Comité Consultatif Scientifique les Technologies Numériques de la Santé (CCS-TNS) 23 Novembre 2018 Compte Rendu des Délibérations

Accueil et mot d'ouverture (John Patrick Stewart)

Le directeur général de la Direction des produits thérapeutiques (DPT) souhaite la bienvenue aux membres du comité consultatif scientifique.  Il présente le contexte de la réunion, à savoir, discuter des questions relatives à la santé numérique et à la cybersécurité en ce qui concerne les instruments médicaux.

Il explique le déroulement de la réunion et remercie une fois de plus le comité pour son temps et ses conseils à Santé Canada.  Il cède ensuite la parole au président du comité. 

Mot du président (Joseph Cafazzo)        

Le président remercie les membres pour leur participation à la réunion.  Il confirme l'approbation de l'ordre du jour de la réunion.  Il invite ensuite les membres du comité à indiquer de vive voix s'il y a des changements en ce qui concerne leurs déclarations d'affiliation et d'intérêt.  Aucune déclaration ne nécessite des restrictions quant à la participation des membres.     

Présentations 1 - 5 :

  1. Présentation : Stefan Feix, MEDEC

    La présentation donne un aperçu de la position de MEDEC sur la santé numérique et la cybersécurité. La sécurité des patients devrait être la principale préoccupation de Santé Canada dans toute décision stratégique et réglementaire et devrait être distincte des questions de sécurité. La cybersécurité est une responsabilité partagée entre les utilisateurs et les fabricants. MEDEC recommande que les politiques et les mesures de correction n'aient pas d'exigences qui sont propres au Canada et qu'elles utilisent les normes internationales pour assurer le déploiement le plus rapide avec le moindre fardeau possible. Toute nouvelle réglementation devrait également tenir compte de l'impact sur les instruments existants.

  2. Présentation : Dana O’Born, David Bissessar, Graeme Moffat, Brian Courtney, Jim Waters, Conseil canadien des innovateurs (CCI)

    La présentation donne le point de vue du CCI sur l'orientation de la santé numérique et sur la façon dont Santé Canada devrait canaliser ses efforts.

  3. Présentation : Alex Kent, Medtronic

    La présentation donne un aperçu des activités de Medtronic en matière de cybersécurité.

  4. Présentation : Colin Morgan, Johnson & Johnson (J&J)

    La présentation donne un aperçu des activités de J&J en matière de cybersécurité.

  5. Présentation : Marc Lamoureux, DPT; Patrick Fandja, Direction des produits de santé commercialisés; Ursula Polack, Direction générale de la règlementation des opérations et des régions

    La présentation donne un aperçu du cadre réglementaire de Santé Canada pour les instruments médicaux et des responsabilités de chaque composante du Programme des matériels médicaux : homologation prévente, surveillance post-commercialisation, conformité réglementaire et application de la loi.

Délibérations sur les questions posées au comité (tous les membres)

Les enjeux soulevés en comité, dans les questions posées aux présentateurs et lors des discussions, comprennent notamment les suivants :

La liste ci-dessus n'est pas exhaustive et ne vise qu'à donner une idée du type de questions examinées par le comité.

Commentaires de Diabète Canada (Kim Hanson)

Le membre souligne la nécessité d'établir un équilibre entre la sécurité des instruments médicaux et la sécurité des patients d'un côté et la capacité des patients à accéder à leurs propres données saisies par les instruments médicaux de l'autre. Certains patients diabétiques ont été contraints de modifier leurs instruments pour créer un système en boucle fermée et envoyer leurs données dans l’ infonuage pour les rendre accessibles. Les déclarations suivantes ont été faites pour examen :

Recommandations

En réponse aux questions posées par Santé Canada, le comité a formulé les recommandations suivantes :

Question 1 :

Selon vous, quelles sont les tendances émergentes les plus pressantes dans le domaine de la santé numérique? Selon vous, dans le cadre de son mandat d'aider les Canadiens à maintenir et à améliorer leur santé, quel sera le plus grand défi que Santé Canada devra relever pour réglementer les matériels médicaux liés à la santé numérique?

