ISO/IEC 42001 et AI Act : changement de cap pour les DM intégrant de l’IA
Un nouveau paysage règlementaire se dessine
Date de publication
30/01/2024
Menu
Un nouveau paysage règlementaire se dessine
Date de publication
30/01/2024
Un accord historique
En décembre 2023, la présidence du Conseil européen et les négociateurs du Parlement européen sont parvenus à un accord provisoire sur la proposition de règles harmonisées sur l'intelligence artificielle (IA), appelée "loi sur l'intelligence artificielle" (AI Act).
Mise à jour 05/02/2024 - Les 27 Etats membres de l’UE ont approuvé le texte le vendredi 2 février 2024.
Cette modification du paysage réglementaire européen a des implications importantes pour le développement et l’entrée sur le marché des dispositifs médicaux. En effet, les dispositifs médicaux à base d'IA (DMIA) sont considérés comme des « systèmes à haut risque ».
Cela signifie qu'ils devront être conformes à des exigences de sécurité renforcées.
En bref, ce texte vise à établir un cadre de protection pour les usagers face aux risques potentiels associés à l’intelligence artificielle sans freiner le développement de nouvelles innovations en santé.
Les grandes mesures de l’AI act
L’approche du règlement sur l’IA ne diffère pas de l’approche des règlements MDR 2017/745 sur les dispositifs médicaux ou IVDR 2017/746 sur les dispositifs médicaux de diagnostic in-vitro car il est fondé sur une approche par le risque. Cela permet notamment aux fabricants de classifier leur système IA selon les risques liés à l’utilisation et pose les exigences ainsi que le cadre d’évaluation de la conformité des dispositifs médicaux intégrant de l’IA.
Le projet de règlement vise à garantir que les systèmes d'IA mis sur le marché européen et utilisés dans l'UE sont sûrs et respectent les droits fondamentaux et les valeurs de l'UE. Il met en lumière l’importance d’appuyer sur la sécurité, la sûreté, l’équité, la transparence et la qualité des données tout au long du cycle de vie du produit.
Il devrait inclure notamment les points saillants suivants :
De plus, les fabricants devront s’assurer que leur produit n’est pas interdit par ce règlement et de répondre à ces nouvelles exigences en apportant les preuves de leur conformité, notamment via un audit de certification.
La norme ISO/IEC 42001
L'ISO et la CEI ont collaboré pour élaborer la norme ISO/IEC 42001 en 7 chapitres, visant à offrir un outil d’appui pour les fabricants qui cherchent à mettre leur produit en conformité selon le règlement de l’AI Act. L’objectif de cette norme recoupe en transversalité les enjeux énoncés dans le règlement, à savoir : permettre un développement responsable de l’intelligence artificielle en termes de sécurité, de transparence et d’éthique.
Elle fournit donc un cadre normatif aux fabricants de dispositifs intégrant de l’IA pour la mise en place d’un système de management de l’IA. La mise en place d’un tel système est à mettre en concordance avec les démarches d’obtention et de renouvellement de la certification ISO 13485.
Concordance avec l’ISO 13485 :
• Revue de direction
• Politique et objectif
• Responsabilité
• Gestion des risques
• Gestions des ressources et des compétences
• Communication
• Revue de direction
• Audit
• Monitoring et mesure des performances
• Amélioration continue
• Gestion des fournisseurs
La norme ISO/IEC 42001 apporte quelques exigences supplémentaires concernant :
• Les besoins et attentes des parties intéressées
• Le développement et le déploiement de l’IA
• Le cycle de vie de l’IA
• La gestion des données
• La documentation technique pour l’IA
En application, les systèmes de management de l’IA des fabricants devront respecter les exigences des deux normes (ISO13485 et ISO/IEC42001). À noter qu’une partie des exigences forme un tronc commun. Certains éléments communs devront être consolidés pour croiser aux doubles exigences. Les nouvelles notions devront être greffées aux systèmes existants, c’est-à-dire que le système de management de l’IA devra s’intégrer dans le système de management global de la qualité des fabricants.
