
22 septembre 2020
Actuellement, au niveau européen, il n’existe pas de règlementation ayant pour objectif de sécuriser spécifiquement les objets connectés, à l’exception d’un projet de loi en Angleterre[1]. Cependant, cela ne signifie pas que les acteurs du milieu médical n’ont aucune obligation de sécurité concernant leurs projets IoT. Plusieurs règlementations viennent impacter la sécurité de ces projets en fonction du type de données ou du système d’information qui les traite.
Concernant le type de données traitées :
Concernant les systèmes d’information :
Les objets connectés de santé ne sont impactés qu’indirectement par ces règlementations. Cependant une règlementation européenne bientôt en vigueur pourrait avoir des conséquences majeures sur les dispositifs médicaux connectés : la Medical Device Regulation[2].
La distinction entre objets connectés de bien-être et dispositifs médicaux connectés a des conséquences importantes d’un point de vue règlementaire. Les seconds ne vont pas être réglementés au titre de la sécurité de objets connectés mais au titre de celle des dispositifs médicaux. Ils seront donc soumis à la Medical Device Regulation (ou MDR), publiée en mai 2017 et dont la mise en œuvre est prévue en mai 2021.
Depuis les années 1990, les fabricants de dispositifs médicaux doivent apposer un marquage “CE” pour pouvoir commercialiser leurs produits sur l’ensemble du marché européen. Pour obtenir ce sigle, ils doivent faire l’objet d’un contrôle de la part d’organismes notifiés qui évaluent la qualité et la sûreté du dispositif.
Suite à plusieurs scandales sanitaires[3], la commission européenne a souhaité réviser en profondeur la règlementation liée aux objets médicaux et a donc adopté la MDR en 2017. Cette dernière innove en intégrant des exigences relatives à la sécurité informatique des dispositifs intégrant du logiciel, les dispositifs médicaux connectés par exemple.
Ces exigences cyber concernent aussi bien la pré-commercialisation du dispositif que sa post-commercialisation.
Si un fabricant souhaite commercialiser un nouveau dispositif médical connecté, le volet cyber va principalement concerner la documentation technique. Il devra présenter :
Si le fabricant répond à l’intégralité des exigences du contrôle de conformité pré-commercialisation, il pourra apposer le sigle « CE » sur son dispositif médical. Celui-ci pourra donc être commercialisé dans tous les pays de l’Union Européenne.
Les obligations de la MDR ne s’arrêtent pas là. Le fabricant va devoir surveiller le dispositif dans sa phase de post-commercialisation. Il existe deux exigences essentielles :
Ces deux nouvelles exigences vont probablement inciter les fabricants à connecter de plus en plus les dispositifs médicaux pour faire remonter le plus rapidement possible les rapports d’incidents. Comme nous l’évoquions plus haut, l’entrée en application de la MDR, dans un premier temps prévue le 26 mai 2020, a finalement été reportée au 26 mai 2021, en raison de la crise sanitaire.
Cette règlementation permettra ainsi une plus grande sécurisation des objets médicaux de santé, faisant baisser les risques d’attaques pour le patient comme le praticien.
Pour (re)découvrir les deux premiers volets de notre série :
La sécurisation des objets connectés de santé
La sécurisation des défibrillateurs cardiaques
[1] Bitdefender.fr, « Le Royaume-Uni va renforcer la sécurité des objets connectés avec de nouvelles lois », www.bitdefender.fr/box/blog/actu-iot/le-royaume-uni-va-pousser-la-securite-des-objets-connectes-par-de-nouvelles-lois/
[2] Règlementation des Dispositifs Médicaux en français
[3] Prothèse mammaire PIP, par exemple