ISO/IEC 42001 et AI Act : changement de cap pour les DM intégrant de l’IA

Un nouveau paysage règlementaire se dessine

Date de publication
30/01/2024 - Dernière mise à jour le 24/07/2024

Un accord historique

En décembre 2023, la présidence du Conseil européen et les négociateurs du Parlement européen sont parvenus à un accord provisoire sur la proposition de règles harmonisées sur l'intelligence artificielle (IA), appelée "loi sur l'intelligence artificielle" (AI Act).

Les 27 Etats membres de l’UE ont par la suite approuvé le texte le vendredi 2 février 2024, et L’AI Act (ou Règlement 2024/1689) a été publié le 12 juillet au Journal Officiel de l’Union européenne (JOUE), pour une mise en vigueur dès le 1er août 2024.

Cette modification du paysage réglementaire européen a des implications importantes pour le développement et l’entrée sur le marché des dispositifs médicaux.

En effet, certains dispositifs médicaux à base d'IA sont automatiquement considérés comme des « systèmes à haut risque », sans tenir compte de leur classe de risque en vertu du règlement UE MDR 2017/745 et IVDR 2017/746.

Cela signifie qu'ils devront être conformes à des exigences de sécurité renforcées.

En bref, ce texte vise à établir un cadre de protection pour les usagers face aux risques potentiels associés à l’intelligence artificielle sans freiner le développement de nouvelles innovations en santé.

096 - AI Act 1.png

Les grandes mesures de l’AI act

L’approche du règlement sur l’IA ne diffère pas de l’approche des règlements MDR 2017/745 sur les dispositifs médicaux ou IVDR 2017/746 sur les dispositifs médicaux de diagnostic in-vitro car il est fondé sur une approche par le risque. Cela permet notamment aux fabricants de classifier leur système IA selon les risques liés à l’utilisation et pose les exigences ainsi que le cadre d’évaluation de la conformité des dispositifs médicaux intégrant de l’IA.

Ce règlement vise à garantir que les systèmes d'IA mis sur le marché européen et utilisés dans l'UE sont sûrs et respectent les droits fondamentaux et les valeurs de l'UE. Il met en lumière l’importance d’appuyer sur la sécurité, la sûreté, l’équité, la transparence et la qualité des données tout au long du cycle de vie du produit.

Il inclut notamment les points saillants suivants :

- Le système de classification des systèmes IA

L’AI Act propose une classification de l’IA Act fondée sur quatre niveaux de risques :

  • Les risques inacceptables : Il s’agit des systèmes d’IA allant à l’encontre des valeurs de l’UE et des droits fondamentaux. L’application de ces système sera interdite. Par exemple : les systèmes utilisant des manipulation subliminales, un scoring social, ou encore l’identification biométrique à distance.

  • Les haut risques : Il s’agit des systèmes d’IA pouvant porter atteinte à la sécurité des personnes. Par exemple : les dispositifs médicaux (excepté les DM de classe I, et DMDIV de classe A)

  • Les risques limités, ou avec des obligations de transparence spécifique : Il s’agit des systèmes d’IA entraînant moins de risque pour les utilisateurs. Par exemple : les chatbots et générateur de contenus.

  • Le risque minimal : Il s’agit des systèmes d’IA comportant peu ou pas de risque. Le règlement ne prévoit pas d’obligation spécifique les concernant.

Diapositive2.PNG

- La mise en place d’un système de management de l’IA (appui possible : la norme ISO/IEC 42001)

- Les exigences en termes de gouvernance des données et de cybersécurité

- Les exigences de documentation technique, de suivi après commercialisation ainsi que de performances

De plus, les fabricants devront s’assurer que leur produit n’est pas interdit par ce règlement et de répondre à ces nouvelles exigences en apportant les preuves de leur conformité, notamment via un audit de certification.

Note :

D’après l’AI Act, un système d’IA mis sur le marché est considéré comme étant à haut risque lorsque les deux conditions suivantes sont remplies :

  • Le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I, ou le système d’IA constitue lui-même un tel produit;
  • Le produit dont le composant de sécurité visé est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit conformément à la législation d’harmonisation de l’Union dont la liste figure à l’annexe I.

Cela signifie que si vous commercialisez un DM est de classe I, ou un DMDIV de classe A, votre produit ne sera pas considéré à haut risque.

La norme ISO/IEC 42001

L'ISO et la CEI ont collaboré pour élaborer la norme ISO/IEC 42001 en 7 chapitres, visant à offrir un outil d’appui pour les fabricants qui cherchent à mettre leur produit en conformité selon le règlement de l’AI Act. L’objectif de cette norme recoupe en transversalité les enjeux énoncés dans le règlement, à savoir : permettre un développement responsable de l’intelligence artificielle en termes de sécurité, de transparence et d’éthique.

