EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021R2078

Règlement d’exécution (UE) 2021/2078 de la Commission du 26 novembre 2021 portant modalités d’application du règlement (UE) 2017/745 du Parlement européen et du Conseil en ce qui concerne la base de données européenne sur les dispositifs médicaux (Eudamed)

C/2021/8447

OJ L 426, 29.11.2021, p. 9–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/reg_impl/2021/2078/oj

29.11.2021   

FR

Journal officiel de l’Union européenne

L 426/9


RÈGLEMENT D’EXÉCUTION (UE) 2021/2078 DE LA COMMISSION

du 26 novembre 2021

portant modalités d’application du règlement (UE) 2017/745 du Parlement européen et du Conseil en ce qui concerne la base de données européenne sur les dispositifs médicaux (Eudamed)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu le règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) no 178/2002 et le règlement (CE) no 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE (1), et notamment son article 33, paragraphe 8,

considérant ce qui suit:

(1)

Le règlement (UE) 2017/745 impose à la Commission de prévoir les modalités nécessaires à l’établissement et à la gestion de la base de données européenne sur les dispositifs médicaux (ci-après «Eudamed»).

(2)

Le règlement (UE) 2017/746 du Parlement européen et du Conseil (2) impose à la Commission d’établir, de conserver et de gérer Eudamed conformément aux conditions et modalités prévues par le règlement (UE) 2017/745.

(3)

Comme le prévoient les règlements (UE) 2017/745 et (UE) 2017/746, la Commission, les autorités compétentes, les autorités responsables des organismes notifiés, les organismes notifiés, les fabricants, les mandataires, les importateurs, les personnes physiques ou morales visées à l’article 22, paragraphe 1, du règlement (UE) 2017/745 (producteurs de systèmes ou de nécessaires) et les promoteurs d’investigations cliniques et d’études de performances devraient avoir accès à Eudamed et utiliser Eudamed pour se conformer à leurs obligations et exécuter les tâches qui leur incombent en vertu desdits règlements. Il est donc nécessaire de rendre Eudamed accessible par un site web restreint. Par ailleurs, Eudamed devrait permettre au public d’être correctement informé des dispositifs mis sur le marché, des certificats correspondants délivrés par les organismes notifiés, des opérateurs économiques concernés et des investigations cliniques. Il est donc également nécessaire de rendre Eudamed accessible par un site web public. En outre, afin de permettre l’échange de données entre Eudamed et les bases de données nationales, il est nécessaire de rendre Eudamed accessible par l’intermédiaire de services d’échange de données de machine à machine.

(4)

En ce qui concerne les personnes physiques et les personnes morales qui doivent pouvoir accéder à Eudamed par le site web restreint, il est nécessaire d’indiquer les conditions et la procédure d’octroi de cet accès.

(5)

La Commission a établi la nomenclature européenne des dispositifs médicaux prévue par les règlements (UE) 2017/745 et (UE) 2017/746. La nomenclature européenne des dispositifs médicaux devrait donc être mise à disposition gratuitement dans Eudamed et utilisée pour fournir des informations sur les dispositifs médicaux dans Eudamed.

(6)

Pour veiller à ce que les utilisateurs d’Eudamed reçoivent l’aide dont ils ont besoin lors de l’utilisation de la base de données, la Commission devrait leur fournir en temps utile une assistance technique et administrative sur Eudamed.

(7)

Il convient que, en cas d’indisponibilité technique ou de dysfonctionnement d’Eudamed, les utilisateurs autorisés restent capables de remplir leurs obligations. Il est par conséquent nécessaire d’indiquer les mécanismes de substitution à utiliser en pareil cas pour l’échange de données, et d’établir les règles applicables à ces mécanismes de substitution.

(8)

Les règles de sécurité informatique énoncées dans la décision (UE, Euratom) 2017/46 de la Commission (3) s’appliquent à Eudamed. Pour qu’Eudamed puisse fonctionner de manière sécurisée et que ses fonctions et ses données soient protégées contre les menaces pesant sur leur disponibilité, leur intégrité et leur confidentialité, il convient d’établir des règles de sécurité supplémentaires.

(9)

Afin d’atténuer les risques et de contrer l’utilisation frauduleuse potentielle d’Eudamed, il convient d’établir des dispositions spécifiques sur l’activité frauduleuse des utilisateurs dans Eudamed.

(10)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (4) et a rendu un avis le 9 juillet 2021.

