Canada: Santé Canada annonce un plan d'action sur la sécurité des matériels médicaux et des lignes directrices sur la cybersécurité

Santé Canada a récemment publié deux textes prospectifs importants sur la réglementation des instruments médicaux :

• Plan d'action de Santé Canada sur les instruments médicaux : Amélioration continue de la sécurité, de l'efficacité et de la qualité¹ (« Plan d'action ») ;
• Ébauche de lignes directrices : Exigences relatives à la cybersécurité des instruments médicaux avant leur mise en marché² (« Lignes directrices sur la cybersécurité »)

Ces publications sont destinées à éclairer les changements à apporter au régime réglementaire des instruments médicaux en vue d'élargir les activités de supervision de Santé Canada en matière d'homologation et de surveillance des instruments et, également, à encourager les fabricants à corriger les vulnérabilités de sécurité émergentes dans les instruments en réseau.

Plan d'action

Le Plan d'action présente une stratégie en trois volets ayant pour but de remédier aux insuffisances constatées dans la surveillance des instruments médicaux exercée par Santé Canada, en insistant plus particulièrement sur (A.) les essais expérimentaux préalables à l'homologation et l'élargissement de l'expertise scientifique, (B.) la surveillance des instruments homologués par un renforcement de l'obligation de déclarer les incidents liés aux instruments, et (C.) la diffusion accrue des données cliniques et des renseignements sur les incidents liés aux instruments auprès du public. Chaque volet de la stratégie est résumé ci-après :

A. Essais expérimentaux et expertise scientifique : À l'heure actuelle, seuls les fabricants d'instruments peuvent présenter une demande en vue d'effectuer des essais expérimentaux portant sur des instruments non homologués. Les changements proposés permettront aux chercheurs indépendants et aux professionnels de la santé de présenter une demande d'autorisation pour effectuer des essais expérimentaux, ce qui permettra d'élargir la portée de la recherche canadienne et de produire davantage de données sur l'évaluation de la sécurité. À cet égard, Santé Canada a annoncé la publication d'un Avis d'intention (vraisemblablement pour modifier le Règlement sur les instruments médicaux) en juin 2019 ainsi que la publication d'un rapport sur les conclusions de sa consultation en septembre 2019.

De plus, Santé Canada constituera un nouveau comité consultatif d'experts scientifiques sur les questions relatives à la santé des femmes, et a créé une nouvelle division chargée d'examiner les instruments médicaux faisant appel aux technologies de santé numériques. Santé Canada prévoit également renforcer les exigences en matière de données probantes sur l'innocuité des instruments à risque élevé, dont la demande d'homologation s'appuie sur leurs similitudes avec une version antérieure de l'instrument déjà autorisée.

B. Surveillance et déclaration : En vue de remédier à la petite quantité de déclarations d'incidents liés aux instruments (qui est à l'heure actuelle obligatoire pour les fabricants d'instruments, mais facultative pour les autres intervenants du secteur de la santé), une nouvelle réglementation élaborée en vertu de la Loi visant à protéger les Canadiens contre les drogues dangereuses (la « Loi de Vanessa »)³ obligera les hôpitaux à signaler de tels incidents à Santé Canada. Cette nouvelle réglementation devrait être publiée en juin 2019. Par ailleurs, Santé Canada s'efforcera d'améliorer les déclarations transmises par les établissements de santé autres que les hôpitaux en élargissant le réseau sentinelle canadien des dispositifs médicaux (CMDSN et) regroupant les organisations de soins de santé effectuant des déclarations, et en mettant sur pied un programme visant à promouvoir la déclaration des incidents par les professionnels de la santé.

La nouvelle réglementation élaborée en vertu de la Loi de Vanessa aura également pour effet d'élargir l'éventail des renseignements que les fabricants d'instruments seront tenus de fournir à Santé Canada en cas d'incident lié à un instrument. Santé Canada se verra conférer de nouveaux pouvoirs lui permettant d'obliger les fabricants à réévaluer leurs produits à la lumière de nouveaux renseignements publiés par d'autres organismes de réglementation ; de plus, les fabricants seront tenus d'informer Santé Canada dans les 72 heures suivant l'émission d'une mise en garde par certains organismes de réglementation étrangers. Par ailleurs, Santé Canada est en train d'élaborer un cadre pour l'utilisation accrue des données probantes du monde réel, dans le but de surveiller la sécurité et l'efficacité des instruments après leur mise en marché.

