur les MCC ne sont pas partagés de façon égale. Les ensembles de données qui forment les algorithmes prédictifs sont souvent tirés de populations ayant un accès constant aux soins et à la technologie. Si un système d'administration d'insuline en boucle fermée est formé principalement aux données provenant de patients aisés diabétiques de type 1, ses performances peuvent se dégrader de façon significative pour un patient à faible revenu diabétiques de type 2 ou pour des patients atteints de diabète gestationnel de divers milieux ethniques.

Propriété des données et droit de retirer

Une question éthique centrale demeure : qui possède les données de la MCC ? Le patient génère les données, le fabricant fournit l'appareil et la plateforme cloud stocke les documents. La propriété légale est souvent ambiguë. Cependant, le principe éthique de l'autonomie soutient le droit du patient d'accéder, de contrôler et de supprimer ses données. Les accords de tiers doivent définir explicitement la propriété des données. Si un patient retire son consentement, le tiers doit supprimer les données, non pas simplement les anonymiser et continuer à les utiliser à des fins internes.

Bâtir un cadre de gouvernance fiable

La transposition des principes juridiques et éthiques en pratique exige un cadre de gouvernance structuré. Les éléments suivants sont fondamentaux pour les organisations qui souhaitent partager de façon responsable les données sur les MCC.

Effectuer une évaluation d'impact sur la protection des données

Avant de conclure un accord important de partage de données, effectuer une EIDGP complète (dans le cadre du RGPD) ou une évaluation des facteurs relatifs à la vie privée (dans le cadre de l'AIDAP). Cette évaluation devrait identifier les éléments de données qui sont partagés, cartographier le flux de données de la source au destinataire, évaluer la nécessité et la proportionnalité du partage et documenter les mesures d'atténuation des risques.

Mettre en œuvre les garanties contractuelles

Pour les données couvertes par HIPAA, un accord d'association d'affaires (BAA) doit être en place. Pour les données non-HIPAA, un accord de traitement des données complet (DPA) devrait régir la relation. Ces contrats doivent expressément restreindre l'utilisation des données par le tiers à toute autre fin que le service spécifié. Ils devraient interdire la vente de données, l'utilisation secondaire et la divulgation non autorisée.

Appliquer des contrôles d'accès techniques stricts

L'architecture de sécurité doit s'aligner sur le principe de la minimisation des données.Les tiers ne devraient recevoir que les données directement nécessaires à leur fonction. Utilisez l'accès tokenisé via les protocoles OAuth 2.0 pour permettre aux patients d'accorder et de révoquer l'accès à la demande sans exposer leurs principales références.

Donner aux patients des moyens de contrôle transparents

Les patients doivent être en mesure de voir exactement quels tiers ont accès à leurs données et à quelle fin. Fournir des tableaux de bord visuels clairs qui énumèrent les demandes autorisées et permettent la révocation immédiate de l'accès. Lorsqu'un patient révoque l'accès, le système doit déclencher une demande de suppression à un tiers et confirmer la conformité.

Préparer la notification de violation

Chaque organisation qui partage des données sur les MCC doit présumer qu'une infraction se produira éventuellement. Un plan d'intervention en cas d'infraction devrait être en place, en désignant une équipe d'intervention, un conseiller juridique et un responsable des communications. Comprendre les délais de notification précis : L'AIAP doit être avisé dans les 60 jours, le RGPD exige un avis à l'autorité de surveillance dans les 72 heures suivant la prise de conscience de la violation, et la règle de notification de la violation de la santé de la FTC exige un avis sans délai déraisonnable.

Conclusion

Le partage des données de surveillance continue du glucose avec des tiers est une promesse clinique et scientifique immense. Il relie les patients aux aidants naturels, permet la gestion des maladies au niveau de la population et alimente les algorithmes d'apprentissage automatique qui définiront la prochaine génération de soins autonomes pour le diabète. Pourtant, cette promesse dépend entièrement de la confiance, car il faut que les données soient protégées, respectées et utilisées uniquement pour le bénéfice du patient. Le respect de cette norme exige un engagement double en faveur d'une conformité juridique rigoureuse et d'une gérance éthique proactive.