Canada: Santé Canada annonce un plan d'action sur la sécurité des matériels médicaux et des lignes directrices sur la cybersécurité

Last Updated: January 22 2019
Article by Timothy Squire and Mark Vanderveken

Santé Canada a récemment publié deux textes prospectifs importants sur la réglementation des instruments médicaux :

  • Plan d'action de Santé Canada sur les instruments médicaux : Amélioration continue de la sécurité, de l'efficacité et de la qualité1 (« Plan d'action ») ;
  • Ébauche de lignes directrices : Exigences relatives à la cybersécurité des instruments médicaux avant leur mise en marché2 (« Lignes directrices sur la cybersécurité »)

Ces publications sont destinées à éclairer les changements à apporter au régime réglementaire des instruments médicaux en vue d'élargir les activités de supervision de Santé Canada en matière d'homologation et de surveillance des instruments et, également, à encourager les fabricants à corriger les vulnérabilités de sécurité émergentes dans les instruments en réseau.

Plan d'action

Le Plan d'action présente une stratégie en trois volets ayant pour but de remédier aux insuffisances constatées dans la surveillance des instruments médicaux exercée par Santé Canada, en insistant plus particulièrement sur (A.) les essais expérimentaux préalables à l'homologation et l'élargissement de l'expertise scientifique, (B.) la surveillance des instruments homologués par un renforcement de l'obligation de déclarer les incidents liés aux instruments, et (C.) la diffusion accrue des données cliniques et des renseignements sur les incidents liés aux instruments auprès du public. Chaque volet de la stratégie est résumé ci-après :

A. Essais expérimentaux et expertise scientifique : À l'heure actuelle, seuls les fabricants d'instruments peuvent présenter une demande en vue d'effectuer des essais expérimentaux portant sur des instruments non homologués. Les changements proposés permettront aux chercheurs indépendants et aux professionnels de la santé de présenter une demande d'autorisation pour effectuer des essais expérimentaux, ce qui permettra d'élargir la portée de la recherche canadienne et de produire davantage de données sur l'évaluation de la sécurité. À cet égard, Santé Canada a annoncé la publication d'un Avis d'intention (vraisemblablement pour modifier le Règlement sur les instruments médicaux) en juin 2019 ainsi que la publication d'un rapport sur les conclusions de sa consultation en septembre 2019.

De plus, Santé Canada constituera un nouveau comité consultatif d'experts scientifiques sur les questions relatives à la santé des femmes, et a créé une nouvelle division chargée d'examiner les instruments médicaux faisant appel aux technologies de santé numériques. Santé Canada prévoit également renforcer les exigences en matière de données probantes sur l'innocuité des instruments à risque élevé, dont la demande d'homologation s'appuie sur leurs similitudes avec une version antérieure de l'instrument déjà autorisée.

B. Surveillance et déclaration : En vue de remédier à la petite quantité de déclarations d'incidents liés aux instruments (qui est à l'heure actuelle obligatoire pour les fabricants d'instruments, mais facultative pour les autres intervenants du secteur de la santé), une nouvelle réglementation élaborée en vertu de la Loi visant à protéger les Canadiens contre les drogues dangereuses (la « Loi de Vanessa »)3 obligera les hôpitaux à signaler de tels incidents à Santé Canada. Cette nouvelle réglementation devrait être publiée en juin 2019. Par ailleurs, Santé Canada s'efforcera d'améliorer les déclarations transmises par les établissements de santé autres que les hôpitaux en élargissant le réseau sentinelle canadien des dispositifs médicaux (CMDSN et) regroupant les organisations de soins de santé effectuant des déclarations, et en mettant sur pied un programme visant à promouvoir la déclaration des incidents par les professionnels de la santé.

La nouvelle réglementation élaborée en vertu de la Loi de Vanessa aura également pour effet d'élargir l'éventail des renseignements que les fabricants d'instruments seront tenus de fournir à Santé Canada en cas d'incident lié à un instrument. Santé Canada se verra conférer de nouveaux pouvoirs lui permettant d'obliger les fabricants à réévaluer leurs produits à la lumière de nouveaux renseignements publiés par d'autres organismes de réglementation ; de plus, les fabricants seront tenus d'informer Santé Canada dans les 72 heures suivant l'émission d'une mise en garde par certains organismes de réglementation étrangers. Par ailleurs, Santé Canada est en train d'élaborer un cadre pour l'utilisation accrue des données probantes du monde réel, dans le but de surveiller la sécurité et l'efficacité des instruments après leur mise en marché.