(11)

Les mesures prévues par le présent règlement sont conformes à l’avis du comité «Dispositifs médicaux»,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Définitions

Aux fins du présent règlement, on entend par:

1)

«acteur»: la Commission, une autorité compétente, une autorité responsable des organismes notifiés, un organisme notifié, un fabricant, un mandataire, un importateur, un producteur de systèmes ou de nécessaires, ou un promoteur, qui a été enregistré(e) dans Eudamed conformément à l’article 3 du présent règlement afin qu’il ou elle s’acquitte de ses obligations énoncées dans les règlements (UE) 2017/745 et (UE) 2017/746;

2)

«utilisateur autorisé»: une personne physique à qui l’on a octroyé l’accès à Eudamed par le site web restreint pour qu’elle agisse au nom d’un acteur;

3)

«administrateur local de l’acteur» (LAA): un utilisateur autorisé qui a le droit de gérer certaines informations concernant les détails de l’acteur et d’octroyer à d’autres personnes physiques l’accès à Eudamed par le site web restreint, pour que ces personnes physiques agissent au nom dudit acteur;

4)

«administrateur local de l’utilisateur» (LUA): un utilisateur autorisé qui a le droit d’octroyer à d’autres personnes physiques l’accès à Eudamed par le site web restreint, pour que ces personnes physiques agissent au nom dudit acteur;

5)

«dysfonctionnement»: une défaillance importante du fonctionnement d’Eudamed, entre autres toute défaillance résultant de circonstances imprévisibles ou d’un cas de force majeure, qui pourrait nuire à la sécurité informatique ou entraver la disponibilité d’une des fonctionnalités des systèmes électroniques d’Eudamed mentionnés à l’article 33, paragraphe 2, du règlement (UE) 2017/745.

Article 2

Modes d’accès

1.   Eudamed est accessible aux utilisateurs autorisés par un site web restreint (ci-après le «site web restreint») et aux utilisateurs non identifiés par un site web public (ci-après le «site web public»).

2.   Eudamed est accessible par l’intermédiaire des services d’échange de données de machine à machine aux autorités compétentes visées à l’article 101 du règlement (UE) 2017/745 et à l’article 96 du règlement (UE) 2017/746 (ci-après les «autorités compétentes») et aux organismes notifiés enregistrés dans Eudamed conformément à l’article 3 du présent règlement. La Commission fournit à chaque État membre et à chaque organisme notifié des points d’accès à l’échange de données leur permettant d’utiliser ces services d’échange de données à leur demande.

Eudamed est accessible par l’intermédiaire de services d’échange de données de machine à machine à des acteurs autres que les autorités compétentes et les organismes notifiés, à condition que l’administrateur local de l’acteur concerné présente une demande d’accès conformément à l’article 3, paragraphe 8, premier alinéa. La Commission approuve cette demande sous réserve que la condition énoncée à l’article 3, paragraphe 8, second alinéa, soit remplie.

Article 3

Enregistrement dans Eudamed et accès à Eudamed par le site web restreint

1.   Pour se voir octroyer l’accès à Eudamed par le site web restreint, les personnes physiques créent un compte sur le site web du service d’authentification de la Commission.

2.   La Commission enregistre les autorités compétentes et les autorités responsables des organismes notifiés et octroie l’accès au site web restreint à une première personne physique pour que cette dernière agisse en leur nom. À cette fin, les États membres fournissent à la Commission des informations sur leurs autorités compétentes, sur les autorités responsables des organismes notifiés et sur les personnes physiques qui doivent devenir les premiers utilisateurs autorisés de ces autorités.

3.   La Commission enregistre les organismes notifiés dans Eudamed sur la base des informations contenues dans la base de données des organismes notifiés mise en place et gérée par la Commission (NANDO).

Pour se voir octroyer l’accès à Eudamed par le site web restreint, la première personne physique agissant au nom d’un acteur qui est un organisme notifié soumet une demande d’accès par le site web restreint. L’autorité responsable de l’organisme notifié approuve la demande.

4.   Pour que d’autres entités que celles mentionnées aux paragraphes 2 et 3 soient enregistrées dans Eudamed, la personne physique agissant au nom de l’acteur potentiel soumet une demande d’enregistrement de l’acteur, par l’intermédiaire du site web restreint. La demande d’enregistrement de l’acteur comprend la déclaration signée sur les responsabilités en matière de sécurité de l’information mentionnée à l’article 10, paragraphe 1. Une autorité nationale compétente approuve la demande d’enregistrement de l’acteur, sauf lorsque la demande concerne un promoteur d’investigation clinique ou d’étude de performances.