Répondre 1 :

Voici certaines tendances qui se dessinent ou qui sont apparues :

Voici certains des défis posés :

Le comité a également recommandé que la participation des patients et des citoyens soit renforcée et maintenue au fur et à mesure que le cadre réglementaire est élaboré. Les patients deviendront éventuellement propriétaires de leurs propres données et seront davantage touchés par les décisions réglementaires que les fabricants eux-mêmes. 

Question 2 :

Le paysage de la santé numérique évolue avec des technologies difficiles à réglementer dans le cadre réglementaire actuel. Les algorithmes d'apprentissage machine qui masquent une partie du comportement du logiciel en sont un exemple. Comment Santé Canada peut-il faciliter l'émergence sur le marché de logiciels novateurs pour appareils médicaux, comme les algorithmes d'apprentissage automatique, tout en s'assurant qu'ils demeurent sûrs et efficaces pour la population canadienne?

Répondre 2 :

Il est important de comprendre les données sur lesquelles la machine a été formée pour pouvoir évaluer la valeur de l'algorithme. Les critères d'inclusion des algorithmes d'IA sont les caractéristiques de l'ensemble de données sur lequel la machine a été formée, ce qui est différent des critères d'inclusion classiques fondés sur le profil des patients. Il a été démontré que les algorithmes deviennent peu fiables lorsqu'on leur présente des données qui ne relèvent pas des paramètres des valeurs d'apprentissage. De même, pour les algorithmes qui utilisent l'apprentissage par renforcement, la source des données devient un aspect essentiel pour savoir si le système continue à fonctionner. L'approbation des systèmes d'apprentissage automatique ou profond présente un risque si les données utilisées pour former les instruments ne sont pas représentatives de la population canadienne.

Il est facile de masquer les preuves utilisées pour faire des allégations et il n'est peut-être pas possible d'évaluer avec précision les ensembles de données, car ils pourraient nécessiter une expertise dans plusieurs spécialisations différentes. Il est essentiel de mettre au point un système capable d'exploiter les données et d'utiliser des données du monde réel.

L'atténuation des risques est également importante et dépendra du programme. Par exemple, il sera plus facile de gérer les problèmes des algorithmes qui nécessitent une intervention humaine, qu'un algorithme autonome qui nécessite davantage d'évaluation post-commercialisation.

L'homologation conditionnelle et les rapports continus à mesure qu'un produit est développé, que les indications s'élargissent et que la sensibilité et la spécificité s'améliorent sont des plans potentiels qui ont été examinés par l'IMDRF (« International Medical Device Regulators Forum ») et le programme de précertification de la FDA que Santé Canada pourrait adopter.

Question 3 :

Quelles mesures de cybersécurité sont déjà en place dans les établissements de soins de santé et quelles mesures supplémentaires pourraient être prises pour combler les lacunes dans ces mesures de cybersécurité concernant les instruments médicaux? Le réseau local d'un hôpital est-il considéré comme plus sûr qu'un réseau domestique ou une connexion directe à Internet?

Répondre 3 :

Oui. La situation varie d'un hôpital à l'autre, mais en général, la sécurité des réseaux fait l'objet d'un examen annuel. Les tests réalisés par un bidouilleur (white hat) et la détection d'intrusion sont quelques-uns des essais effectués. Cependant, les dispositifs existants, logiciels et systèmes d'exploitation sont sensibles aux attaques malveillantes par hameçonnage et l'utilisation de clés USB externes.

Les lois provinciales sur la protection des renseignements personnels poussent les établissements dans la bonne direction, mais aucune norme internationale n'est actuellement imposée. De plus, les exigences en matière de mots de passe, conçues pour protéger les systèmes, pourraient contribuer à affaiblir la sécurité, car les utilisateurs écrivent leurs mots de passe sur des bouts de papier qu'ils perdent souvent. L'authentification multifactorielle offrirait une meilleure approche, bien que cela puisse être laborieuse pour les utilisateurs si elle n'est pas bien exécutée. La biométrie avancée, bien mise en œuvre, pourrait être une solution d'avenir et devrait être encouragée.

