1.   Eudamed est accessible aux utilisateurs autorisés par un site web restreint (ci-après le «site web restreint») et aux utilisateurs non identifiés par un site web public (ci-après le «site web public»).

2.   Eudamed est accessible par l’intermédiaire des services d’échange de données de machine à machine aux autorités compétentes visées à l’article 101 du règlement (UE) 2017/745 et à l’article 96 du règlement (UE) 2017/746 (ci-après les «autorités compétentes») et aux organismes notifiés enregistrés dans Eudamed conformément à l’article 3 du présent règlement. La Commission fournit à chaque État membre et à chaque organisme notifié des points d’accès à l’échange de données leur permettant d’utiliser ces services d’échange de données à leur demande.

Eudamed est accessible par l’intermédiaire de services d’échange de données de machine à machine à des acteurs autres que les autorités compétentes et les organismes notifiés, à condition que l’administrateur local de l’acteur concerné présente une demande d’accès conformément à l’article 3, paragraphe 8, premier alinéa. La Commission approuve cette demande sous réserve que la condition énoncée à l’article 3, paragraphe 8, second alinéa, soit remplie.

1.   Pour se voir octroyer l’accès à Eudamed par le site web restreint, les personnes physiques créent un compte sur le site web du service d’authentification de la Commission.

2.   La Commission enregistre les autorités compétentes et les autorités responsables des organismes notifiés et octroie l’accès au site web restreint à une première personne physique pour que cette dernière agisse en leur nom. À cette fin, les États membres fournissent à la Commission des informations sur leurs autorités compétentes, sur les autorités responsables des organismes notifiés et sur les personnes physiques qui doivent devenir les premiers utilisateurs autorisés de ces autorités.

3.   La Commission enregistre les organismes notifiés dans Eudamed sur la base des informations contenues dans la base de données des organismes notifiés mise en place et gérée par la Commission (NANDO).

Pour se voir octroyer l’accès à Eudamed par le site web restreint, la première personne physique agissant au nom d’un acteur qui est un organisme notifié soumet une demande d’accès par le site web restreint. L’autorité responsable de l’organisme notifié approuve la demande.

4.   Pour que d’autres entités que celles mentionnées aux paragraphes 2 et 3 soient enregistrées dans Eudamed, la personne physique agissant au nom de l’acteur potentiel soumet une demande d’enregistrement de l’acteur, par l’intermédiaire du site web restreint. La demande d’enregistrement de l’acteur comprend la déclaration signée sur les responsabilités en matière de sécurité de l’information mentionnée à l’article 10, paragraphe 1. Une autorité nationale compétente approuve la demande d’enregistrement de l’acteur, sauf lorsque la demande concerne un promoteur d’investigation clinique ou d’étude de performances.

Après approbation de la demande d’enregistrement de l’acteur ou, dans le cas d’un promoteur, lorsque la demande d’enregistrement de l’acteur a été présentée, la personne physique qui a présenté la demande mentionnée au premier alinéa se voit automatiquement octroyer l’accès au site web restreint et devient le premier utilisateur autorisé, pour autant que les conditions énoncées au paragraphe 6 soient remplies.

Aux fins du présent paragraphe, l’autorité nationale compétente est l’autorité du lieu d’établissement de l’acteur potentiel. En ce qui concerne les fabricants établis hors de l’Union, l’autorité nationale compétente est l’autorité responsable du mandataire mentionné dans la demande d’enregistrement de l’acteur. En ce qui concerne les producteurs de systèmes ou de nécessaires établis hors de l’Union, l’autorité nationale compétente est l’autorité de l’État membre dans lequel le premier système ou nécessaire de ce producteur doit être mis sur le marché.

5.   Pour qu’une personne physique obtienne l’accès au site web restreint afin d’agir au nom d’un acteur, elle présente une demande d’accès par le site web restreint. Un LAA ou LUA de cet acteur approuve la demande d’accès.

6.   Pour devenir des utilisateurs autorisés, les personnes physiques acceptent les droits et obligations des utilisateurs tels qu’ils sont énoncés dans le document mentionné à l’article 10, paragraphe 1, point a), et elles consultent la déclaration de confidentialité mentionnée à l’article 10, paragraphe 1, point c).

