Certification Qualité Hôpital Numérique pour logiciel de santé

Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux


Les centres de santé (hôpitaux, cliniques, EHPAD…) sont chaque jour d'avantage demandeurs de garanties de sécurité et de sûreté des logiciels qu'ils utilisent.

Pourtant, plusieurs conditions sont requises pour que la règlementation relative aux dispositifs médicaux (DM ou DMDIV) soit applicable à un logiciel.

Dans ce contexte, un certain nombre d'éditeurs de logiciels de santé pourraient se retrouver dans l'impossibilité de rassurer les centres de santé sur la sécurité et la sûreté de leurs produits logiciels.

Pour pallier à cette situation, la certification Qualité Hôpital Numérique (QHN) est accessible aux éditeurs de logiciels de santé non qualifiés de dispositifs médicaux.

Certification Qualité Hôpital Numérique pour logiciel de santé

Qu'est-ce que la certification Qualité Hôpital Numérique ?

La certification Qualité Hôpital Numérique (QHN) a été créée en 2015.

Il s'agit d'une exigence des cahiers des charges de type "Dossier médical" et "Dossier de soins paramédical" de l'ANAP (Agence NAtionale de la Performance sanitaire et médico-sociale) destinés aux DSI (Directeurs des Systèmes d'Information) des établissements de santé.

Cette certification s'adresse aux fournisseurs de solutions informatiques à destination des structures et des professionnels de santé. Elle concerne notamment

  • les éditeurs de logiciels (produits logiciels standard sur étagère, progiciels);

  • les développeurs de logiciels à façon, qu'il s'agisse de sociétés qui assurent des prestations de développement ou de structures ou professionnels de santé qui développent eux-mêmes leurs logiciels et qui les commercialisent;

  • les intégrateurs de logiciels qui distribuent des applications métiers et/ou qui sont amenés à réaliser des systèmes d'intégration destinés à être commercialisés;

  • les fournisseurs de solutions en mode service (ou SaaS pour "Software as a Service").

La délivrance du certificat de conformité QHN est conditionnée par une certification ISO 9001 ou ISO 13485 du système de management de la qualité (SMQ) du fournisseur de solutions informatiques.

Ce certificat porte sur le système de management de la qualité (SMQ) du fournisseur et il est valable trois ans sous réserve d'un audit de suivi / maintien tous les ans.

La certification Qualité Hôpital Numérique (QHN) est possible pour les fabricants de logiciels dispositifs médicaux. Néanmoins, elle s'adresse en priorité aux fournisseurs de solutions informatiques de santé non qualifiées de dispositifs médicaux.

Parmi ses objectifs on peut noter :

  • assurer la sécurité des logiciels de santé et

  • assurer la cybersécurité des logiciels de santé.

Une attention portée à la sécurité du logiciel

Le référentiel Qualité Hôpital Numérique (QHN) liste les exigences complémentaires aux normes ISO 9001 et ISO 13485 pour le système de management de la qualité (SMQ) des fournisseurs de solutions informatiques à destination des établissements de santé.

Parmi les références indiquées dans ce document, on remarque le Règlement (UE) 2017/745 relatif aux dispositifs médicaux (DM).

De plus, le référentiel Qualité Hôpital Numérique (QHN) le souligne : "Un dispositif médical marqué « CE » selon le règlement (UE) 2017/745 peut induire à une conformité aux exigences QHN".

Et ce référentiel fournit un tableau de correspondance avec les exigences du Règlement (UE) 2017/745 qui cite notamment

  • la documentation technique à générer,

  • la vérification et la validation du logiciel et

  • les exigences générales en matière de sécurité et de performances.

En effet, l'un des objectifs de la certification Qualité Hôpital Numérique (QHN) est d'assurer une sécurité des logiciels de santé comparable à celle des logiciels dispositifs médicaux (ou SaMD pour "Software as Medical Device") de classe de sécurité A.

Ainsi, une certification QHN peut permettre au fabricant du logiciel de santé de défendre la sécurité et la fiabilité de son logiciel pour une utilisation dans le domaine médical.

Par ailleurs, la certification Qualité Hôpital Numérique (QHN) se penche aussi sur des considérations de sûreté (ou cybersécurité) du logiciel de santé.

Une base pour assurer la cybersécurité du logiciel

Le référentiel Qualité Hôpital Numérique (QHN) renvoie vers deux documents de la politique générale de sécurité des systèmes d'information de santé (PGSSI-S) pour assurer la sûreté du logiciel de santé :

  • les règles pour les interventions à distance sur les systèmes d'information de santé et

  • les règles pour les dispositifs connectés d'un système d'information de santé.

Ces documents ont été établis par l'ANS (Agence du Numérique en Santé) et, bien qu'ils aient quelques années, ils fournissent une excellente base pour assurer la cybersécurité d'un logiciel.

Ils traitent respectivement

  • des règles auxquelles doivent se conformer les prestations effectuées à distance dans les Systèmes d'Information de Santé (SIS) et

  • des conditions requises pour que le logiciel soit conforme aux standards de sécurité du domaine et puisse être intégré dans un Système d'Information de Santé.

Une fois ces exigences mises en place dans le système de management de la qualité (SMQ) de l'éditeur du logiciel, elles rentrent dans un cycle d'amélioration continue.

Par cette voie, les pratiques de cybersécurité de l'éditeur iront en s'améliorant et, le cas échéant, d'autres documents de la PGSSI-S pourraient se voir appliqués pour ses activités.

Intérêt pour les éditeurs de logiciels de santé

Le référentiel Qualité Hôpital Numérique (QHN) cite deux normes pour la mise en place du système de management de la qualité (SMQ) de l'éditeur du logiciel :

  • la norme NF EN ISO 9001 et

  • la norme NF EN ISO 13485.

Ces normes traitent des exigences générales pour les systèmes de management de la qualité (SMQ) mais ne s'attardent pas particulièrement sur la conception et le développement du logiciel.

De ce fait, lors de la mise en place du système de management de la qualité de l'éditeur, elles devront être complétées avec des normes prévues pour le processus de conception et développement de logiciel.

Dans le cadre de la norme EN ISO 13485, on peut s'appuyer sur des normes que le fabricant a l'habitude d'utiliser pour les logiciels dispositifs médicaux.

Par contre, dans le cadre de la norme EN ISO 9001, plusieurs normes sont applicables pour la conception et le développement de logiciel tout en répondant aux exigences du référentiel Qualité Hôpital Numérique (QHN).

De ce fait, un choix devra être fait en fonction de différents critères. On peut notamment citer les caractéristiques des activités de l'éditeur.

Par conséquent, le référentiel normatif de l'éditeur est à établir au cas par cas.

Pour en savoir plus

Les logiciels de télésanté constituent un bon exemple de logiciels ouvrant droit à la certification Qualité Hôpital Numérique (QHN).

Bien préparer votre projet logiciel de télésanté

Focus sur des points importants pour préparer la conception et le développement d'un produit logiciel de télésanté

Par ailleurs, il peut être utile de connaître quelques normes applicables aux logiciels de santé.

Réglementation et normes applicables aux logiciels de santé

Il existe une réglementation et des normes pour aider les fabricants de logiciels de santé à assurer la fiabilité, la sécurité et la sûreté de leurs produits logiciels

Maurice Navarro

Maurice Navarro

Consultant qualité & logiciel pour dispositifs médicaux

Depuis plus de 15 ans, j'accompagne la réalisation de projets logiciels et la mise en place de systèmes de gestion de la qualité pour assurer le marquage CE de dispositifs médicaux fiables, sûrs et commercialisables sans délais.

Le 12 / 06 / 2022