À retenir
• La norme ISO/IEC 42001 se découpe en 7 chapitres et permet d’encadrer les systèmes de management de l’IA pour plus de sécurité, d’équité et de transparence.
• Elle permet d’établir un système de classification des systèmes IA via une approche par le risque
• Elle donne des exigences sur des éléments tels que la revue de direction, la réalisation d’audit, la gestion des fournisseurs, etc. impliquant l’amélioration et l’étoffement des systèmes de management de la qualité déjà existants
• Pour prouver la conformité à certaines exigences de l’AI Act, les fabricants pourront passer des audits pour être certifiés sur la 42001.
Prochaines étapes : que pouvez-vous déjà anticiper ?
Pour les dispositifs intégrant de l’IA arrivant sur le marché :
Le processus de mise en conformité sera à réaliser en lien avec le respect des exigences du MDR 2017/745 et IVDR 2017/746. Cela implique pour les fabricants de déterminer une stratégie d’accès marché prenant en considération ces deux éléments, c’est-à-dire de spécifier et d’identifier les exigences communes auxquelles ils sont soumis pour harmoniser leur démarche.
Pour les dispositifs intégrant de l’IA déjà présents sur le marché :
Les fabricants devront s’adapter aux nouvelles exigences. L’AI Act devrait probablement entrer en vigueur courant 2024, après un dernier vote au Parlement européen. Une période de transition sera prévue, dont la durée reste encore à confirmer.
Dans les deux cas, les fabricants de systèmes d'IA seront vraisemblablement confrontés à un manque de temps, ce qui signifie qu'ils devront analyser rapidement le texte, allouer des ressources et mettre en œuvre rapidement les changements nécessaires pour garantir la conformité à ces nouvelles exigences.
Notre conseil : entourez-vous d’un partenaire de confiance pour vous accompagner dans ces démarches. Chez Rumb, nous soutenons les innovateurs en santé dans la conception de leur stratégie règlementaire d’accès marché, l’obtention des certifications nécessaires à la commercialisation et au maintien sur le marché durant tout le cycle de vie de votre dispositif.
Besoin d'aide pour concevoir votre stratégie d'accès marché ?
À l'heure actuelle, vous l’aurez compris, de nombreuses informations sont encore en suspens.
Pour autant, si vous avez un composant IA dans votre dispositif médical, vous devez vous conformer à la norme IEC 62304, à la norme IEC 82304 et à toutes les autres normes applicables. Cela reste vrai avec ou sans l'AI Act en vigueur. Gardez un œil sur votre situation globale, car vous mettez sur le marché un dispositif médical qui doit être conforme à toutes les exigences pertinentes, et pas seulement à celles liées à l'IA.
Vous pouvez également d’ores et déjà inclure des réflexions sur les risques liés à l’IA lors de votre analyse de la gestion des risques obligatoire au sens du MDR 2017/745 et IVDR 2017/746.
Vous pouvez enfin chercher à identifier toutes les normes qui seraient applicables à votre produit en lien avec l’IA, notamment sur le site de l’ISO / CEI. Au sein de l'organisation ISO, c'est le comité technique ISO/CEI JTC1/SC42 qui est chargé d'élaborer les normes relatives à l'IA.
En bref, si vous êtes fabricant de DMIA, vous devriez dès maintenant documenter, tracer et qualifier vos modèles d’apprentissage automatique en santé.
Contrainte ou opportunité ?
Le cadre règlementaire européen est toujours une opportunité pour les entreprises, les professionnels de santé et les usagers car il permet de protéger et d’harmoniser les standards de sécurité et d’utilisation.
Par ailleurs, les certifications sont des gages de qualité et de sérieux. Vous renforcerez ainsi la confiance que les utilisateurs peuvent donner à votre produit.
Suivez notre newsletter pensée pour et par les innovateurs en santé !
Au programme : nos actualités, analyses, invitations, rendez-vous de l'écosystème DM et MedTech...
Cet article est diffusé à titre informatif et ne constitue pas une référence normative ou règlementaire.