Article
La cybersécurité et les dispositifs médicaux : les données médicales électroniques augmentent le risque de litige en responsabilité du fait du produit pour les fabricants d’appareils médicaux
13
La valeur des renseignements médicaux personnels volés est de dix à vingt fois plus importante qu’un numéro de carte de crédit volé1. Alors que l’industrie des soins de santé s’appuie de plus en plus sur la création et la conservation de renseignements médicaux personnels électroniques, la sécurisation de ces derniers est un sujet de préoccupation pour les fabricants de dispositifs médicaux ainsi que les organismes de réglementation chargés de protéger le public. En effet, les dispositifs médicaux sont aussi vulnérables que les autres systèmes informatiques qui contiennent des renseignements personnels.
On rapporte de plus en plus de cyberattaques au sein de l’industrie des soins de santé, et ce, visant tant les dispositifs médicaux2 que les renseignements médicaux en général3. Comme l’ont souligné nos collègues dans un article récent sur la cybersécurité4, « les cybercriminels parviennent souvent à éviter les poursuites, [alors que] les entreprises victimes d’attaques peuvent se retrouver au cœur de litiges. » [Traduction] Les fabricants de dispositifs médicaux sont des victimes potentielles, et le défaut d’offrir une protection appropriée contre les cyberattaques pourrait donner lieu à la désapprobation d’un dispositif, à son rappel ou à l’imposition de toute autre mesure réglementaire ou juridique.
À la suite d’appels en faveur de l’amélioration de la sécurité et de protection de la confidentialité des dispositifs médicaux, l’American Food and Drug Administration (la « FDA ») a récemment publié le document intitulé Draft Guidance for the Postmarket Management of Cybersecurity in Medical Devices5, (le « Projet de guide »), dans lequel elle affirme que les mesures de contrôles prises par les fabricants précédant la commercialisation de leurs dispositifs sont insuffisantes : « En raison du fait que les cyberrisques touchant les dispositifs médicaux ne cessent d’évoluer, il s’avère que les mesures de contrôle précédant la commercialisation ne suffisent plus à elles seules.6 » [Traduction]
La période de commentaires et de suggestions liées à ce Projet de guide a pris fin le 21 avril 2016.
Le Projet de guide de la FDA
La FDA invite les fabricants de dispositifs médicaux à être proactifs en ce qui a trait à la protection des renseignements personnels, et encourage les fabricants à se pencher sur la cybersécurité tout au long du cycle de vie utile du produit, y compris aux stades de la conception, du développement, de la production, de la distribution, du lancement et de la maintenance d’un dispositif7.
Le Projet de guide énonce des recommandations quant à l’évaluation et à la gestion des risques précédant la commercialisation, dont des mesures d’identification et d’évaluation des biens à protéger, des menaces, et des vulnérabilités, de détermination des niveaux de risque, des stratégies appropriées d’atténuation des risques de même que des critères d’acceptation des risques8.
Le Projet de guide cible en particulier les membres du personnel de l’industrie et de la FDA quant aux recommandations de gestion des vulnérabilités en matière de cybersécurité après la commercialisation des dispositifs médicaux. Voici les critères essentiels relatifs à cette phase proposés par la FDA9:
- Surveiller les sources de données sur la cybersécurité pour identifier et détecter les vulnérabilités et les risques en la matière;
- Comprendre, évaluer et détecter la présence et l’impact des vulnérabilités;
- Élaborer et communiquer des processus liés aux vulnérabilités et à leur gestion;
- Définir clairement la performance clinique essentielle d’un dispositif médical pour développer des mesures d’atténuation des cyberrisques visant à assurer la protection contre ces derniers, la réaction à adopter en cas de cyberattaques, et la manière d’y remédier;
- Adopter une politique et une pratique coordonnées quant à la divulgation de vulnérabilités; et
- Mettre en place des mesures d’atténuation des risques précoces qui gèrent le risque en matière de cybersécurité avant l’exploitation des dispositifs.
La FDA affirme en outre que le partage d’information relatif au cyberrisque est crucial à une approche proactive en fait de cybersécurité. La FDA prône la collaboration entre des parties prenantes publiques et privées, y compris la communauté des TI, les organisations de prestation de soins de santé, la communauté des utilisateurs cliniques, et les fabricants de dispositifs médicaux.
La FDA est également en faveur du développement d’organisations de partage et d’analyse d’information (Information Sharing Analysis Organizations) en vue de faciliter une telle collaboration. Cette mise en œuvre de telles organisations s’effectue aux termes d’un décret présidentiel du Président des États-Unis d’Amérique10. Les entreprises qui participent volontairement à de telles organisations bénéficieront de certaines protections, y compris en ce qui a trait à l’application de certaines exigences de divulgation en vertu de la US Federal Food, Drug, and Cosmetic Act11.