Après approbation de la demande d’enregistrement de l’acteur ou, dans le cas d’un promoteur, lorsque la demande d’enregistrement de l’acteur a été présentée, la personne physique qui a présenté la demande mentionnée au premier alinéa se voit automatiquement octroyer l’accès au site web restreint et devient le premier utilisateur autorisé, pour autant que les conditions énoncées au paragraphe 6 soient remplies.

Aux fins du présent paragraphe, l’autorité nationale compétente est l’autorité du lieu d’établissement de l’acteur potentiel. En ce qui concerne les fabricants établis hors de l’Union, l’autorité nationale compétente est l’autorité responsable du mandataire mentionné dans la demande d’enregistrement de l’acteur. En ce qui concerne les producteurs de systèmes ou de nécessaires établis hors de l’Union, l’autorité nationale compétente est l’autorité de l’État membre dans lequel le premier système ou nécessaire de ce producteur doit être mis sur le marché.

5.   Pour qu’une personne physique obtienne l’accès au site web restreint afin d’agir au nom d’un acteur, elle présente une demande d’accès par le site web restreint. Un LAA ou LUA de cet acteur approuve la demande d’accès.

6.   Pour devenir des utilisateurs autorisés, les personnes physiques acceptent les droits et obligations des utilisateurs tels qu’ils sont énoncés dans le document mentionné à l’article 10, paragraphe 1, point a), et elles consultent la déclaration de confidentialité mentionnée à l’article 10, paragraphe 1, point c).

7.   Le premier utilisateur autorisé d’un acteur est automatiquement le premier administrateur local de cet acteur.

8.   Un LAA peut, par l’intermédiaire du site web restreint, demander à la Commission une connexion de machine à machine pour effectuer des échanges de données entre la base de données de l’acteur et Eudamed.

La Commission peut approuver la demande mentionnée au premier alinéa, à condition que le LAA ait confirmé que l’acteur satisfait aux exigences en matière de sécurité de l’information pour l’échange de données mentionnées à l’article 10, paragraphe 1.

Article 4

Nomenclature

Les utilisateurs autorisés utilisent les codes d’accès libre de la nomenclature européenne des dispositifs médicaux lorsqu’ils fournissent des informations sur des dispositifs médicaux dans Eudamed.

La Commission met à disposition gratuitement dans Eudamed la nomenclature européenne des dispositifs médicaux.

Article 5

Soutien technique et administratif

1.   La Commission met en place une équipe de soutien applicatif chargée de fournir en temps utile une assistance aux utilisateurs d’Eudamed, joignable via une boîte aux lettres fonctionnelle ad hoc.

2.   La Commission met à la disposition des utilisateurs d’Eudamed la documentation technique pertinente sur Eudamed, une foire aux questions concernant Eudamed et la documentation à l’appui des services d’échange de données de machine à machine.

Article 6

Propriété et traitement des données à caractère personnel

1.   La Commission est propriétaire d’Eudamed et dispose de tous les droits d’administration.

2.   Les données à caractère personnel sont traitées dans Eudamed aux fins du respect des obligations énoncées dans les règlements (UE) 2017/745 et (UE) 2017/746.

3.   Les catégories suivantes de données à caractère personnel sont traitées:

a)

noms des acteurs et des utilisateurs autorisés;

b)

coordonnées des acteurs et des utilisateurs autorisés;

c)

identification et coordonnées, et données sur les qualifications professionnelles d’autres personnes physiques ou morales, qui sont enregistrées dans Eudamed aux fins du respect des obligations énoncées dans les règlements (UE) 2017/745 et (UE) 2017/746.

Article 7

Règles de fonctionnement

1.   Le dépôt des données dans Eudamed est réputé exécuté à la date et à l’heure où les données sont enregistrées avec succès dans Eudamed. La date et l’heure du dépôt sont déterminées sur la base de l’heure de l’Europe centrale ou de l’heure d’été de l’Europe centrale, selon le cas.

2.   Eudamed est accessible à tout moment, sauf pendant les périodes d’arrêt, annoncées à l’avance, nécessaires pour les activités de maintenance, y compris pour la mise en place de nouvelles versions. La Commission publie à l’avance un avis à cet égard sur le site web restreint ou sur le site web public, selon le cas.

Article 8

Dysfonctionnement

1.   La Commission prend toutes les mesures nécessaires pour prévenir tout dysfonctionnement et pour détecter sans retard injustifié les dysfonctionnements lorsqu’ils surviennent.

2.   Lorsqu’un acteur ou un utilisateur autorisé soupçonne un dysfonctionnement, il en informe immédiatement la Commission.

