Quels sont les mécanismes déployés par Ventio pour garantir la qualité de ses services cloud et le traitement des données d’imagerie biomédicales ?
Chez Ventio, nous portons la plus grande attention à la qualité de nos services et à la satisfaction de nos clients et partenaires. En raison de la spécificité de nos activités, nous souhaitons nous conformer à un maillage de normes complexes que nous avons identifié pour garantir la pérennité et le développement de l’entreprise. Notre démarche vers l’application d’un cadre normatif est volontaire, démontrant notre engagement dans un processus d’amélioration continue orientée vers des objectifs clairs.
Quel est le contexte réglementaire encadrant les activités de Ventio ?
En tant que structure organisant le traitement de données d’imagerie considérées comme données de santé et sensibles, notre première obligation est de nous conformer au Règlement général sur la protection des données (RGPD). S’inscrivant dans la continuité de la Loi Informatique et Libertés de 1978 et entré en vigueur le 25 mai 2018, ce texte est venu encadrer le traitement des données de manière égalitaire sur tout le territoire de l’UE en fixant les conditions dans lesquelles de telles données peuvent être légalement collectées, conservées et exploitées par les organismes.
Les 8 règles d’or du RGPD : | |
– Licéité – Finalité définie et légitime – Minimisation des données – Protection particulière des données sensibles | – Conservation limitée – Obligation de sécurité – Transparence – Droits des personnes |
Il définit la donnée personnelle comme toute information relative à une personne physique identifiée, ou susceptible de l’être, directement ou indirectement. Parmi elles, les données sensibles, dont font parties les données de santé, forment une catégorie particulière et font donc l’objet d’une protection renforcée.
Lorsque les données de santé sont anonymisées (opération irréversible qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute réidentification de la personne, par quelque moyen que ce soit), elles sortent du spectre du RGPD. Ce n’est pas facilement réalisable pour les images issues de l’imagerie biomédicale, notamment de l’imagerie cérébrale. Représentant le cerveau avec toutes ses spécificités, elles ne peuvent pas être durablement anonymisées et doivent donc faire l’objet de toute la protection demandée par le RGPD.
Une autre règle réside dans la minimisation des données, c’est-à-dire veiller à obtenir uniquement les données qui sont strictement nécessaires pour le traitement. Par exemple, pour la recherche, la date de naissance précise est souvent inutile ainsi que le nom de la personne pour lequel un pseudonyme sera suffisant, ce qui nous pousse à développer des solutions intégrant le principe de “privacy by design” (protéger les données personnelles dès la conception).
Sur l’ensemble de la chaîne de traitement des données de santé, Ventio doit se conformer strictement au cadre règlementaire européen et reste en veille sur ses évolutions et interprétations pour son activité, notamment pour l’utilisation secondaire de données de santé.
Malgré la complexité de ce cadre, nous souhaitons aller au plus loin et nous engager dans une démarche volontaire de management de la qualité et de la sécurité.
Garantir la qualité et la sécurité à l’aide des normes
Bien faire les choses pour fournir des services numériques de traitement d’images biomédicales robustes et reproductibles est une de nos valeurs fondamentales. Un effort important a été déployé dans la formation du personnel pour intégrer une démarche normative.
Afin de respecter les exigences européennes, nous anticipons la conformité de nos solutions dès la phase de conception. Car, même si la procédure d’évaluation pour l’obtention des autorisations de commercialisation varie en fonction de la finalité du traitement, “je dois indubitablement prouver ce que je revendique” – selon le principe d’”accountability”. Cela rejoint notre démarche de mise en place d’un Système de Management de la qualité selon l’ISO 9001, et qui peut se résumer par “écrire ce que l’ont fait et faire ce que l’on écrit”. Grâce à une gestion par processus, la conduite de nos activités est orientée vers la satisfaction du client, dans une dynamique d’amélioration continue. En définissant des objectifs concrets afin de répondre à ces attentes, nous améliorons la sécurité et la qualité de nos services.
