Réglementation et normes applicables aux logiciels de santé
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
Depuis quelques années, l'actualité sur les centres de santé est riche de faits divers qui traitent de cyber-attaques ou de dysfonctionnements des logiciels de santé.
Pourtant, la réglementation européenne existante et plusieurs normes internationales éprouvées peuvent aider les fabricants de logiciels de santé à éviter ces écueils dans leurs produits logiciels.
Traitons du sujet à l'occasion de cet article.
Qu'est-ce qu'un logiciel de santé ?
La norme CEI EN 82304-1 (Logiciels de santé - Partie 1 : Exigences générales pour la sécurité des produits) définit les logiciels de santé comme étant des "logiciels destinés à être utilisés plus particulièrement pour la gestion, le maintien ou l'amélioration de la santé des individus, ou de la prestation de soins".
Dans le cadre de cette définition, cette norme précise que "le logiciel de santé englobe dans son intégralité le logiciel considéré comme un dispositif médical".
Ainsi, le logiciel de santé couvre quatre grands types de logiciels :
- les logiciels inclus dans un dispositif médical,
- les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device"),
- les logiciels inclus dans un matériel de santé autre qu'un dispositif médical et
- les logiciels autonomes utilisés dans le domaine de la santé autres que les logiciels dispositifs médicaux en soi.
Les deux premiers items de cette liste constituent les logiciels (de) dispositifs médicaux.
Dans le cadre de cet article, nous traitons des logiciels de santé qui ne sont pas des logiciels (de) dispositifs médicaux.
Réglementation applicable aux logiciels de santé autres que les logiciels (de) dispositifs médicaux
A ce jour, dans l'Union Européenne, il n'existe pas de réglementation applicable spécifiquement aux logiciels de santé autres que les logiciels (de) dispositifs médicaux.
Cependant, les caractéristiques de ces logiciels et les fonctionnalités qu'ils assurent amènent à prendre en compte des réglementations qui ne leur sont pas particulièrement dédiées.
On distingue
- le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et
- la Directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
qui traitent respectivement
- des données personnelles et
- de cybersécurité (ou sûreté).
Cette réglementation doit être complétée avec de la législation nationale.
Ainsi, en France, la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés doit être considérée conjointement au Règlement (UE) 2016/679 (ou RGPD), notamment pour la mise en place de l'Identifiant National de Santé (INS) dans un logiciel.
Normes applicables aux logiciels de santé autres que les logiciels (de) dispositifs médicaux
En l'absence de réglementation européenne dédiée, il n'existe pas de listes de normes harmonisées pour les logiciels de santé qui ne sont pas des logiciels (de) dispositifs médicaux.
Néanmoins, plusieurs normes et rapports techniques ISO (International Organization for Standardization) permettent aux fabricants de logiciels de santé d'assurer
- la fiabilité,
- la sécurité et la sûreté et
- l'aptitude à l'utilisation
de leurs produits logiciels.
Assurer la fiabilité du logiciel
Pour assurer la fiabilité du logiciel, les PME et PMI du secteur de la santé disposent de la série de normes et rapports techniques ISO 29110.
Cette série est spécialement conçue pour les organismes qui comptent 25 personnes ou moins et constitue une très bonne base pour la conception et le développement de logiciel fiable.
Pour les organismes de plus grande taille, les normes ISO/CEI 12207 et ISO/CEI 15288 couvrent le cycle de vie des systèmes et du logiciel.
Assurer la sécurité et la sûreté du logiciel
Pour assurer la sécurité et la sûreté des logiciels de santé autonomes, on distingue la norme CEI EN 82304-1 (Logiciels de santé – Partie 1 : Exigences générales pour la sécurité des produits) qui traite explicitement le sujet.
Cette norme renvoie vers la norme CEI 62304 (Logiciels de dispositifs médicaux – Processus du cycle de vie du logiciel) quand celà est utile.
De ce fait, il est probable que la couverture normative de la sécurité et la sûreté des logiciels de santé soit améliorée dans les années à venir.
En effet, il est prévu d'étendre le domaine d'application de la norme CEI 62304 à tous les logiciels de santé.
Assurer l'aptitude à l'utilisation du logiciel
Dans le cadre de l'ingénierie de l'aptitude à l'utilisation des logiciels, la norme ISO/IEC 29138-1 (Technologies de l'information – Accessibilité de l'interface utilisateur – Partie 1: Besoins d'accessibilité de l'usager) est une excellente base de travail.
Sa particularité est qu'elle traite des besoins d'accessibilité des utilisateurs de logiciel.
De ce fait, la mise en œuvre de ses exigences permet de simplifier l'utilisation des logiciels et de réduire la difficulté de compréhension et la probabilité d'erreur d'utilisation du logiciel.
Pour en savoir plus
Il est prévu d'étendre le domaine d'application de la norme CEI 62304 à tous les logiciels de santé.
La gestion des risques permet de prévenir les dysfonctionnements du logiciel susceptibles d'impacter la sécurité du patient.