Qui plus est, Santé Canada a annoncé son intention de renforcer ses activités d'inspection et d'application de la loi en embauchant de nouveaux inspecteurs et en augmentant le nombre d'inspections effectuées à l'étranger et les activités de promotion de la conformité à compter de mars 2019.

C. Publication des données cliniques et des renseignements sur les incidents liés aux instruments : Santé Canada mettra en Suvre une nouvelle réglementation sur la diffusion publique des données cliniques sur les instruments médicaux en vue d'encourager une analyse indépendante susceptible d'offrir de nouveaux points de vue en matière de sécurité. Une base de données contenant ces renseignements sera accessible au public par Internet après la publication du règlement en juin 2019.

En ce qui concerne les données sur les incidents liés aux instruments, Santé Canada a pris l'engagement de publier ses décisions relatives aux demandes d'homologation approuvées des instruments à risque plus élevé (c.-à-d. de classe III et de classe IV), de lancer en 2019 une base de données accessible au public par Internet contenant les rapports d'incidents liés à des instruments médicaux, et d'améliorer sa base de données existante sur les inspections des instruments médicaux.

Lignes directrices sur la cybersécurité

L'ébauche de lignes directrices sur la cybersécurité est née du constat que les instruments médicaux, qui étaient à l'origine des appareils principalement analogiques, ont évolué pour devenir des instruments en réseaux interconnectés. Cette évolution s'est traduite par des avantages pour les patients et les fournisseurs de soins de santé, mais a aussi créé de nouvelles vulnérabilités pouvant avoir des répercussions négatives sur la sécurité et l'efficacité des instruments. Par conséquent, les Lignes directrices sur la cybersécurité fournissent aux fabricants d'instruments médicaux des conseils sur l'amélioration de la cybersécurité de leurs instruments et décrivent l'information à présenter dans le cadre d'une demande d'homologation d'instrument médical pour démontrer que l'instrument offre des garanties de sécurité suffisantes.

Les Lignes directrices sur la cybersécurité s'appliquent spécifiquement aux instruments qui sont ou qui contiennent un logiciel, quelle que soit leur classe de risque. Les fabricants d'instruments qui sont ou qui contiennent un logiciel, sans égard à leur classe de risque, seront tenus de mettre en Suvre une stratégie en matière de cybersécurité prenant en considération les aspects suivants : (A.) conception sécuritaire, (B.) gestion des risques, (C.) tests de vérification et de validation, et (D.) planification en vue de la surveillance continue des menaces et de la réponse à celles-ci.  Pour les fabricants d'instruments de classe III et de classe IV, l'information sur ces éléments devra être présentée dans la demande d'homologation en plus des éléments de données généraux qui doivent être produits en vertu du Règlement sur les instruments médicaux. Chaque élément est résumé ci-après :

A. Conception sécuritaire : Les fabricants doivent tenir compte de la cybersécurité tout au long de l'élaboration de l'instrument en identifiant les risques et les contrôles associés à la cybersécurité lors des choix en matière de conception et en optant pour une conception qui maximise la cybersécurité sans faire de compromis quant à la sécurité physique offerte par l'instrument médical. Santé Canada encourage spécifiquement les fabricants à envisager des contrôles de conception couvrant les communications sécurisées, la sécurité des données, l'accès utilisateur, la maintenance du logiciel, la conception matérielle, ainsi que la fiabilité et la disponibilité.