3.   Lorsque la Commission détecte un dysfonctionnement, elle prend les mesures suivantes:

a)

publication sans tarder d’un avis à cet égard («avis de dysfonctionnement») sur le site web restreint ou sur le site web public, selon le cas, à moins que la nature du dysfonctionnement n’empêche la Commission de le faire, auquel cas elle publie, si possible, l’avis sur le site web de la Commission consacré aux dispositifs médicaux;

b)

suspension des délais de dépôt des données dans Eudamed fixés par les règlements (UE) 2017/745 et (UE) 2017/746, lorsque le dysfonctionnement entrave l’introduction des données correspondantes.

Lorsque la Commission suspend les délais de dépôt des données dans Eudamed conformément au premier alinéa, point b), l’avis de dysfonctionnement indique l’heure de publication dudit avis ainsi que la durée probable de la suspension.

4.   Outre la suspension des délais mentionnée au paragraphe 3, premier alinéa, point b), du présent article, lorsqu’un dysfonctionnement entrave le respect d’une des obligations prévues à l’article 80, à l’article 87, paragraphe 1, à l’article 89, paragraphes 5, 7, 8 et 9, à l’article 95, paragraphes 2, 4 et 6, ou à l’article 98, paragraphe 2, du règlement (UE) 2017/745, ou à l’article 76, à l’article 82, paragraphe 1, à l’article 84, paragraphes 5, 7, 8 et 9, à l’article 90, paragraphes 2, 4 et 6, ou à l’article 93, paragraphe 2, du règlement (UE) 2017/746, l’une des procédures suivantes s’applique:

a)

lorsque le dysfonctionnement dure plus de douze heures à compter de la publication de l’avis de dysfonctionnement, l’acteur fournit sans tarder des informations générales sur les données correspondantes et une indication du fait que le dépôt des données est en attente en raison du dysfonctionnement, à la Commission, aux autorités nationales compétentes concernées et à l’organisme notifié qui a délivré le certificat de conformité mentionné à l’article 56 du règlement (UE) 2017/745 ou à l’article 51 du règlement (UE) 2017/746, selon le cas;

b)

lorsque le dysfonctionnement dure plus de vingt-quatre heures à compter de la publication de l’avis de dysfonctionnement, ou lorsque le dysfonctionnement dure depuis moins de vingt-quatre heures mais que les autorités nationales compétentes concernées en font la demande après avoir reçu les informations mentionnées au point a) du présent paragraphe, l’acteur fournit sans tarder les données correspondantes à ces autorités, de la manière prescrite par celles-ci.

5.   Outre la suspension des délais mentionnée au paragraphe 3, premier alinéa, point b), du présent article, lorsqu’un dysfonctionnement entrave le respect d’une des obligations énoncées dans le règlement (UE) 2017/745 ou le règlement (UE) 2017/746 autres que celles visées au paragraphe 4 du présent article, la procédure suivante s’applique:

a)

lorsque le dysfonctionnement dure plus de trente-six heures à compter de la publication de l’avis de dysfonctionnement, l’acteur fournit sans tarder des informations générales sur les données correspondantes et une indication du fait que le dépôt des données est en attente en raison du dysfonctionnement, à la Commission, aux autorités nationales compétentes concernées et à l’organisme notifié qui a délivré le certificat de conformité mentionné à l’article 56 du règlement (UE) 2017/745 ou à l’article 51 du règlement (UE) 2017/746, selon le cas;

b)

lorsque le dysfonctionnement dure plus de cinq jours à compter de la publication de l’avis de dysfonctionnement, l’acteur en informe les autorités nationales compétentes concernées et leur communique, si elles le demandent, les données correspondantes, de la manière prescrite par elles.

6.   Lorsque la Commission constate que le dysfonctionnement a cessé, elle en informe les autorités compétentes. La Commission publie en outre un avis à cet égard sur le site web restreint et/ou sur le site web public, selon le cas. Dans la communication comme dans l’avis figure la durée du dysfonctionnement ainsi que de la suspension des délais mentionnée au paragraphe 3, point b).

7.   Lorsque la Commission a publié l’avis mentionné au paragraphe 6, les acteurs introduisent sans tarder dans Eudamed les données dont le dépôt a été entravé pendant le dysfonctionnement.

Article 9

Sites web destinés aux essais et à la formation

1.   La Commission met à la disposition des acteurs des sites web destinés aux essais et à la formation concernant l’utilisation d’Eudamed (ci-après les «sites web destinés aux essais et à la formation»).

Les données introduites sur les sites web destinés aux essais et à la formation sont considérées comme fictives et ne sont pas mises à la disposition du public.

2.   Avant d’utiliser pour la première fois des services d’échange de données de machine à machine, un acteur fait au moins une tentative réussie de dépôt de données de machine à machine en utilisant un site web destiné aux essais et à la formation.

