J’ai encore en tête cette matinée d’automne à Lyon, dans une petite salle du 8ᵉ arrondissement où je donnais un atelier sur l’intégration des objets connectés en milieu hospitalier. Un jeune fondateur de start-up, Thomas, fraîchement diplômé d’une école d’ingénieurs, m’a interrompu en pleine présentation :
« Michel, j’ai conçu un tensiomètre connecté ultra précis, mais… on m’a parlé du marquage CE, d’UDI, de la CNEDiMTS… je suis paumé. »
Et là, dans son regard, j’ai vu l’enthousiasme freiné net par la machine administrative.
Ce que j’ai compris ce jour-là, c’est que si l’on veut que l’innovation en santé connectée avance, il faut démystifier la réglementation, en parler simplement, comme on le ferait entre collègues de terrain.
Alors voilà : un article clair, humain, pour poser les bases de la réglementation des dispositifs médicaux connectés (les fameux DMC), en France. Parce que derrière les sigles et les normes, il y a des patients, des soignants, et surtout une exigence : la sécurité.
Un dispositif connecté, c’est quoi exactement ?
Avant de rentrer dans le vif du sujet, faisons simple.
Un dispositif médical connecté, c’est comme un thermomètre classique… sauf qu’il parle. Il transmet les données, souvent à une appli, parfois directement à un médecin. Ça peut être une montre qui mesure votre rythme cardiaque, une pompe à insuline reliée à un smartphone, ou même une plateforme d’analyse de respiration nocturne.
Mais attention : ce n’est pas un gadget. Si ce dispositif a une finalité médicale — surveiller, diagnostiquer, prévenir ou traiter une maladie — alors, juridiquement, il entre dans la grande famille des dispositifs médicaux. Et là, on ne rigole plus.
Une réglementation européenne : le MDR 2017/745
Je me souviens encore de l’agitation dans mon service en 2021, quand est entré en application ce fameux règlement européen, le MDR (Medical Device Regulation). Un texte costaud, mais nécessaire.
En clair, le MDR impose :
-
Une classification par niveau de risque (I à III, de faible à élevé)
-
Une démonstration clinique solide
-
Une traçabilité renforcée (grâce à l’UDI, un identifiant unique)
-
Une surveillance post-commercialisation : les fabricants ne peuvent plus disparaître après la mise sur le marché
Et puis, il y a cette nouveauté majeure : l’encadrement des dispositifs qui collectent et traitent des données, autrement dit, tous les objets connectés du monde médical.
Un chef de projet que j’ai croisé à Toulouse m’a un jour dit, un peu amer :
« Le MDR, c’est comme le code de la route : au début, on a l’impression que c’est là pour ralentir. Et puis, on comprend que c’est ce qui empêche les carambolages. »
En France, c’est l’ANSM qui pilote
L’Agence nationale de sécurité du médicament et des produits de santé, ou ANSM pour les intimes, est l’autorité qui supervise l’application du MDR sur notre territoire.
Son rôle ?
-
Enregistrer les dispositifs
-
Contrôler les fabricants
-
Gérer les alertes et rappels de produits
-
Informer les professionnels de santé
Un de mes anciens collègues, devenu auditeur qualité pour un fabricant d’implants, m’a confié :
« À la première inspection de l’ANSM, j’avais le cœur qui battait comme avant un oral de concours. Mais ils ne sont pas là pour piéger. Ils sont là pour s’assurer que le matos fait ce qu’il dit faire, et sans danger. »
Le marquage CE : bien plus qu’un autocollant
Ah, le marquage CE. On le voit partout, on n’y fait plus attention… sauf quand il s’agit de dispositifs médicaux. Là, c’est le sésame réglementaire, ni plus ni moins.
Ce marquage indique que le produit est conforme aux exigences du MDR. Pour l’obtenir, le fabricant doit :
-
Déposer un dossier technique (et croyez-moi, c’est du lourd)
-
Démontrer la sécurité et l’efficacité du dispositif
-
Mettre en place un système de management de la qualité conforme à l’ISO 13485
-
Collaborer avec un organisme notifié (un tiers certificateur accrédité)
👉 Petite astuce de terrain : Si vous travaillez avec un startuppeur enthousiaste, posez-lui toujours cette question avant toute intégration en établissement : « Il a son marquage CE ? » Ça évite bien des discussions.
Et les données ? On n’oublie pas le RGPD
Quand un dispositif médical collecte vos données de santé, il entre aussi dans la danse du RGPD, le Règlement général sur la protection des données.
En gros, c’est double peine pour les fabricants : ils doivent respecter à la fois le MDR pour le médical, et le RGPD pour les données personnelles.