Qui plus est, Santé Canada a annoncé son intention de renforcer ses activités d'inspection et d'application de la loi en embauchant de nouveaux inspecteurs et en augmentant le nombre d'inspections effectuées à l'étranger et les activités de promotion de la conformité à compter de mars 2019.

C. Publication des données cliniques et des renseignements sur les incidents liés aux instruments : Santé Canada mettra en Suvre une nouvelle réglementation sur la diffusion publique des données cliniques sur les instruments médicaux en vue d'encourager une analyse indépendante susceptible d'offrir de nouveaux points de vue en matière de sécurité. Une base de données contenant ces renseignements sera accessible au public par Internet après la publication du règlement en juin 2019.

En ce qui concerne les données sur les incidents liés aux instruments, Santé Canada a pris l'engagement de publier ses décisions relatives aux demandes d'homologation approuvées des instruments à risque plus élevé (c.-à-d. de classe III et de classe IV), de lancer en 2019 une base de données accessible au public par Internet contenant les rapports d'incidents liés à des instruments médicaux, et d'améliorer sa base de données existante sur les inspections des instruments médicaux.

Lignes directrices sur la cybersécurité

L'ébauche de lignes directrices sur la cybersécurité est née du constat que les instruments médicaux, qui étaient à l'origine des appareils principalement analogiques, ont évolué pour devenir des instruments en réseaux interconnectés. Cette évolution s'est traduite par des avantages pour les patients et les fournisseurs de soins de santé, mais a aussi créé de nouvelles vulnérabilités pouvant avoir des répercussions négatives sur la sécurité et l'efficacité des instruments. Par conséquent, les Lignes directrices sur la cybersécurité fournissent aux fabricants d'instruments médicaux des conseils sur l'amélioration de la cybersécurité de leurs instruments et décrivent l'information à présenter dans le cadre d'une demande d'homologation d'instrument médical pour démontrer que l'instrument offre des garanties de sécurité suffisantes.

Les Lignes directrices sur la cybersécurité s'appliquent spécifiquement aux instruments qui sont ou qui contiennent un logiciel, quelle que soit leur classe de risque. Les fabricants d'instruments qui sont ou qui contiennent un logiciel, sans égard à leur classe de risque, seront tenus de mettre en Suvre une stratégie en matière de cybersécurité prenant en considération les aspects suivants : (A.) conception sécuritaire, (B.) gestion des risques, (C.) tests de vérification et de validation, et (D.) planification en vue de la surveillance continue des menaces et de la réponse à celles-ci.  Pour les fabricants d'instruments de classe III et de classe IV, l'information sur ces éléments devra être présentée dans la demande d'homologation en plus des éléments de données généraux qui doivent être produits en vertu du Règlement sur les instruments médicaux. Chaque élément est résumé ci-après :

A. Conception sécuritaire : Les fabricants doivent tenir compte de la cybersécurité tout au long de l'élaboration de l'instrument en identifiant les risques et les contrôles associés à la cybersécurité lors des choix en matière de conception et en optant pour une conception qui maximise la cybersécurité sans faire de compromis quant à la sécurité physique offerte par l'instrument médical. Santé Canada encourage spécifiquement les fabricants à envisager des contrôles de conception couvrant les communications sécurisées, la sécurité des données, l'accès utilisateur, la maintenance du logiciel, la conception matérielle, ainsi que la fiabilité et la disponibilité.

B. Gestion des risques : Les fabricants doivent intégrer de solides principes de gestion des risques à tous les stades du cycle de vie de l'instrument. À cet effet, Santé Canada recommande d'adopter les principes de gestion des risques décrits dans la norme ISO 14971-07:2007 Dispositifs médicaux - Application de la gestion des risques, et de les mettre en application pour gérer les risques pour la cybersécurité. Les fabricants sont invités à mettre en Suvre des processus de gestion des risques pour la cybersécurité propres à chaque instrument parallèlement à leurs processus de gestion des risques pour la sécurité existants, et ce, pour remédier au fait que certains risques pour la cybersécurité peuvent ne pas être associés à un risque pour la sécurité. Par ailleurs, les Lignes directrices sur la cybersécurité contiennent une liste des normes dont la consultation est recommandée pour élaborer des processus de gestion des risques pour la cybersécurité.

