Qu'est-ce que la norme EN ISO 14971 ?
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
La norme EN ISO 14971 (Dispositifs médicaux – Application de la gestion des risques aux dispositifs médicaux) traite du processus de gestion des risques nécessaire pour assurer la sécurité et la sûreté des dispositifs médicaux (DM) et des dispositifs médicaux de diagnostic in vitro (DMDIV).
Initialement établie à l'attention des fabricants de dispositifs médicaux (DM ou DMDIV), l'emploi de cette norme s'est étendu aux logiciels de santé non qualifiés de dispositifs médicaux.
Cet article vous présente le domaine d'application de la norme EN ISO 14971 pour traiter de ces considérations.
Domaine d'application de la norme EN ISO 14971
La norme EN ISO 14971 décrit un processus de gestion des risques applicable tout au long du cycle de vie d'un dispositif médical (DM ou DMDIV).
Le processus proposé permet de couvrir tous les types de risques des dispositifs médicaux.
De ce fait, pour les dispositifs médicaux incorporant du logiciel (DMIL) et pour les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device"), la norme EN ISO 14971 permet de couvrir les risques de sécurité et les risques de cybersécurité (ou sûreté) du logiciel.
De manière indirecte, la norme EN ISO 14971 est aussi applicable aux logiciels de santé autonomes qui ne sont pas qualifiés de dispositifs médicaux.
En effet, la norme CEI EN 82304-1 (Logiciels de santé – Partie 1 : exigences générales pour la sécurité des produits) renvoie vers la norme EN ISO 14971, notamment pour la gestion des risques de conception et développement du logiciel.
Conformité réglementaire de la gestion des risques des logiciels (de) dispositifs médicaux
Etablie par l'Organisation Internationale de Normalisation (ou ISO pour "International Organization for Standardization"), la norme EN ISO 14971 est harmonisée pour la réglementation européenne applicable aux dispositifs médicaux (DM) et aux dispositifs médicaux de diagnostic in vitro (DMDIV).
Sa mise en œuvre confère donc aux fabricants de dispositifs médicaux (DM ou DMDIV) une présomption de conformité aux exigences réglementaires relevant de cette norme.
Le processus de gestion des risques décrit dans la norme EN ISO 14971 pose les bases pour
identifier les dangers (ou phénomènes dangereux),
identifier les situations dangereuses,
identifier, évaluer et réduire les risques de sécurité et de cybersécurité (ou sûreté) et
vérifier l'efficacité des mesures de maîtrise des risques mises en œuvre
tout au long du cycle de vie des dispositifs médicaux (DM) et des dispositifs médicaux de diagnostic in vitro (DMDIV).
Pour assurer la conformité aux exigences applicables à la gestion des risques des dispositifs médicaux, la norme EN ISO 14971 doit être complétée avec les exigences introduites par les autres normes harmonisées pour la réglementation relative aux dispositifs médicaux (DM ou DMDIV).
Ainsi, pour gérer les risques liés au logiciel, il faudra notamment compléter la norme EN ISO 14971 avec les exigences introduites par la norme CEI EN 62304 (Logiciels de dispositifs médicaux – Processus du cycle de vie du logiciel) pour la gestion des risques des logiciels (de) dispositifs médicaux.
Quant à prouver la conformité des activités de gestion des risques, la norme EN ISO 14971 précise la documentation à générer et à mettre à jour tout au long du cycle de vie du dispositif médical.
A titre d'exemple, la version en vigueur de cette norme prévoit que le fabricant documente une politique d'établissement des critères d'acceptabilité des risques.
Sécurité et sûreté des logiciels de santé non qualifiés de dispositifs médicaux
Les défaillances potentielles des logiciels de santé non qualifiés de dispositifs médicaux peuvent exposer les patients des centres de santé à des dangers importants.
A titre d'exemple : que pourrait-il se passer si le dossier médical d'un patient comportait des informations erronées suite à un dysfonctionnement logiciel ?
Pour pallier à ces éventualités, la norme CEI EN 82304-1 (Logiciels de santé – Partie 1 : exigences générales pour la sécurité des produits) renvoie vers la norme EN ISO 14971 pour la gestion des risques des logiciels de santé non qualifiés de dispositifs médicaux.
La norme CEI EN 82304-1 est pleinement applicable aux produits logiciels de santé non qualifiés de dispositifs médicaux.
De plus, tout comme la norme EN ISO 14971, la norme CEI EN 82304-1 est harmonisée pour la réglementation sur les dispositifs médicaux (DM ou DMDIV).
Sur cette base, les logiciels de santé non qualifiés de dispositifs médicaux bénéficient d'un référentiel normatif qui permet de mettre en œuvre une gestion des risques de sécurité et de cybersécurité du logiciel digne du secteur médical.
Intérêt pour les fabricants de logiciels de santé
Les produits logiciels de santé, qu'il s'agisse ou pas de dispositifs médicaux, fournissent, stockent et gèrent des informations importantes pour la mise en œuvre de soins et l'adéquation des traitements proposés aux patients.
La fiabilité, la sécurité et la sûreté de ces logiciels sont donc déterminantes pour le bon fonctionnement des centres de santé (hôpitaux, cliniques, EHPAD…).
Depuis plusieurs années, différentes mesures sont mises en œuvre pour limiter et maîtriser les problèmes logiciels dans les centres de santé :
certification Qualité Hôpital Numérique (QHN),
portail de signalement des évènements indésirables…
Dans ce contexte, la norme EN ISO 14971 aide les fabricants de produits logiciels de santé à mettre en place les activités nécessaires pour identifier et maîtriser les risques de sécurité et de cybersécurité de leurs produits, notamment pour limiter la fréquence et l'impact de leurs potentiels dysfonctionnements.
Au besoin, il ne faut pas hésiter à prévoir du consulting pour sa mise en place et sa mise en œuvre.
Pour en savoir plus
La norme EN ISO 14971 est au cœur de la conformité réglementaire du logiciel dispositif médical (ou SaMD pour "Software as Medical Device").
Pour les logiciels dispositifs médicaux, les exigences de la norme EN ISO 14971 sont mises en œuvre dans le cadre d'un système de management de la qualité EN ISO 13485.