La norme IEC 62304 est l’une des nombreuses règlementations du domaine de la santé qui s’applique aux dispositifs médicaux et, plus précisément, au développement et à la maintenance des logiciels de DM. Depuis sa parution en 2006, la norme IEC 62304 a fait l’objet de plusieurs amendements et projets de loi, visant à élargir son champ d’application tout en faisant évoluer les définitions relatives aux dispositifs médicaux, aux logiciels de dispositifs médicaux et leur classement de sécurité. Après avoir fait le point sur toutes les exigences de la norme IEC 62304 pour les Logiciels de Dispositif Médical dans cet article, voyons maintenant les risques pour vos produits logiciels si vous n’y répondez pas.
Ce qu’implique la norme IEC 62304, et son impact sur vos produits
La norme IEC 62304 implique de suivre un cycle de réalisation défini à partir des besoins utilisateur et essentiellement articulé autour de 3 grandes actions :
- la mise en place d’un système de développement proprement dit,
- qui, à son tour, va être couplé à un système de gestion des configurations du logiciel,
- et également à un système de gestion des exigences, de gestion des risques et des mesures de reduction de risques associés .
Tout cela est encapsulé dans un système de release et de gestion des tests afin d’assurer toutes les activités liées au bug tracking et au change request. L’objectif ultime étant d’avoir un système complètement intégré, garant à la fois d’une traçabilité complète du premier besoin du client jusqu’à sa satisfaction et de la conformité aux normes du secteur.
Il est important de souligner que la norme IEC 62304 n’exige pas la mise en place de techniques de vérification et de test spécifiques, c’est-à-dire standardisées pour tout type d’organisation. Mais elle suppose que chaque entreprise concernée suive une méthodologie rigoureuse tout au long du cycle de vie de son logiciel de DM pour apporter des preuves de conformité aux exigences, absolument indispensables en cas d’audits. D’où l’importance de disposer d’un Plan d’Assurance Qualité (PAQ) logicielle – et plus globalement d’un Système de Management de la Qualité – pour définir en amont toutes les spécifications du projet dans le but de garantir la conformité des produits livrés et ainsi réduire les risques à un niveau « acceptable ».
Quels impacts en cas de difficultés ou non-conformité ?
Audits et anomalies
Il existe plusieurs audits de conformité auxquels les entreprises fabricantes de logiciels de dispositifs médicaux doivent se soumettre. Ils sont conduits par des auditeurs externes de l’Organisme Notifié (ON) et, selon leur typologie, peuvent se dérouler sur un ou plusieurs jours sur les sites à auditer ou bien à distance.
Brièvement, les voici :
- les audits de marquage CE, en cas de sortie d’un nouveau produit
- les audits de renouvellement prévus tous les 3 ans
- les audits de suivi (ou de surveillance) 1 fois par an
- les audits inopinés au moins une fois tous les 3 ans, s’ajoutant donc au cycle de certification de trois ans.
Si lors d’un audit des anomalies sont détectées, celles-ci peuvent être de 2 types :
- non conformité mineure, que l’organisation auditée aura le temps de traiter jusqu’à l’audit suivant pour qu’elle ne devienne pas grave, c’est-à-dire une non conformité majeure
- non conformité majeure, que l’organisation auditée devra obligatoirement traiter dans l’espace de 3 mois avant qu’elle soit re-examinée. Au cas où la défaillance ne serait pas traitée, l’entreprise aura l’interdiction de revendre le produit tant que cette non conformité n’est pas corrigée.
Tous les risques d’une gestion de projet logiciel non optimisée
Risque de non conformité
- Interdiction de mise sur le marché des produits
- Augmentation du time-to-market
- Perte des marchés
Non adéquation aux attentes
- Dégradation de l’image
- Perte de confiance avec clients et fournisseurs
- Besoin de contrôle et de résolution très rapide des anomalies
En conclusion, l’organisation, l’adaptabilité et surtout la capacité à réagir rapidement sont des facteurs primordiaux non seulement pour prouver aux auditeurs que les logiciels et produits développés sont conformes aux normes, mais également pour faire face aux changements rapides du marché, dont les évolutions des normes qui deviennent de plus en plus contraignantes.
L’importance d’un outil ALM
La Gestion du cycle de vie des applications est un véritable levier de succès pour les entreprises qui développent des produits qui embarquent du logiciel. Ainsi, la mise en place d’un bon outil d’Application Lifecycle Management (ALM) est indispensable aux développement et au contrôle de la qualité des logiciels dans le secteur médical. Il va permettre de gérer l’ensemble du cycle de vie d’une application et faciliter les audits, sur place et même à distance, car tous les processus, toutes les données sont centralisés dans une seule et même plateforme.
Tout tracer, automatiquement
Démontrer la traçabilité tout au long du développement logiciel est particulièrement important
Le plus tôt possible
Pour les développements déjà entamés, il est toujours possible de vérifier et adapter le processus pour répondre à l’IEC 62304. Néanmoins, plus c’est fait tardivement, plus grand est le risque d’identifier des anomalies à la dernière minutes, qui mèneront à d’indispensables adaptations, retardant possiblement la conformité, donc la mise sur le marché du logiciel. Nous vous conseillons de prendre les bonnes habitudes au plus tôt.
Adopter une approche plus itérative, agile
Les approches de développement waterfall sont courantes dans le domaine du médical mais retenons que l’IEC 62304 n’impose aucun méthodologie de développement. En effet, une approche incrémentale, évolutive est tout à fait possible, du moment que tout changement est tracé. Les méthodes agiles regorgent de bonnes pratiques qui apporteront beaucoup de valeurs lors des projets logiciels de dispositif médicaux.