Comité consultatif scientifique sur les technologies numériques de la santé – Questions

Partie 1 : La Santé Numérique et L’approche Réglementaire de Santé Canada

Préambule

Le projet « Améliorer l’accès aux technologies numériques de la santé » vise à améliorer les résultats pour les patients et leurs accès aux technologies, en s’adaptant aux technologies en évolution rapide dans le domaine de la santé numérique, en réagissant aux cycles d’innovation rapides et en soutenant l’examen des technologies durant la pré-commercialisation afin de faciliter leur accès au marché. Tout particulièrement, le projet vise à permettre aux Canadiens et aux Canadiennes d’avoir un meilleur accès aux technologies numériques en santé telles que les instruments médicaux sans fil, les applications mobiles en santé, les appareils de surveillance médicale utilisés à domicile et les logiciels d’instruments médicaux.

Les principaux points d’intérêt du projet « Améliorer l’accès aux technologies numériques de la santé », qui s’harmonisent aux approches d’autres organismes de réglementation, incluent :

• les instruments médicaux sans fil
• les applications mobiles en santé
• la télémédecine
• les logiciels à titre d’instruments médicaux (LIM)
• l’intelligence artificielle
• la cybersécurité

Question 1

Selon vous, quelles sont les tendances les plus pressantes en santé numérique? Selon vous, quel sera le plus grand défi rencontré par Santé Canada dans la réglementation des instruments médicaux liés à la santé numérique, dans l’optique de son mandat visant à aider les Canadiens et les Canadiennes à maintenir et améliorer leur santé?

Question 2

Le paysage de la santé numérique est en évolution, avec des technologies qui ne sont pas facilement réglementées dans le cadre réglementaire actuel. Un exemple serait les algorithmes d’apprentissage automatique, qui masquent certains comportements d’un logiciel. Comment Santé Canada peut-il faciliter l’émergence de logiciels novateurs dans le marché des instruments médicaux, comme les algorithmes d’apprentissage automatique, tout en s’assurant que le processus demeure sécuritaire et efficace pour les Canadiens et les Canadiennes?

Partie 2 : Approche Réglementaire de Santé Canada Concernant la Cybersécurité des Instruments Médicaux

Préambule

Les instruments médicaux ont évolué d’appareils principalement analogues, non reliés à un réseau et isolés, vers des instruments en réseau qui incorporent l’accès à distance, la technologie sans fil et des logiciels complexes. L’accroissement de l’interconnexion et de l’échange de données entre les instruments médicaux offre de grands avantages aux patients et au système de soins de santé, mais peut laisser les instruments exposés aux accès non autorisés. Ces vulnérabilités peuvent avoir des répercussions négatives sur la sécurité en entraînant des erreurs thérapeutiques ou de diagnostics, ou en affectant les activités cliniques. Une gestion efficace de la cybersécurité vise à réduire les risques encourus par les patients en réduisant la probabilité que la fonctionnalité de l’instrument soit compromise de façon intentionnelle ou involontaire.

Question 3

Quelles mesures en cybersécurité sont déjà instaurées dans les établissements de soins de santé et quelles étapes supplémentaires peuvent être prises pour combler les lacunes de ces mesures en cybersécurité en ce qui a trait aux instruments médicaux? Est-ce que le réseau local d’un hôpital est considéré comme plus sécuritaire qu’un réseau à la maison ou qu’une connexion directe à Internet?

Question 4

Quel niveau d’information, en ce qui concerne les problèmes cernés en cybersécurité, devrait être fourni aux utilisateurs potentiellement touchés? Est-ce que les avantages d’informer pleinement les utilisateurs des problèmes connus l’emportent sur les risques potentiels d'une exploitation malintentionnée des problèmes ainsi exposés?

Question 5

Quelles sont les pratiques d’atténuation des risques de cybersécurité en ce qui concerne les différents environnements d’utilisation, p. ex. utilisation à la maison, ou en clinique? Existe-t-il des différences fondamentales entre les différents environnements d’utilisation qui devraient être considérées en fonction de la cybersécurité? Dans l’affirmative, quelles sont ces différences fondamentales?

Question 6

La US Food and Drug Administration (FDA) a recommandé des documents de présentation préalable au marché, qui incluent un résumé décrivant les contrôles mis en place pour assurer l’intégrité à partir du point d’origine jusqu’au point où l’instrument quitte le fabricant. Est-ce que les fabricants devraient démontrer qu'ils ont des contrôles en cybersécurité pour leur propre infrastructure informatique au sein de leurs installations? Ou pouvons-nous présumer que la norme ISO 13485-2016 garantit cette conformité?

Question 7

Au Canada, le rappel d’un instrument médical se définit dans le Règlement sur les instruments médicaux comme suit :
Mesure prise par le fabricant, l’importateur ou le distributeur, après la vente de l’instrument médical, visant à en faire le rappel, à y apporter des correctifs ou à aviser le propriétaire ou l’utilisateur de la défectuosité – réelle ou potentielle –, après qu’il se soit rendu compte que l’instrument, selon le cas :

1. peut être dangereux pour la santé;
2. peut ne pas être conforme aux affirmations du fabricant ou de l’importateur relativement à son efficacité, à ses avantages, à ses caractéristiques de rendement ou à sa sûreté;
3. peut ne pas être conforme à la Loi ou au présent règlement.

De plus, l’article 34 du Règlement sur les instruments médicaux souligne qu’une demande de modification de l’homologation est requise pour une modification importante d’un instrument de classe III ou IV. Une « modification importante » signifie toute modification qui pourrait vraisemblablement influer sur la sûreté ou l’efficacité de l’instrument médical, y compris, entre autres, la conception de l’instrument, notamment les caractéristiques de rendement, les principes de fonctionnement et les spécifications de matériaux, la source d'énergie, le logiciel ou ses accessoires.

Afin de trouver un équilibre entre la sécurité préalable au marché et une certaine agilité après la commercialisation en déployant des mesures correctives rapides, Santé Canada voudrait considérer la meilleure façon de traiter les rappels et les autorisations de modifications à l’homologation dans les cas où certaines retouches, mises à jour ou corrections de bogue seraient requises en réaction à des problèmes de cybersécurité.

1. Quel serait le délai attendu d’un fabricant pour déployer une correction de bogue?
2. Existe-t-il un délai qui serait simplement trop long du point de vue des risques?
3. Quelles devraient être les considérations de Santé Canada pour déterminer si une correction de bogue en cybersécurité est un rappel ou une demande de modification d’homologation préalable au marché?
4. Santé Canada devrait-il considérer l'utilisation du concept du FDA américain de « risque contrôlé c. incontrôlé de préjudice au patient » pour signaler les problèmes à l’organisme de réglementation?

Question 8

Le fabricant devrait-il avoir la responsabilité de surveiller les problèmes liés à la cybersécurité après la commercialisation (p. ex. logiciel intégré pour détecter toute anomalie)? Dans ce cas, quelles sont les pratiques exemplaires actuellement en place qui devraient être adoptées par les fabricants pour surveiller les problèmes de cybersécurité? Santé Canada devrait-il demander des rapports périodiques des fabricants faisant état des vulnérabilités en cybersécurité?