7.   Le premier utilisateur autorisé d’un acteur est automatiquement le premier administrateur local de cet acteur.

8.   Un LAA peut, par l’intermédiaire du site web restreint, demander à la Commission une connexion de machine à machine pour effectuer des échanges de données entre la base de données de l’acteur et Eudamed.

La Commission peut approuver la demande mentionnée au premier alinéa, à condition que le LAA ait confirmé que l’acteur satisfait aux exigences en matière de sécurité de l’information pour l’échange de données mentionnées à l’article 10, paragraphe 1.

1.   La Commission met en place une équipe de soutien applicatif chargée de fournir en temps utile une assistance aux utilisateurs d’Eudamed, joignable via une boîte aux lettres fonctionnelle ad hoc.

2.   La Commission met à la disposition des utilisateurs d’Eudamed la documentation technique pertinente sur Eudamed, une foire aux questions concernant Eudamed et la documentation à l’appui des services d’échange de données de machine à machine.

1.   La Commission est propriétaire d’Eudamed et dispose de tous les droits d’administration.

2.   Les données à caractère personnel sont traitées dans Eudamed aux fins du respect des obligations énoncées dans les règlements (UE) 2017/745 et (UE) 2017/746.

3.   Les catégories suivantes de données à caractère personnel sont traitées:

1.   Le dépôt des données dans Eudamed est réputé exécuté à la date et à l’heure où les données sont enregistrées avec succès dans Eudamed. La date et l’heure du dépôt sont déterminées sur la base de l’heure de l’Europe centrale ou de l’heure d’été de l’Europe centrale, selon le cas.

2.   Eudamed est accessible à tout moment, sauf pendant les périodes d’arrêt, annoncées à l’avance, nécessaires pour les activités de maintenance, y compris pour la mise en place de nouvelles versions. La Commission publie à l’avance un avis à cet égard sur le site web restreint ou sur le site web public, selon le cas.

1.   La Commission prend toutes les mesures nécessaires pour prévenir tout dysfonctionnement et pour détecter sans retard injustifié les dysfonctionnements lorsqu’ils surviennent.

2.   Lorsqu’un acteur ou un utilisateur autorisé soupçonne un dysfonctionnement, il en informe immédiatement la Commission.

3.   Lorsque la Commission détecte un dysfonctionnement, elle prend les mesures suivantes:

Lorsque la Commission suspend les délais de dépôt des données dans Eudamed conformément au premier alinéa, point b), l’avis de dysfonctionnement indique l’heure de publication dudit avis ainsi que la durée probable de la suspension.

4.   Outre la suspension des délais mentionnée au paragraphe 3, premier alinéa, point b), du présent article, lorsqu’un dysfonctionnement entrave le respect d’une des obligations prévues à l’article 80, à l’article 87, paragraphe 1, à l’article 89, paragraphes 5, 7, 8 et 9, à l’article 95, paragraphes 2, 4 et 6, ou à l’article 98, paragraphe 2, du règlement (UE) 2017/745, ou à l’article 76, à l’article 82, paragraphe 1, à l’article 84, paragraphes 5, 7, 8 et 9, à l’article 90, paragraphes 2, 4 et 6, ou à l’article 93, paragraphe 2, du règlement (UE) 2017/746, l’une des procédures suivantes s’applique:

5.   Outre la suspension des délais mentionnée au paragraphe 3, premier alinéa, point b), du présent article, lorsqu’un dysfonctionnement entrave le respect d’une des obligations énoncées dans le règlement (UE) 2017/745 ou le règlement (UE) 2017/746 autres que celles visées au paragraphe 4 du présent article, la procédure suivante s’applique:

6.   Lorsque la Commission constate que le dysfonctionnement a cessé, elle en informe les autorités compétentes. La Commission publie en outre un avis à cet égard sur le site web restreint et/ou sur le site web public, selon le cas. Dans la communication comme dans l’avis figure la durée du dysfonctionnement ainsi que de la suspension des délais mentionnée au paragraphe 3, point b).

7.   Lorsque la Commission a publié l’avis mentionné au paragraphe 6, les acteurs introduisent sans tarder dans Eudamed les données dont le dépôt a été entravé pendant le dysfonctionnement.

