En 2024, nous avons développé la v2 d’Otoremote, qui devait respecter des contraintes réglementaires critiques dans un domaine sensible : la santé.
Au-delà des centaines de règles de conformité médicale à respecter, les délais étaient contraints : avant janvier 2025.
Dans cet article, nous allons aborder les défis rencontrés, mais surtout vous montrer comment nous y avons répondu en un temps record.
Otoremote est une plateforme de téléconsultation conçue pour réduire les freins à l’accès aux dispositifs de soins pour les personnes malentendantes.
Concrètement, elle met en relation audioprothésistes, médecins ORL et patients au sein d’une solution de téléconsultation tripartite.
Grâce à Otoremote, l’appareillage se fait en seulement 24 heures, contre 3 à 12 mois auparavant.
La plateforme devait valider les tests de conformité du DMP et de l’INSi avant janvier 2025.
Le Dossier Médical Partagé (DMP) permet à chaque professionnel de santé de mieux comprendre le profil médical d’un patient afin d’être plus pertinent dans sa prescription. Nous devons nous appuyer sur ce service de l’État pour partager de nouvelles données ou en récupérer certaines pouvant aider l’audioprothésiste ou le médecin ORL.
L’INSi est un autre service de l’État qui permet de s’assurer que le patient présent lors du rendez-vous correspond bien au dossier numérique du DMP. Sans authentification auprès de l’INSi, il est impossible d’ajouter des documents au Dossier Médical Partagé.
Ces services apportent une réelle plus-value au domaine médical, mais ils peuvent freiner l’innovation en raison de la lourdeur administrative du processus de validation. Pour nous, l’enjeu était de naviguer avec clarté, sous peine de ne pas recevoir l’accréditation dans les délais impartis.
Concrètement, nous faisions face à plus de deux cent règles de conformité médicale à respecter. Vous trouverez un exemple ci-dessous :
.png)
Toutes les données de santé concernant des patients français doivent être stockées sur des serveurs labellisés HDS (Hébergement de Données de Santé). Il existe six niveaux de certification. En Europe, environ cinq entreprises disposent du niveau le plus avancé (le sixième). Dès la v1 d’Otoremote, nous avons rencontré ces différentes entreprises afin d’analyser leurs offres et de choisir celle qui serait la plus pertinente pour le développement de la plateforme.
Une entreprise souhaitant obtenir la certification HDS doit soumettre une partie de son infrastructure à une série de tests rigoureux. En substance, cela garantit une meilleure protection contre les cyberattaques et une gestion de crise plus efficace en cas de fuite de données.
Avec notre client, nous avons choisi d’adopter des normes de sécurité encore plus strictes.
La menace cyber représente l’un des plus grands risques dans le domaine du logiciel, en particulier lorsqu’il s’agit de données sensibles.
Entre 2022 et 2023, le nombre d’attaques par ransomware (rançongiciel) contre des solutions de santé a doublé.
Nous avons donc décidé de faire auditer la sécurité de notre solution. Là encore, nous avons dû intégrer une centaine de règles de sécurité.
Il est souvent possible de deviner les adresses e-mail des utilisateurs en testant des combinaisons aléatoires et en observant si un compte existe déjà ou non.
Un temps de réponse différent entre deux essais — l’un avec un e-mail existant et l’autre avec un e-mail inexistant — peut fournir des indices permettant de récupérer des adresses et de mener des campagnes de phishing.
Toutes les fonctionnalités nécessaires au respect des règles ci-dessus devaient être implémentées sans compromettre l’ergonomie de notre plateforme.
Une attention particulière devait être portée à la préservation d’un élément clé du succès de la première version d’Otoremote : placer l’expérience utilisateur au cœur des enjeux.
La capacité d’une solution informatique à répondre aux besoins de ses utilisateurs est directement corrélée au nombre d’itérations issues de leurs retours.
Les retours terrain ont donc joué un rôle central dans la priorisation des développements.
Au-delà du simple respect de plusieurs centaines de règles, certaines d’entre elles pouvaient entrer en conflit. Ainsi, nous pouvions valider une règle un jour et la voir devenir invalide un mois plus tard en poursuivant le développement de la solution.
Une telle complexité peut rapidement semer le chaos dans un projet, d’autant plus lorsque les délais sont ambitieux par rapport à la charge de travail requise.
Sans plus tarder, passons à l’explication de notre démarche pour relever ces défis.
Nous avons commencé par compiler l’ensemble des règles afin de comprendre leurs implications directes et indirectes sur le logiciel. Pour cela, notre Product Manager a organisé de nombreux ateliers avec les différents acteurs réglementaires afin de saisir en détail leurs attentes.
Cela nous a permis d’établir une liste de tests très précis à respecter.
Cette liste a ensuite été implémentée sous forme de couverture de test au sein du code du logiciel.
Cette technique permet de lancer notre batterie de tests automatiquement à chaque modification du code. Ainsi, nous pouvons savoir, à chaque changement, combien de tests réglementaires restent à respecter et si la dernière modification nous empêche d’être en règle avec un ancien critère validé.
.png)
Nous pouvons donc déployer de nouvelles mises à jour du logiciel chaque jour, sans risque de compromettre ce que nous avons construit jusqu’ici.
.png)
Nous avons pu délivrer haut la main cette prestation en nous reposant sur trois piliers principaux :
- Une communication directe avec les différentes parties, permettant à notre Product Manager d’obtenir les informations les plus complètes de première main sur les attentes.
- La capacité de nos ingénieurs à comprendre en profondeur un domaine métier aussi complexe que la santé et ses réglementations.
- Une excellente réalisation technique, étape par étape, avec la couverture de tests nous permettant d’avancer rapidement tout en ayant confiance dans nos dates de livraison.
2 articles par mois sur l'innovation au coeur de votre entreprise : Tech, IA, Automatisation.
