La gestion des risques vise à garantir que le dispositif médical (ou DM), surtout lorsqu'il intègre de l'IA, ne présente pas de dangers inacceptables pour le patient, l'utilisateur ou des tiers. Avec le Réglement sur les Dispositifs Médicaux (RDM 2017/745), la gestion des risques suit un cycle continu : identification, estimation, évaluation, contrôle des risques et surveillance post commercialisation.

Chaque risque doit être pris en compte dès la conception, avec des méthodes d'analyse robustes et une justification claire des choix techniques.

La norme ISO 14971, harmonisée avec le RDM 2017/745, décrit le processus de gestion des risques applicable tout au long du cycle de vie du dispositif médical. L'IA Act s'appuie sur une approche similaire, exigeant des fabricants de systèmes IA (ou SIA) à haut risque (dont beaucoup de logiciels DM) de procéder à une analyse des risques spécifique à l'IA.

Au quotidien, cela implique pour le fabricant d'organiser des revues régulières des risques, de mettre en place des mesures de maîtrise des risques et d'effectuer des mises à jour dès qu'un nouveau danger est identifié.

Surveillance après commercialisation (Art.72 de l’IA Act / Art. 83 et 86 du RDM)

La surveillance après commercialisation (ou SAC) permet d'identifier, de signaler et d'analyser les incidents liés à l'usage réel du DM, pour anticiper tout risque émergent.

Le RDM 2017/745 impose une surveillance active des DM commercialisés, via des rapports périodiques, des enquêtes terrain, et l'analyse des retours d'expérience utilisateurs. Cette surveillance se traduit par une collecte systématique d'informations sur l'efficacité et la sécurité du produit, avec une obligation de réagir rapidement en cas de problème.

L'IA Act exige une surveillance continue des SIA, notamment à travers la tenue de journaux d'événements qui enregistrent automatiquement les actions du système, ses décisions, et les éventuelles anomalies détectées. Cette traçabilité avancée permet d'effectuer des audits ciblés, d'améliorer le système par corrections rapides et de garantir la conformité réglementaire en temps réel. Les journaux doivent être conservés pendant une durée minimale de six mois. (Cf. Art.12 et 19 de l’IA Act)

Documentation technique (Art. 11 et Annexe IV de l’IA Act / Annexes II et III du RDM 2017/745) 

La documentation technique représente le dossier qui prouve la conformité du dispositif médical à la réglementation en vigueur.

Le RDM 2017/745 exige une documentation détaillée, décrite dans les Annexes II et III. La documentation doit régulièrement être mise à jour en fonction des évolutions du produit ou de la réglementation.

L'IA Act ajoute à cela une documentation spécifique sur le fonctionnement de l'IA incluant :

·       Une description générale du SIA,

·       Une description détaillée des éléments du SIA et de son processus de développement,

·       Des informations détaillées sur la surveillance, le fonctionnement et le contrôle du SIA,

·       Une description des indicateurs de performance,

·       Une description détaillée du système de gestion des risques.

·       Une description des modifications pertinentes apportées,

·       Une liste des normes appliquées,

Système de management de la qualité (Art. 17 de l’IA Act)

Généralement, les entreprises établissent leur système de management de la qualité (ou SMQ) en conformité avec la norme ISO 13485.

Toutefois, l'article 17 de l’IA Act exige que ce système soit documenté de manière systématique et ordonnée sous la forme de politiques, de procédures et d'instructions écrites, et qu'il couvre au minimum :

·       Les systèmes et procédures de gestion des données,

·       Les techniques, procédures et actions systématiques à utiliser pour la conception, le contrôle et la vérification de la conception,

·       Le système de gestion des risques,

·       L’établissement, la mise en œuvre et la maintenance d’un système de surveillance consécutive à la mise sur le marché,

·       Les spécifications techniques, y compris les normes, à appliquer,

·       Des systèmes et des procédures d’archivage de tous les documents et informations pertinents,

·       Un cadre de responsabilisation définissant les responsabilités de la direction et des autres membres du personnel.

Conclusion :

En conclusion, le Règlement 2017/745 sur les dispositifs médicaux et le Règlement 2024/1689 sur l’intelligence artificielle (IA Act) peuvent être abordés séparément, chacun comportant ses propres exigences et objectifs ; cependant, ils peuvent aussi être abordés en parallèle, notamment pour les dispositifs médicaux intégrant des SIA à haut risque.

En harmonisant les démarches de conformité les entreprises peuvent assurer à la fois le respect du RDM et celui de l’IA Act, optimisant ainsi le processus de mise sur le marché.