Elle fournit donc un cadre normatif aux fabricants de dispositifs intégrant de l’IA pour la mise en place d’un système de management de l’IA. La mise en place d’un tel système est à mettre en concordance avec les démarches d’obtention et de renouvellement de la certification ISO 13485.

Concordance avec l’ISO 13485 :

  • Revue de direction
  • Politique et objectif
  • Responsabilité
  • Gestion des risques
  • Gestions des ressources et des compétences
  • Communication
  • Revue de direction
  • Audit
  • Monitoring et mesure des performances
  • Amélioration continue
  • Gestion des fournisseurs

La norme ISO/IEC 42001 apporte quelques exigences supplémentaires concernant :

  • Les besoins et attentes des parties intéressées
  • Le développement et le déploiement de l’IA
  • Le cycle de vie de l’IA
  • La gestion des données
  • La documentation technique pour l’IA

En application, les systèmes de management de l’IA des fabricants devront respecter les exigences des deux normes (ISO13485 et ISO/IEC42001). À noter qu’une partie des exigences forme un tronc commun. Certains éléments communs devront être consolidés pour croiser aux doubles exigences. Les nouvelles notions devront être greffées aux systèmes existants, c’est-à-dire que le système de management de l’IA devra s’intégrer dans le système de management global de la qualité des fabricants.

À retenir :

  • La norme ISO/IEC 42001 se découpe en 7 chapitres et permet d’encadrer les systèmes de management de l’IA pour plus de sécurité, d’équité et de transparence.

  • Elle permet d’établir un système de classification des systèmes IA via une approche par le risque

  • Elle donne des exigences sur des éléments tels que la revue de direction, la réalisation d’audit, la gestion des fournisseurs, etc. impliquant l’amélioration et l’étoffement des systèmes de management de la qualité déjà existants

  • Pour prouver la conformité à certaines exigences de l’AI Act, les fabricants pourront passer des audits pour être certifiés sur la 42001.

Prochaines étapes : que pouvez-vous déjà anticiper ?

Pour les dispositifs intégrant de l’IA arrivant sur le marché :
Le processus de mise en conformité sera à réaliser en lien avec le respect des exigences du MDR 2017/745 et IVDR 2017/746. Cela implique pour les fabricants de déterminer une stratégie d’accès marché prenant en considération ces deux éléments, c’est-à-dire de spécifier et d’identifier les exigences communes auxquelles ils sont soumis pour harmoniser leur démarche.

Pour les dispositifs intégrant de l’IA déjà présents sur le marché :
Les fabricants de systèmes d'IA seront vraisemblablement confrontés à un manque de temps, ce qui signifie qu'ils devront analyser rapidement le texte, allouer des ressources et mettre en œuvre rapidement les changements nécessaires pour garantir la conformité à ces nouvelles exigences.

Ils devront s'adapter rapidement pour tirer parti des opportunités offertes par cette nouvelle réglementation.

Pour ce faire, une période de transition est prévue par le règlement : la date de mise en conformité des systèmes à haut risque est fixée au 2 août 2027.

Notre conseil : entourez-vous d’un partenaire de confiance pour vous accompagner dans ces démarches. Chez Rumb, nous soutenons les innovateurs en santé dans la conception de leur stratégie règlementaire d’accès marché, l’obtention des certifications nécessaires à la commercialisation et au maintien sur le marché durant tout le cycle de vie de votre dispositif.

Visuels article AI Act.png

Si vous avez un composant IA dans votre dispositif médical, vous devez vous conformer à la norme IEC 62304, à la norme IEC 82304 et à toutes les autres normes applicables. Gardez un œil sur votre situation globale, car vous mettez sur le marché un dispositif médical qui doit être conforme à toutes les exigences pertinentes, et pas seulement à celles liées à l'IA.

En bref, si vous êtes fabricant de DM intégrant de l’IA, vous devez dès maintenant documenter, tracer et qualifier vos modèles d’apprentissage automatique en santé.

Contrainte ou opportunité ?

Le cadre règlementaire européen est toujours une opportunité pour les entreprises, les professionnels de santé et les usagers car il permet de protéger et d’harmoniser les standards de sécurité et d’utilisation.

Par ailleurs, les certifications sont des gages de qualité et de sérieux. Vous renforcerez ainsi la confiance que les utilisateurs peuvent donner à votre produit.

Découvrez le Compas

Suivez notre newsletter pensée pour et par les innovateurs en santé !
Au programme : nos actualités, analyses, invitations, rendez-vous de l'écosystème DM et MedTech...

Cet article est diffusé à titre informatif et ne constitue pas une référence normative ou règlementaire.