De nouveaux défis pour les fabricants de dispositifs médicaux
La mise en œuvre des mesures préconisées peut s’avérer dispendieuse pour les fabricants de dispositifs médicaux, et pourrait ralentir la recherche et le développement. Il sera nécessaire d’assurer une surveillance accrue après la commercialisation du dispositif. Plutôt que de décrire des mesures de contrôles spécifiques, le Projet de guide suggère la mise en place de processus flous « liés à un modèle de gestion des risques holistique12 ». [Traduction] La FDA attend des fabricants qu’ils anticipent les vulnérabilités, ce qui pourrait être difficile en raison de la vitesse à laquelle la technologie, et surtout la technologie de piratage, évolue. Il pourrait y avoir aussi une augmentation des exigences de déclaration, notamment, en ce qui a trait au décèlement de certaines vulnérabilités dans le cadre duquel les fabricants auraient également l’obligation d’aviser l’agence gouvernementale compétente13.
Alors que le Projet de guide précise qu’il n’établit pas une responsabilité juridiquement contraignante, il se peut que tout défaut de tenir compte des recommandations contenues dans le Projet de guide résultant en une violation puisse être perçu comme le défaut de se conformer à la norme appropriée. À ce titre, il est sans doute préférable d’adopter les recommandations de la FDA dans la mesure du possible.
Recommandations aux fabricants de dispositifs médicaux au Canada
Afin d’atténuer les risques associés à la commercialisation d’un dispositif médical, les fabricants canadiens doivent tenir compte de la sécurité, de la confidentialité et des directives de la FDA relativement à la cybersécurité aux stades de l’approbation préliminaire et suivant la commercialisation. Les entreprises canadiennes de dispositifs médicaux doivent être conscientes des obligations liées aux dispositifs médicaux commercialisés aux États-Unis, et même si aucune mesure similaire n’a encore été adoptée par les organismes de réglementation au Canada, la FDA pave souvent la voie à l’adoption de mesures futures au sein du régime réglementaire et juridique canadien. Voici ce que nous recommandons :
- Les dispositifs doivent être conçus, testés et contrôlés de façon à prévenir les atteintes à la sécurité des données et à en faire le suivi.
- Il faut prendre en considération la possibilité d’erreurs issues du dispositif, causées par les employés, ou découlant d’actes/de mauvaise conduite délibérés commis par des employés, et de sabotage/d’atteinte à la sécurité des données en raison d’une brèche intentionnelle émanant de l’externe.
- Il faut donner des directives détaillées aux parties prenantes internes et externes (fournisseurs de soins de santé, patients, etc.) quant aux problèmes de sécurité qui peuvent survenir après la vente des dispositifs, y compris les menaces à la sécurité et à la protection des données.
- Il faut établir un processus régissant le cycle de vie utile complet du dispositif médical qui permet de cibler les dangers en matière de cybersécurité des données d’un dispositif médical, d’estimer et d’évaluer les risques y afférents, de contrôler ces derniers et d’assurer le suivi de l’efficacité des contrôles.
Alors que la technologie des dispositifs médicaux évolue rapidement, la norme de diligence à laquelle sera tenu de se conformer un fabricant de dispositifs médicaux pour se protéger de litiges en responsabilité du fait du produit et relatifs à la protection des renseignements personnels évoluera elle aussi.
1 “Your medical record is worth more to hackers than your credit card”, 24 septembre 2014 (article en anglais seulement)
2 Voir par exemple :
- Les fabricants de dispositifs médicaux Medtronic, St. Jude Medical et Boston Scientific ciblés par des pirates, Lien vers l’article du San Francisco Chronicle Article : “Hackers break into networks of 3 big medical device makers”, 8 février 2014.
- Le 31 juillet 2015, la U.S. Food & Drug Administration a publié une alerte (en anglais seulement) relativement au Hospira Symbiq Infusion System faisant état de vulnérabilités en matière de cybersécurité.
- Daniel Halperin, Tadayoshi Kohono, Thomas S. Heydt-Benjamin, Kevin Fu, et William H. Maisel, Security and Privacy for Implantable Medical devices. IEEE Pervasive Computing, 7(1):30-39, 2008.
3 Voir par exemple :
- L’article sur l’affaire de l’hôpital Rouge Valley Centenary, où les renseignements personnels de milliers de nouvelles mamans ont été vendus à des entreprises de REEE (en anglais seulement).
- En août 2014, article tiré de The New York Times : http://bits.blogs.nytimes.com/2014/08/18/hack-of-community-health-systems-affects-4-5-million-patients/?_r=2
4 “Ransomware poses complex legal and reputational risks”, 27 avril 2016 (article en anglais seulement).
5 “FDA Postmarket Management of Cybersecurity in Medical Devices”, 22 janvier 2016 (le « Projet de guide »).
6 Projet de guide, p. 11.
7 Projet de guide, p. 4.
8 Projet de guide, p. 11.
9 Projet de guide, pp. 11-12.
10 Décret présidentiel intitulé « Promoting Private Sector Cybersecurity Information Sharing », 13 février 2015, Lien vers le décret présidentiel du 13 février 2016 (en anglais seulement).
11 Projet de guide, p. 7.
12 Le représentant James Langevin (démocrate du Rhode Island), vice-président du caucus du Congrès sur la cybersécurité, a publié une lettre ouverte à la Food and Drug Administration (FDA), le 21 avril vantant les mérites du Projet de guide qui renforcera la cybersécurité sur les dispositifs médicaux. Lien vers la lettre du 21 avril 2016 du membre du Congrès, James Langevin (en anglais seulement).
13 Projet de guide, p. 4.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.