3.   Toute modification que la Commission a l’intention d’apporter aux services Eudamed d’échange de données de machine à machine est d’abord introduite par elle sur les sites web destinés aux essais et à la formation et est disponible sur ces sites web pendant une période à définir à l’avance par la Commission en collaboration avec le groupe de coordination en matière de dispositifs médicaux institué en vertu de l’article 103 du règlement (UE) 2017/745.

La Commission informe à l’avance les acteurs concernés, par l’intermédiaire d’Eudamed, des modifications envisagées et de la période pendant laquelle ces dernières sont disponibles sur les sites web destinés aux essais et à la formation.

Article 10

Sécurité informatique

1.   La Commission met les documents suivants à disposition sur le site web restreint:

a)

un document sur les droits et obligations des utilisateurs;

b)

la déclaration sur les responsabilités en matière de sécurité de l’information;

c)

la déclaration de confidentialité;

d)

les exigences en matière de sécurité de l’information pour l’échange de données.

2.   Les acteurs respectent les conditions énoncées dans les documents mentionnés au paragraphe 1, point b), et, le cas échéant, au paragraphe 1, point d).

3.   Lorsque la Commission soupçonne la survenue ou la présence d’un incident de sécurité informatique, d’un risque de sécurité informatique ou d’une menace pour la sécurité informatique, tels que définis à l’article 2, points 15), 22) et 25), de la décision (UE, Euratom) 2017/46, qu’elle considère comme potentiellement préjudiciable à Eudamed, à ses données ou à leur confidentialité (ci-après un «incident de sécurité informatique», une «menace pour la sécurité informatique» ou un «risque de sécurité informatique»), la Commission peut suspendre tout accès à Eudamed.

4.   La Commission peut suspendre tout ou partie des fonctionnalités des systèmes électroniques d’Eudamed lorsqu’elle détecte un incident de sécurité informatique, une menace pour la sécurité informatique ou un risque de sécurité informatique.

Si la suspension prévue au premier alinéa entrave l’introduction de données dans Eudamed, l’article 8, paragraphes 3, 4 et 5, s’applique mutatis mutandis.

5.   Tout acteur ou utilisateur autorisé qui a connaissance d’un incident de sécurité informatique, d’une menace pour la sécurité informatique ou d’un risque de sécurité informatique, ou qui soupçonne un incident de sécurité informatique, une menace pour la sécurité informatique ou un risque de sécurité informatique, en informe immédiatement la Commission et les États membres concernés.

Article 11

Activité frauduleuse des utilisateurs dans Eudamed

1.   Lorsqu’une autorité compétente, un LAA ou un LUA soupçonne une demande frauduleuse d’accès à Eudamed, il ou elle rejette la demande et informe immédiatement la Commission de ce rejet par l’intermédiaire de l’équipe de soutien applicatif prévue à l’article 5, paragraphe 1, en indiquant qu’ils soupçonnent une demande frauduleuse d’accès.

2.   Lorsque la Commission a des motifs raisonnables de soupçonner une activité frauduleuse, menée par un utilisateur autorisé, nuisant à la sécurité informatique d’Eudamed, elle suspend temporairement l’accès de cet utilisateur autorisé à Eudamed. En pareil cas, la Commission informe sans tarder tous les États membres et les acteurs concernés de la suspension et de sa justification.

3.   Tout acteur ou utilisateur autorisé qui soupçonne une activité frauduleuse menée par un utilisateur autorisé en informe sans délai la Commission et les États membres par l’intermédiaire de l’équipe de soutien applicatif prévue à l’article 5, paragraphe 1.

4.   Lorsque la Commission constate une activité frauduleuse dans Eudamed, elle met immédiatement un terme à l’accès des utilisateurs autorisés concernés à Eudamed et prend les mesures nécessaires, y compris, le cas échéant, en empêchant tout accès futur à Eudamed depuis les comptes correspondants créés sur le site web du service d’authentification de la Commission. La Commission informe sans tarder les autorités nationales compétentes concernées et les acteurs concernés de toute mesure prise en application du présent paragraphe.

Article 12

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 26 novembre 2021.

Par la Commission

La présidente

Ursula VON DER LEYEN


(1)  JO L 117 du 5.5.2017, p. 1.

(2)  Règlement (UE) 2017/746 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux de diagnostic in vitro et abrogeant la directive 98/79/CE et la décision 2010/227/UE de la Commission (JO L 117 du 5.5.2017, p. 176).

(3)  Décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne (JO L 6 du 11.1.2017, p. 40).

(4)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).


Top