1.   La Commission met à la disposition des acteurs des sites web destinés aux essais et à la formation concernant l’utilisation d’Eudamed (ci-après les «sites web destinés aux essais et à la formation»).

Les données introduites sur les sites web destinés aux essais et à la formation sont considérées comme fictives et ne sont pas mises à la disposition du public.

2.   Avant d’utiliser pour la première fois des services d’échange de données de machine à machine, un acteur fait au moins une tentative réussie de dépôt de données de machine à machine en utilisant un site web destiné aux essais et à la formation.

3.   Toute modification que la Commission a l’intention d’apporter aux services Eudamed d’échange de données de machine à machine est d’abord introduite par elle sur les sites web destinés aux essais et à la formation et est disponible sur ces sites web pendant une période à définir à l’avance par la Commission en collaboration avec le groupe de coordination en matière de dispositifs médicaux institué en vertu de l’article 103 du règlement (UE) 2017/745.

La Commission informe à l’avance les acteurs concernés, par l’intermédiaire d’Eudamed, des modifications envisagées et de la période pendant laquelle ces dernières sont disponibles sur les sites web destinés aux essais et à la formation.

1.   La Commission met les documents suivants à disposition sur le site web restreint:

2.   Les acteurs respectent les conditions énoncées dans les documents mentionnés au paragraphe 1, point b), et, le cas échéant, au paragraphe 1, point d).

3.   Lorsque la Commission soupçonne la survenue ou la présence d’un incident de sécurité informatique, d’un risque de sécurité informatique ou d’une menace pour la sécurité informatique, tels que définis à l’article 2, points 15), 22) et 25), de la décision (UE, Euratom) 2017/46, qu’elle considère comme potentiellement préjudiciable à Eudamed, à ses données ou à leur confidentialité (ci-après un «incident de sécurité informatique», une «menace pour la sécurité informatique» ou un «risque de sécurité informatique»), la Commission peut suspendre tout accès à Eudamed.

4.   La Commission peut suspendre tout ou partie des fonctionnalités des systèmes électroniques d’Eudamed lorsqu’elle détecte un incident de sécurité informatique, une menace pour la sécurité informatique ou un risque de sécurité informatique.

Si la suspension prévue au premier alinéa entrave l’introduction de données dans Eudamed, l’article 8, paragraphes 3, 4 et 5, s’applique mutatis mutandis.

5.   Tout acteur ou utilisateur autorisé qui a connaissance d’un incident de sécurité informatique, d’une menace pour la sécurité informatique ou d’un risque de sécurité informatique, ou qui soupçonne un incident de sécurité informatique, une menace pour la sécurité informatique ou un risque de sécurité informatique, en informe immédiatement la Commission et les États membres concernés.

1.   Lorsqu’une autorité compétente, un LAA ou un LUA soupçonne une demande frauduleuse d’accès à Eudamed, il ou elle rejette la demande et informe immédiatement la Commission de ce rejet par l’intermédiaire de l’équipe de soutien applicatif prévue à l’article 5, paragraphe 1, en indiquant qu’ils soupçonnent une demande frauduleuse d’accès.

2.   Lorsque la Commission a des motifs raisonnables de soupçonner une activité frauduleuse, menée par un utilisateur autorisé, nuisant à la sécurité informatique d’Eudamed, elle suspend temporairement l’accès de cet utilisateur autorisé à Eudamed. En pareil cas, la Commission informe sans tarder tous les États membres et les acteurs concernés de la suspension et de sa justification.

3.   Tout acteur ou utilisateur autorisé qui soupçonne une activité frauduleuse menée par un utilisateur autorisé en informe sans délai la Commission et les États membres par l’intermédiaire de l’équipe de soutien applicatif prévue à l’article 5, paragraphe 1.

4.   Lorsque la Commission constate une activité frauduleuse dans Eudamed, elle met immédiatement un terme à l’accès des utilisateurs autorisés concernés à Eudamed et prend les mesures nécessaires, y compris, le cas échéant, en empêchant tout accès futur à Eudamed depuis les comptes correspondants créés sur le site web du service d’authentification de la Commission. La Commission informe sans tarder les autorités nationales compétentes concernées et les acteurs concernés de toute mesure prise en application du présent paragraphe.