B. Gestion des risques : Les fabricants doivent intégrer de solides principes de gestion des risques à tous les stades du cycle de vie de l'instrument. À cet effet, Santé Canada recommande d'adopter les principes de gestion des risques décrits dans la norme ISO 14971-07:2007 Dispositifs médicaux - Application de la gestion des risques, et de les mettre en application pour gérer les risques pour la cybersécurité. Les fabricants sont invités à mettre en Suvre des processus de gestion des risques pour la cybersécurité propres à chaque instrument parallèlement à leurs processus de gestion des risques pour la sécurité existants, et ce, pour remédier au fait que certains risques pour la cybersécurité peuvent ne pas être associés à un risque pour la sécurité. Par ailleurs, les Lignes directrices sur la cybersécurité contiennent une liste des normes dont la consultation est recommandée pour élaborer des processus de gestion des risques pour la cybersécurité.

C. Tests de vérification et de validation : Les mesures de contrôle des risques pour la cybersécurité doivent être validées et pouvoir être retracées par rapport aux spécifications de conception. À cet égard, les Lignes directrices sur la cybersécurité indiquent les normes recommandées pour les tests de cybersécurité et Santé Canada encourage spécifiquement les fabricants à effectuer un test des vulnérabilités et des exploits ainsi qu'un test des faiblesses du logiciel.

D. Surveillance des menaces et réponse à celles-ci : Il est essentiel que les fabricants surveillent, identifient et abordent de manière proactive les vulnérabilités des instruments découverts après leur mise en marché, et qu'ils fassent preuve de leur engagement à cet égard dans leurs demandes d'homologation portant sur des instruments de classe III et de classe IV.

Enfin, les Lignes directrices sur la cybersécurité décrivent les renseignements sur la cybersécurité qui doivent être fournis dans les demandes d'homologation d'un instrument de classe III ou de classe IV en plus des éléments de données généraux. Les éléments de données pour lesquels doivent être fournis des renseignements relatifs à la cybersécurité sont les suivants : (i) étiquettes de l'instrument, étiquettes de l'emballage et documentation, y compris une liste de tous les composants de logiciel ouvert, la version des composants, ainsi que toute instruction à l'utilisateur sur la manière d'atténuer les risques pour la cybersécurité et sur la manière de répondre à un incident ; (ii) historique de marketing, y compris un résumé des problèmes de cybersécurité signalés et des rappels ; (iii) évaluation des risques, y compris un résumé des problèmes de cybersécurité signalés et des mesures d'atténuation des risques adoptées ; (iv) plan de qualité propre à l'instrument pour les instruments médicaux de classe IV démontrant qu'un cadre de cybersécurité fait partie intégrante des normes de qualité de cet instrument ; (v) sécurité et efficacité, y compris des détails de toute étude sur la cybersécurité sur laquelle s'est appuyé le fabricant, une liste des normes de cybersécurité appliquées, les preuves du test de cybersécurité, une matrice de traçabilité des risques relatifs à la cybersécurité relatifs à la conception et un plan d'entretien de l'instrument.

Santé Canada recommande aux fabricants d'instruments médicaux d'utiliser le Framework for Improving Critical Infrastructure Cybersecurity (Cadre de gestion des risques pour la cybersécurité du fabricant) (NIST, version 1.1, avril 2018) pour guider leurs activités de cybersécurité, que ce soit en améliorant les processus existants ou en élaborant des pratiques exemplaires.

Les parties intéressées ont jusqu'au 5 février 2019 pour soumettre leurs observations au sujet des Lignes directrices sur la cybersécurité.

Le Plan d'action et les Lignes directrices sur la cybersécurité sont annonciateurs de changements importants qui seront apportés prochainement au régime réglementaire canadien des instruments médicaux. Les fabricants d'instruments ont tout intérêt à passer en revue leurs politiques et leurs procédures de surveillance, de déclaration et de cybersécurité, ainsi que leur processus de développement de produits, et ce, afin de définir et d'élaborer des plans permettant de respecter toute obligation de conformité récemment anticipée. Fasken continuera de surveiller l'évolution de la situation et de faire rapport lorsque le Plan d'action sera publié et que la version finale des Lignes directrices sur la cybersécurité sera disponible.

Footnotes

1 Plan d'action disponible en ligne

2 Lignes directrices sur la cybersécurité disponible en ligne

3 Pour en savoir plus sur la Loi de Vanessa, veuillez consulter nos bulletins sur l' adoption de la loi, la réglementation connexe et les consultations sur les modifications proposées au Règlement sur les instruments médicaux.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.