Pour améliorer la sécurité de nos services numériques dans le contexte du RGPD, prévenir au maximum les risques, nous avons entrepris d’intégrer l‘ISO 27001 – Management de la sécurité de l’Information ainsi que son extension ISO 27701 relative à la protection de la vie privée. Cette dernière série nous engage dans une démarche d’amélioration de la sécurité. Ce cadre est idéal car il fixe les lignes directrices pour le respect du RGPD en visant à assurer la disponibilité des informations et des services, sécuriser l’intégrité des données critiques, et garantir la confidentialité des données sensibles ou des données clients. Pour nos services cloud, pour lesquels il est donc indispensable d’apporter une sécurité maximale, les guides et référentiels de l’ANSSI sont d’excellents supports pour adopter les bons réflexes et pratiques de développement et gestion de notre système d’information; nous intégrons ces guides à notre politique de sécurité.
Bien que Ventio ne propose pas encore de dispositifs médicaux, et donc que le cadre réglementaire associé (RÈGLEMENT (UE) 2017/745) ne soit pas strictement nécessaire à ce jour, nous nous engageons très tôt dans la ligne de la norme ISO 13485, qui énonce les exigences relatives au système de management de la qualité lorsqu’un organisme doit démontrer son aptitude à fournir régulièrement des dispositifs médicaux, et des services associés. Ainsi nous poursuivons l’objectif de rendre nos solutions conformes à la fois aux exigences de nos clients et aux exigences réglementaires applicables du dispositif médical, assurant ainsi la maîtrise et la sécurité de nos logiciels.
Sur l’aspect logiciel de traitement d’images, la norme IEC 62304 – Logiciel de dispositifs médicaux, processus du cycle de vie du logiciel, abordant le développement du logiciel de dispositif médical et son cycle de vie, nous servira de ligne directrice. Elle introduit des classes de sécurité du logiciel, l’objectif étant d’indexer la maîtrise du cycle de vie du logiciel au risque pour le patient en cas de défaillance ou anomalie. Ainsi, nous améliorons la reproductibilité et la fiabilité de nos services, les données sensibles transitant par nos logiciels sont traitées de manière sécurisée, adéquate et documentées et nous confirmons donc notre intention de proposer nos services dans une finalité médicale à terme.
Quelle qualité de nos dispositifs et services pour demain ?
Ces démarches sont entreprises dans le but, à plus long terme, de faire reconnaître nos logiciels comme dispositifs médicaux dont la mise sur le marché est conditionnée préalablement au marquage CE. Ce dernier traduit la conformité du dispositif médical aux exigences de sécurité et de santé énoncées dans la législation européenne, notamment la Directive relative aux Dispositifs Médicaux 93/42/CEE et du Règlement UE 2017/745 relatifs aux dispositifs médicaux.
Ainsi nous aurions la possibilité d’intervenir, non plus uniquement dans une finalité de recherche, mais aussi dans les étapes ultérieures : diagnostic, suivi thérapeutique et suivi du patient.
Enfin, nous assurons une veille règlementaire permanente, indispensable compte tenu des évolutions attendues, alors que les différentes autorités du domaine de la santé bâtissent encore le socle normatif de demain. A titre d’exemple, la Haute Autorité de Santé travaille sur une grille d’évaluation, guide destiné à aider les praticiens à choisir leur logiciel. Car même si le marquage CE autorise la mise sur le marché des dispositifs médicaux, rien ne mesure encore la pertinence clinique des logiciels ayant recours à l’intelligence artificielle.
Conclusion
Le travail sur la qualité nous permet d’orienter notre stratégie en fonction des attentes du client, renforce la relation de confiance avec nos partenaires, et crédibilise notre structure face à une concurrence accrue. S’engager dans une démarche qualité, c’est améliorer notre fonctionnement et notre savoir-faire continuellement en révisant régulièrement notre système.
En ce qui concerne le traitement des données personnelles, nous restons vigilants face à la multiplication des normes compte-tenu de l’évolution technologique permanente. Le 27 mars 2023, la France a ratifié le Protocole d’amendement de la Convention 108 (Convention 108+) qui la modernise en tenant compte des nouveaux défis en matière de protection des données personnelles. Si elle obtient assez de signatures, cette Convention devrait entrer en vigueur à la fin de l’année 2023.