L'interaction d'un instrument avec des données sur un réseau local pourrait également présenter un risque. Les hôpitaux ne sont pas en mesure de sécuriser ou de fournir des dispositifs médicaux individuels et doivent donc compter sur les fabricants. La segmentation et la configuration appropriée sont des méthodes d'atténuation des risques. Il y a eu des discussions entre les hôpitaux concernant la possibilité d’aider les cliniques plus petites à alléger leur fardeau en matière de sécurité, car ces cliniques sont un vecteur d'entrée dans les réseaux hospitaliers et pourraient potentiellement être exploitées pour leur porter atteinte.

Question 4 :

Quel niveau d'information sur les problèmes de cybersécurité identifiés devrait être fourni aux utilisateurs potentiellement touchés? Les avantages d'informer pleinement les utilisateurs sur les problèmes connus prévalent-ils sur les risques potentiels d'une utilisation malveillante des problèmes largement exposés?

Répondre 4 :

Les cliniciens ne sont peut-être pas les personnes les mieux placées pour informer les utilisateurs des atteintes à la sécurité des données, à moins que l'atteinte ne touche les soins cliniques. Les acteurs malveillants sont probablement déjà au courant des vulnérabilités. Donc, il n'y a aucun risque réel à rendre publiques les questions d'ordre général.

Dans le milieu de la sécurité, il existe des normes pour la divulgation coordonnée des vulnérabilités. La FDA des États-Unis commence également à imposer la divulgation coordonnée et Santé Canada devrait envisager de coordonner les divulgations propres au Canada au moyen d'un organisme canadien plutôt que d'une organisation américaine. Les exigences de divulgation devraient être suffisamment rigoureuses pour obliger les fabricants à corriger ou à atténuer les vulnérabilités en plus de les divulguer.

Les atteintes à la protection des données sont le plus souvent régies par des lois sur la protection de la vie privée. En ce qui concerne la divulgation de la sécurité des patients, la responsabilité d'informer devrait incomber à tous ceux qui sont au courant de la question. Par ailleurs, il est possible d'avoir différents niveaux de notification : l'attention du public et des médias pour inciter le fabricant à agir; la sensibilisation des cliniciens et hôpitaux à configurer l'instrument pour atténuer les risques; et la sensibilisation des patients aux risques les concernant directement. Il est toutefois possible de faire davantage pour établir des échéanciers pour les différents niveaux de notification afin d'atténuer ou de corriger les vulnérabilités. La définition actuelle du risque contrôlé est trop vague. L'organisme de réglementation devrait s'assurer que les vulnérabilités sont atténuées ou corrigées. Les patients doivent comprendre les risques relatifs lorsqu'ils sont informés des vulnérabilités et savoir ce qu'ils peuvent faire pour les atténuer à court terme, par exemple en désactivant les fonctions sans fil de leur instrument.

Les vulnérabilités d'un instrument peuvent exposer les vulnérabilités d'autres dispositifs commercialisés par des fabricants différents qui utilisent le même logiciel. Cela peut amener les fabricants à hésiter à divulguer quoi que ce soit ou à tenter de réduire les risques.

Question 5 :

Quelles sont les pratiques exemplaires d'atténuation des risques en matière de cybersécurité pour les divers environnements d'utilisation prévus (p. ex., à domicile, en clinique) des instruments médicaux? Existe-t-il des différences fondamentales entre les différents environnements d'utilisation qui devraient être pris en compte sur le plan de la cybersécurité? Si oui, quelles sont les différences fondamentales?

Répondre 5 :

L'environnement des hôpitaux est contrôlé et isolé par rapport à un domicile ou une clinique en ce qui concerne les données sortantes. Certains instruments sont configurés pour être en communication constante avec l'extérieur, ce qui n'est pas permis dans les hôpitaux.

La sécurité devrait être conçue pour le plus petit dénominateur commun, i.e. le plus utilisé, et le fabricant devrait être responsable d'atténuer autant que possible les risques. Il n'est pas permis de supposer qu'un environnement est sûr. En outre, il faut mettre en place un cadre minimal et un mécanisme de mise à jour, car les chiffrements sont efficaces pendant un certain temps, avant que des ordinateurs plus puissants puissent les décrypter.

