Dès lors que vous stockez ou traitez des données de santé pour le compte de tiers (patients, professionnels, établissements), l'hébergement HDS doit être considéré et donner lieu à une analyse précise du cadre applicable.

Un EDS requiert une analyse juridique approfondie : gouvernance, base légale, anonymisation/pseudonymisation, accès, traçabilité, durée de conservation et articulation entre recherche, pilotage et innovation. Il est essentiel de définir les rôles des différentes parties prenantes (promoteur, investigateur, etc.) et d'encadrer les flux de données conformément au Code de la santé publique et à la doctrine CNIL.

Les systèmes d'IA doivent être conformes au RGPD et au règlement européen sur l'intelligence artificielle (AI Act). Avant tout déploiement, il est indispensable de qualifier le système (dispositif médical, outil prédictif, etc.), de vérifier le respect des exigences de transparence, de documentation et de gestion du risque, et d'anticiper les obligations de traçabilité, de contrôle humain et d'auditabilité. Une analyse d'impact IA couplée à une analyse RGPD (AIPD) est nécessaire.

Les collaborations entre établissements, startups et éditeurs posent la question de la propriété du code, des bases de données ou de l'algorithme développé. Il faut prévoir dans le contrat : la propriété initiale et les apports de chaque partie, les droits d'usage réciproques, la valorisation des résultats (licence, copropriété, transfert). Une répartition claire et précise est déterminante pour la sécurité juridique de toutes les parties prenantes et le financement des projets.

Une base peut être protégée par le droit sui generis si son créateur démontre un investissement substantiel. Elle peut aussi être protégée par le secret d'affaires et des clauses contractuelles de confidentialité. Une gestion rigoureuse des droits d'accès et une documentation claire sont clés pour sécuriser la valorisation ultérieure.

Avant tout déploiement, il faut cartographier les flux de données entre établissements, vérifier la conformité RGPD et HDS du logiciel, définir la répartition des rôles, et encadrer contractuellement les accès et la traçabilité. Un cadrage juridique préalable permet de fiabiliser la démarche.