Ce que cela implique :
-
Informer clairement l’utilisateur
-
Collecter uniquement ce qui est nécessaire
-
Sécuriser les échanges (chiffrement, pseudonymisation…)
-
Respecter les droits des patients : accès, modification, suppression
Une infirmière coordinatrice que j’ai accompagnée dans un EHPAD connecté m’a raconté qu’un résident avait exigé la suppression de toutes ses données collectées par son tensiomètre. Grâce au RGPD, c’est son droit. Et il a été respecté.
Une évaluation par la HAS pour être remboursé
Et là, on touche un point sensible : le remboursement. Car si votre dispositif est génial, mais non pris en charge, il restera souvent… dans les tiroirs.
En France, c’est la Haute Autorité de Santé (HAS), via la CNEDiMTS, qui évalue l’intérêt d’un DMC pour décider de son éventuel remboursement.
Elle se base sur :
-
Le service médical rendu
-
L’amélioration par rapport aux solutions existantes
-
La qualité des études cliniques
-
Les conditions d’usage
J’ai accompagné une start-up qui avait conçu un patch connecté pour le suivi de l’insuffisance cardiaque. L’appli fonctionnait bien, les premiers retours patients étaient bons. Mais ils n’avaient pas anticipé l’étude clinique exigée pour la HAS. Résultat : deux ans de retard. Ça fait mal, mais c’est une réalité.
Et l’IA dans tout ça ?
Depuis quelques années, les dispositifs intégrant de l’intelligence artificielle se multiplient. Un algorithme pour détecter les arythmies, une IA pour prédire les rechutes, un assistant vocal pour les patients Alzheimer…
Mais là encore, la réglementation s’adapte. Ce que demandent les autorités ?
-
Des algorithmes explicables
-
Une transparence dans le fonctionnement
-
Des données d’apprentissage fiables, représentatives
-
Une mise à jour régulière des performances
Et surtout : pas d’IA qui décide toute seule. Un professionnel de santé doit toujours avoir le dernier mot.
Cybersécurité : le nerf de la guerre
Un jour, en 2018, une panne du réseau Wi-Fi a désactivé temporairement les capteurs de monitoring dans une unité de soins intensifs. On a frôlé la catastrophe.
Depuis, je répète à qui veut l’entendre : un dispositif connecté est aussi fort que sa sécurité.
L’Agence du Numérique en Santé (ANS) a publié un référentiel de sécurité très utile, avec des recommandations claires :
-
Authentification forte
-
Gestion des accès
-
Journalisation des actions
-
Plan de gestion des incidents
À diffuser sans modération dans les équipes IT des établissements.
En résumé : ce que tout acteur de terrain doit garder en tête
| Sujet | Ce qu’il faut retenir |
|---|---|
| Marquage CE | Obligatoire pour tous les DMC |
| MDR | Règlement européen en vigueur depuis 2021 |
| ANSM | Autorité française compétente pour les DMC |
| RGPD | S’applique à toutes les données personnelles de santé collectées |
| HAS / CNEDiMTS | Décident du remboursement des dispositifs |
| Cybersécurité | Non négociable pour garantir l’intégrité et la confiance des utilisateurs |
| IA | Encadrée, surveillée, jamais autonome sans supervision humaine |
Pour conclure
Ce que je retiens après toutes ces années passées entre les services hospitaliers, les comités de pilotage, les conférences et les cafés avec des jeunes pousses de la e-santé, c’est ceci : la réglementation n’est pas l’ennemie de l’innovation.
Elle en est le cadre de confiance. Ce filet de sécurité qui permet aux dispositifs de ne pas être juste « nouveaux », mais vraiment utiles, fiables, éthiques.
Alors oui, c’est exigeant. Oui, c’est parfois décourageant. Mais comme me le disait Claire, l’ingénieure de mon histoire du début :
« Michel, une fois que t’as passé le mur du MDR, tu sais que ton produit est prêt. Pour de vrai. »
Et c’est exactement ça qu’on doit viser.
FAQ
1. Quelle est la première démarche pour un fabricant de DMC en France ?
Définir si le dispositif a une finalité médicale. Si oui, entamer la constitution du dossier technique pour le marquage CE selon la classe de risque.
2. Une appli mobile de santé est-elle automatiquement un DMC ?
Non. Si elle sert uniquement à enregistrer des données (comme une appli de sport), elle ne l’est pas. Mais si elle interprète les données pour fournir un diagnostic ou un traitement, elle peut l’être.
3. Peut-on commercialiser un DMC sans marquage CE ?
Absolument pas. Ce serait illégal, et les sanctions peuvent aller jusqu’au retrait du marché et des poursuites pénales.
4. Est-ce que les start-ups sont pénalisées par le MDR ?
Le MDR est exigeant pour tous. Mais des dispositifs d’accompagnement existent (French Tech, SATT, incubateurs spécialisés santé) pour aider les start-ups à se structurer.
5. À quel moment faut-il penser au remboursement ?
Le plus tôt possible. Cela conditionne souvent le modèle économique du dispositif. Ne pas attendre la fin du développement pour s’y intéresser.