Concevoir des dispositifs dans un environnement de « confiance zéro » permet de développer un modèle qui tient compte des menaces et assure la pérennité des dispositifs. En même temps, le contexte est important et ne devrait pas créer de barrières à l'entrée pour les nouveaux fabricants. Cela pourrait nécessiter différents niveaux d'assurance de sécurité. Il doit également être complété par un environnement réglementaire qui met à l'épreuve la capacité de réponse.

Les systèmes de décryptage mettent en danger la confidentialité et l'intégrité de l'instrument et de ses données. Le contrôle des données exclusives devrait faire l'objet d'une discussion réglementaire distincte.

Question 6 :

La FDA a recommandé le dépôt d'une documentation prévente, qui comprend un résumé décrivant les contrôles en place pour assurer l'intégrité du point d'origine jusqu'au moment où l'instrument quitte le fabricant. Les fabricants devraient-ils démontrer les contrôles de cybersécurité de leur propre infrastructure informatique sur leur site? Ou pouvons-nous supposer que cela est pris en compte par la conformité à la norme ISO (« International Organization for Standardization ») 13485:2016?

Répondre 6 :

La norme ISO 13485 n'est pas destinée à la sécurité et il existe des normes ISO plus appropriées telles que la norme ISO 27001. Une combinaison de ce cadre avec d'autres normes serait utile. Au-delà de la chaîne d'approvisionnement et des logiciels, il serait nécessaire d'analyser le matériel et l'ensemble du processus de gestion du cycle de vie.

Question 7 :

Au Canada, le Règlement sur les instruments médicaux définit le rappel d'un instrument médical comme suit :

toute mesure prise par le fabricant, l'importateur ou le distributeur de l'instrument, visant à en faire le rappel, à y apporter des correctifs ou à aviser le propriétaire ou l'utilisateur de la défectuosité -- réelle ou potentielle --, après qu'il se soit rendu compte que l'instrument, selon le cas

  1. peut être dangereux pour la santé;
  2. peut ne pas être conforme aux affirmations du fabricant ou de l’importateur relativement à son efficacité, à ses avantages, à ses caractéristiques de rendement ou à sa sûreté;
  3. peut ne pas être conforme à la Loi ou au présent règlement.

De plus, l'article 34 du Règlement sur les instruments médicaux stipule qu'une modification de l'homologation d'un instrument est nécessaire pour tout changement important à un instrument de classe III ou IV.  Un « changement important » veut dire un changement dont on peut raisonnablement s'attendre à ce qu'il ait une incidence sur la sûreté ou l'efficacité d'un instrument médical, y compris, entre autres, la conception de l'instrument, dont ses caractéristiques de rendement, ses principes de fonctionnement et les spécifications des matériaux, sources d'énergie, logiciels et accessoires.

Afin de trouver un équilibre entre sécurité prévente et agilité post-commercialisation lors du déploiement de mesures correctives rapides, Santé Canada aimerait examiner la meilleure façon de gérer les rappels et les autorisations de modification des homologations dans le cas de certains correctifs ou mises à jour en réponse à des problèmes de cybersécurité. 

  1. Quel serait l’échéancier calendrier prévu par le fabricant pour le déploiement d'un correctif?
  2. Y a-t-il un délai qui serait tout simplement trop long du point de vue du risque?
  3. De quoi Santé Canada devrait-il tenir compte lorsqu'il veut déterminer si un correctif de cybersécurité est un rappel ou une demande de modification d'homologation prévente?
  4. Santé Canada devrait-il envisager d'adopter le concept de la FDA des États-Unis de « Risque contrôlé c. risque non contrôlé de préjudice pour les patients » comme fondement pour signaler les problèmes à l'organisme de réglementation?