C. Tests de vérification et de validation : Les mesures de contrôle des risques pour la cybersécurité doivent être validées et pouvoir être retracées par rapport aux spécifications de conception. À cet égard, les Lignes directrices sur la cybersécurité indiquent les normes recommandées pour les tests de cybersécurité et Santé Canada encourage spécifiquement les fabricants à effectuer un test des vulnérabilités et des exploits ainsi qu'un test des faiblesses du logiciel.

D. Surveillance des menaces et réponse à celles-ci : Il est essentiel que les fabricants surveillent, identifient et abordent de manière proactive les vulnérabilités des instruments découverts après leur mise en marché, et qu'ils fassent preuve de leur engagement à cet égard dans leurs demandes d'homologation portant sur des instruments de classe III et de classe IV.

Enfin, les Lignes directrices sur la cybersécurité décrivent les renseignements sur la cybersécurité qui doivent être fournis dans les demandes d'homologation d'un instrument de classe III ou de classe IV en plus des éléments de données généraux. Les éléments de données pour lesquels doivent être fournis des renseignements relatifs à la cybersécurité sont les suivants : (i) étiquettes de l'instrument, étiquettes de l'emballage et documentation, y compris une liste de tous les composants de logiciel ouvert, la version des composants, ainsi que toute instruction à l'utilisateur sur la manière d'atténuer les risques pour la cybersécurité et sur la manière de répondre à un incident ; (ii) historique de marketing, y compris un résumé des problèmes de cybersécurité signalés et des rappels ; (iii) évaluation des risques, y compris un résumé des problèmes de cybersécurité signalés et des mesures d'atténuation des risques adoptées ; (iv) plan de qualité propre à l'instrument pour les instruments médicaux de classe IV démontrant qu'un cadre de cybersécurité fait partie intégrante des normes de qualité de cet instrument ; (v) sécurité et efficacité, y compris des détails de toute étude sur la cybersécurité sur laquelle s'est appuyé le fabricant, une liste des normes de cybersécurité appliquées, les preuves du test de cybersécurité, une matrice de traçabilité des risques relatifs à la cybersécurité relatifs à la conception et un plan d'entretien de l'instrument.

Santé Canada recommande aux fabricants d'instruments médicaux d'utiliser le Framework for Improving Critical Infrastructure Cybersecurity (Cadre de gestion des risques pour la cybersécurité du fabricant) (NIST, version 1.1, avril 2018) pour guider leurs activités de cybersécurité, que ce soit en améliorant les processus existants ou en élaborant des pratiques exemplaires.

Les parties intéressées ont jusqu'au 5 février 2019 pour soumettre leurs observations au sujet des Lignes directrices sur la cybersécurité.

Le Plan d'action et les Lignes directrices sur la cybersécurité sont annonciateurs de changements importants qui seront apportés prochainement au régime réglementaire canadien des instruments médicaux. Les fabricants d'instruments ont tout intérêt à passer en revue leurs politiques et leurs procédures de surveillance, de déclaration et de cybersécurité, ainsi que leur processus de développement de produits, et ce, afin de définir et d'élaborer des plans permettant de respecter toute obligation de conformité récemment anticipée. Fasken continuera de surveiller l'évolution de la situation et de faire rapport lorsque le Plan d'action sera publié et que la version finale des Lignes directrices sur la cybersécurité sera disponible.

Footnotes

1 Plan d'action disponible en ligne

2 Lignes directrices sur la cybersécurité disponible en ligne

3 Pour en savoir plus sur la Loi de Vanessa, veuillez consulter nos bulletins sur l' adoption de la loi, la réglementation connexe et les consultations sur les modifications proposées au Règlement sur les instruments médicaux.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
 
In association with
Related Topics
 
Related Articles
 
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Mondaq Sign Up
Gain free access to lawyers expertise from more than 250 countries.
 
Email Address
Company Name
Password
Confirm Password
Position
Industry
Mondaq Newsalert
Select Topics
Select Regions
Registration (you must scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions