Prestations de conception et développement de logiciel (de) dispositif médical
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
Le Règlement (UE) 2017/745 relatif aux dispositifs médicaux (DM) et le Règlement (UE) 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro (DMDIV) prévoient que le fabricant reste seul responsable de la conformité réglementaire de son dispositif.
3. Lors de l'établissement de la déclaration de conformité UE, le fabricant assume la responsabilité du respect des exigences du présent règlement et de tous les autres actes législatifs de l'Union applicables au dispositif.
Source : Article 19 du Règlement (UE) 2017/745 et article 17 du Règlement (UE) 2017/746
Pourtant, dans le cadre de prestations de génie logiciel, une société de services en ingénierie informatique (SSII) peut prendre en charge la conception et le développement d'un logiciel (de) dispositif médical.
Comment est pris en compte ce cas de figure ?
Penchons-nous sur la question à l'occasion de cet article.
Contexte des prestations de génie logiciel pour dispositifs médicaux
Les sociétés de service en ingénierie informatique (SSII), aussi dénommées entreprises de services numériques (ESN), proposent deux grands types de prestations :
- des prestations en régie et
- des prestations au forfait.
Les prestations en régie constituent de l'assistance technique et portent sur les moyens mis en œuvre par le prestataire, indépendamment du résultat obtenu.
Il s'agit de détacher un ou plusieurs consultants pour qu'ils exercent leurs activités sous la hiérarchie du client et, habituellement, dans ses locaux.
Dès lors, sous réserve d'une sélection appropriée du/des consultant(s), ces prestations ne posent pas de problème réglementaire particulier.
Par contre, les prestations au forfait portent sur le résultat de la prestation : la livraison d'un logiciel, la mise en œuvre d'essais…
Ainsi, quand on considère la conception et le développement de logiciel (de) dispositif médical, les prestations au forfait sont des externalisations d'activités pour lesquelles le fabricant doit assurer la conformité réglementaire.
La réglementation et les normes harmonisées applicables aux dispositifs médicaux (DM ou DMDIV) prévoient deux mécanismes pour assurer la conformité des activités externalisées :
- la maîtrise des sous-traitants et
- l'audit des sous-traitants par les organismes notifiés (ON).
De ce fait, les prestations de conception et développement de logiciel (de) dispositif médical au forfait emportent des conséquences pour le fabricant du dispositif et pour la SSII (ou l'ESN) prestataire du service.
Le fabricant du dispositif médical doit assurer la maîtrise de la sous-traitance
Quand on considère les prestations de génie logiciel externalisées, on peut distinguer trois étapes :
- le choix du prestataire,
- le déroulement de la prestation et
- la réception du/des livrable(s).
Dans le cadre des dispositifs médicaux (DM ou DMDIV) ces étapes doivent être couvertes par un processus de maîtrise de la sous-traitance.
L'objectif est d'assurer une maîtrise organisationnelle et technique de la prestation pour que la responsabilité du fabricant ne soit pas uniquement engagée sur la base d'une relation de confiance avec le prestataire.
En effet, le processus de maîtrise de la sous-traitance aide à garantir
- la conformité de la prestation et
- la conformité des livrables qui en résultent.
Les Règlements (UE) 2017/745 et 2017/746 traitent de maîtrise de la sous-traitance dans le cadre des exigences applicables au système de management de la qualité (SMQ) du fabricant.
Et ces exigences sont reprises par le point 4.1.5 de la norme harmonisée EN ISO 13485 (Dispositifs médicaux – Systèmes de management de la qualité – Exigences à des fins réglementaires).
4.1.5 Lorsqu'un organisme décide d'externaliser un processus ayant une incidence sur la conformité du produit aux exigences, il doit le surveiller et en assurer la maîtrise.
Source : Norme EN ISO 13485
Ainsi, la maîtrise de la sous-traitance est un prérequis de conformité des activités de génie logiciel pour dispositifs médicaux externalisées.
Il s'agit d'une démarche active du fabricant qui peut se voir complétée par des audits du prestataire dans le cadre de l'évaluation de conformité et de la surveillance après commercialisation (SAC) du dispositif médical considéré.
La SSII (ou ESN) peut être auditée par l'organisme notifié
Dans la plupart des cas, le marquage CE d'un dispositif médical requiert l'intervention d'un organisme notifié (ON) pour évaluer la conformité du dispositif.
Et quand on considère les dispositifs médicaux incorporant du logiciel (DMIL) et les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device"), les organismes notifiés vont notamment évaluer la conformité de conception et développement du logiciel.
Pour évaluer la conformité des activités externalisées par le fabricant du dispositif, les Règlements (UE) 2017/745 et 2017/746 prévoient que les sous-traitants puissent être audités.
La procédure d'évaluation comprend un audit dans les locaux du fabricant et, le cas échéant, des fournisseurs et/ou des sous-traitants du fabricant pour vérifier les procédés de fabrication et autres processus pertinents.
Source : Règlement (UE) 2017/745, Annexe IX, Chapitre I, paragraphe 2.3
De ce fait, en cas d'externalisation d'activités de conception et développement de logicel (de) dispositif médical, le marquage CE du dispositif pourrait se voir compromis par la non-conformité de la prestation de la SSII (ou l'ESN) choisie par le fabricant.
Après son marquage CE, le logiciel (de) dispositif médical rentre en phase de surveillance après commercialisation (SAC).
Dans cette phase de son cycle de vie, le logiciel va connaître des évolutions pour répondre aux retours des utilisateurs, aux besoins de cybersécurité qui se feront sentir…
Et la réglementation relative aux dispositifs médicaux (DM ou DMDIV) prévoit que les prestataires puissent aussi être audités dans le cadre de la surveillance après commercialisation du dispositif médical.
Les organismes notifiés effectuent périodiquement, au moins tous les douze mois, les audits et les évaluations appropriés pour s'assurer que le fabricant en question applique le système de gestion de la qualité approuvé et le plan de surveillance après commercialisation. Ces audits et évaluations incluent des audits dans les locaux du fabricant et, le cas échéant, des fournisseurs et/ou des sous-traitants du fabricant.
Source : Règlement (UE) 2017/745, Annexe IX, Chapitre I, paragraphe 3.3
De plus, ces audits peuvent être inopinés et, dans ce cas de figure, le fabricant ne sera informé ni de la date ni de la portée de l'audit.
L'organisme notifié effectue de manière aléatoire, au moins une fois tous les cinq ans, des audits sur place inopinés chez le fabricant et, le cas échéant, chez les fournisseurs et/ou les sous-traitants du fabricant, audits qui peuvent être réalisés parallèlement à l'évaluation de surveillance périodique visée à la section 3.3 ou en sus de celle-ci. Pour ces audits sur place inopinés, l'organisme notifié établit un plan mais ne doit pas le communiquer au fabricant.
Source : Règlement (UE) 2017/745, Annexe IX, Chapitre I, paragraphe 3.4
Par conséquent, les prestations de conception et développement de logiciel (de) dispositif médical emportent, pour la SSII (ou l'ESN) prestataire, des contraintes de conformité réglementaire afin de ne pas remettre en cause la commercialisation du dispositif médical du client.
Implications pour les intervenants
Pour assurer la sécurité et la sûreté des dispositifs médicaux, la conception et le développement d'un logiciel (de) dispositif médical doivent être réalisés dans le cadre du respect de la réglementation applicable.
Si vous êtes fabricant de dispositifs médicaux, la maîtrise de la sous-traitance doit être prévue par votre système de management de la qualité (SMQ) pour assurer la conformité des activités externalisées de conception et développement de logiciel (de) dispositif médical.
De plus, la mise en œuvre de ce processus vous aide à limiter les risques de votre projet et à protéger votre responsabilité.
Si vous êtes prestataire de services de génie logiciel, une certification EN ISO 13485 (Dispositifs médicaux – Systèmes de management de la qualité – Exigences à des fins réglementaires) vous aidera à assurer la conformité de vos prestations de conception et développement de logiciel (de) dispositif médical.
De plus, il s'agit d'un des principaux critères de sélection des sous-traitants pour l'externalisation d'activités de génie logiciel pour dispositifs médicaux (DM ou DMDIV).
Au besoin, quel que soit votre cas de figure, je serai heureux de vous aider.
Pour en savoir plus
La conformité réglementaire d'un logiciel dispositif médical (ou SaMD pour "Software as Medical Device") ne se limite pas à la documentation du logiciel.
La certification EN ISO 13485 aide les SSII (ou ESN) à assurer la conformité leurs prestations de génie logiciel pour dispositifs médicaux (DM ou DMDIV).