Répondre 7 :

  1. Le calendrier de déploiement d'un correctif devrait dépendre du risque évalué en fonction des avantages du changement important et d'autres facteurs tels que les effets sur la sécurité des patients (p. ex., si la vulnérabilité est un risque pour la santé ou une question de conformité aux règlements). La plupart des organisations exigent que le fournisseur ait un correctif avant la divulgation. Donc, la divulgation est, en fin de compte, une fonction qui oblige à obtenir les correctifs. Dans le milieu de la sécurité, on s'accorde généralement de 30 à 90 jours pour corriger les problèmes avant de divulguer la vulnérabilité. Il y a des exceptions au programme, où le milieu de la sécurité collabore avec les fabricants s'il est prouvé que le fabricant s'affaire à résoudre le problème de la vulnérabilité. Il est recommandé que les fabricants disposent d'un correctif avant la divulgation, mais on reconnaît qu’il peut arriver que la divulgation soit importante, mais qu’un correctif ne soit pas prêt.

  2. Un contexte plus large est nécessaire pour traiter de manière adéquate la question b). Déterminer si un délai est « trop long » dépend d'un certain nombre de facteurs tels que la taille du marché et le nombre de personnes exposées. Différents niveaux de risque nécessiteraient des échéanciers différents. Les fabricants, eux, connaîtraient le mieux les échéanciers. Il existe des normes pour la classification des vulnérabilités et, dans d'autres industries, les fabricants ont tendance à manipuler la classification à un niveau inférieur pour éviter certains problèmes et s'accorder plus de temps pour y remédier. Bien que les RMP (renseignements médicaux personnels) soient régis par les provinces, faudrait-il en étendre la portée au niveau fédéral?

  3. (Santé Canada a précisé la question en demandant quelles considérations devraient être prises en compte lors de l'identification d'un produit défectueux par rapport à l'entretien ou au correctif de routine).

    On ne sait pas si un problème de cybersécurité pourrait rendre un instrument défectueux. Une fois la vulnérabilité divulguée, Santé Canada devrait effectuer une analyse d'impact pour déterminer si un rappel ou toute autre mesure est nécessaire. Le changement de la fonction médicale ou de l'usage prévu doit faire l'objet d'une modification, tandis qu'un problème uniquement lié à la sécurité devrait faire l'objet d'un rappel. Même dans les cas urgents, l'organisme de réglementation et le fabricant doivent toujours effectuer des contrôles de validation et d'intégrité pour éviter que l'instrument ne devienne un « rebut ».

  4. Il faut prévoir un certain type de cadre et de système de classification et le règlement devrait être renforcé à l'avenir pour s'assurer que l'évaluation n'est pas faite uniquement par le fabricant.

Question 8 :

Le fabricant devrait-il assumer la responsabilité de surveiller les problèmes de cybersécurité post-commercialisation (p. ex. un logiciel intégré pour détecter des anomalies)? Dans l'affirmative, quelles sont les pratiques exemplaires actuellement en place que les fabricants devraient adopter pour surveiller les problèmes de cybersécurité? Santé Canada devrait-il demander aux fabricants de produire des rapports périodiques sur les vulnérabilités en matière de cybersécurité?

Répondre 8 :

Les fabricants devraient rendre leurs instruments plus accessibles aux chercheurs en sécurité pour que ces derniers puissent les tester, et s'abstenir de poursuites judiciaires en cas de divulgation de vulnérabilités. L'une des pratiques exemplaires émergentes de l'industrie est l'utilisation de programmes « Bug Bounty » qui font appel à des chercheurs en sécurité pour tester les vulnérabilités dans leur temps libre.

Les rapports sur la vulnérabilité devraient être coordonnés par des personnes qui ont l'expertise nécessaire pour les évaluer. Aux États-Unis, plusieurs organismes utilisent cette méthode. Au Canada, la responsabilité incombe actuellement au Centre de cybersécurité. On pourrait envisager un modèle semblable qui permettrait le triage des risques et la divulgation. Les fabricants devraient faire rapport à Santé Canada sur les pratiques exemplaires qu'ils utilisent pour se tenir au courant de la cybersécurité. Ce rapport pourrait être intégré en tant que mesure de la norme ISO 13485.

Conclusion / levée de séance (président)

Le président et Santé Canada remercient les membres de leur participation. La séance est levée.

Détails de la page

Date de modification :