La qualité pour les dispositifs médicaux : la Norme ISO 13485:2016

accueil | offre de services | me contacter | dossiers | plan du site

Dernière modification : 21.11.2021

La certification ISO 13485 est-elle une obligation ?

C'est la première question que l'on me pose souvent. Ce n'est pas étonnant : dans bien des cas, les coûts engagés pour la certification peuvent apparaître prohibitifs en regard de l'avantage attendu. La réponse est claire : NON, la certification ISO 13485 n'est pas une obligation réglementaire.
Ce qui est obligatoire en revanche, c'est la conformité à la réglementation européenne. Tout fabricant, importateur, distributeur de dispositif médical, et même mandataire agissant pour le compte d'un de ces acteurs, doit être conforme au Règlement (UE) 2017/745, lequel entre définitivement en vigueur le 26 mai 2021. Et c'est ce même Règlement qui définit ce qu'est un dispositif médical. En résumé (vous irez lire le Règlement pour avoir la définition complète) : tout ce qui contribue à maintenir l'état de santé d'un individu et qui n'est pas un médicament. Notez qu'il existe aussi les dispositifs médicaux de diagnostic in-vitro, ou DM-DIV (comme les automates de laboratoire de biologie médicale ou les bandelettes de diagnostic), soumis au Règlement (UE) 2017/746.
Ces deux Règlements 2017/745 et 2107/746 prévoient un certain nombre de dispositions en matière de système qualité. Lesquelles doivent donc exister chez le fabricant, importateur, distributeur ou mandataire. Et c'est dans les Annexes IX de ces deux Règlements, à l'article 2.3, que l'on trouvera le lien avec la norme ISO 13485 :
L'organisme notifié effectue un audit du système de gestion de la qualité pour déterminer s'il satisfait aux exigences (...) Dans les cas où le fabricant applique une norme harmonisée (...) ayant trait à un système de gestion de la qualité, (...) l'organisme notifié présume [de la conformité] aux exigences (...).
Il suffit de savoir que "la norme harmonisé ayant trait à au système de gestion de la qualité" est l'ISO 13485 pour que la boucle soit bouclée.
Comme il est plus facile de faire certifier son SMQ conforme aux exigences de l'ISO 13485 que de prouver aux inspecteurs de l'ANSM que ce même SMQ est conforme aux exigences du Règlement 2017/745, l'immense majorité des acteurs préfèrent la voie de la certification. Mais on peut toujours s'en passer !

retour en haut de la page

Mars 2016 : parution de l'ISO 13485:2016

C'est en mars 2016 que la nouvelle version de la norme destiné à encadrer la mise en place de systèmes de management de la qualité chez les fabricants de dispositifs médicaux, l'ISO 13485, a été publiée. Les modifications sont suffisamment importantes pour que nous ayons affaire à une nouvelle version. Les éditions précédentes n'étaient en effet que des trompe-l'œil : elles adoptaient sans aucune modification le texte de la version précédente. Nous avons donc, en 2016, une révision de la version de 2003. Treize ans pour introduire des modifications, c'est une longue période !

La Norme NF EN ISO 13485 : 2016 représente un cas rare dans la normalisation. Son titre est "systèmes de management de la qualité - exigences à des fins réglementaires". Il n'est pas courant de voir une norme décrivant un système de management conçu pour se conformer à une réglementation. Les autres normes de management (ISO 9001, ISO 18001, ISO 45001) sont d'application volontaire. Et même l'ISO 17025 et l'ISO 15189 (pour l'accréditation des laboratoires) ont été conçues pour une application volontaire (bien que la réglementation puisse obliger les laboratoires à se faire accréditer – c'est le cas en France).
L'ISO 13485 a été écrite pour permettre aux fabricants de dispositifs médicaux de satisfaire aux exigences de la réglementation européenne, indispensable pour justifier du marquage CE. Mais (voir plus haut), je le répète : la certification n'est pas une obligation réglementaire.
C'est une norme traitant de système de management de la qualité. Les principales différences avec l'ISO 9001 sont les suivantes :
- Une référence explicite aux exigences réglementaires est aux autorités de surveillance nationales (ou régionales)
- Les spécifications produit et le système qualité doivent être documentés (§ 4.2.1)
- L'objectif du maintien de l'efficacité du Système de Management de la Qualité (opposé à l'amélioration pour l'ISO 9001)
- Des exigences ciblées concernant l'environnement de travail (§ 6.4)
- La documentation des activités de management des risques (§7-1)
- La mise en œuvre de fiches d'avertissement (§ 7-2)
- Des exigences spécifiques pour la maîtrise de la production et de la préparation du service (§ 7-5)
- Des exigences spécifiques pour l'amélioration (§ 8-5)
- Et enfin des enregistrements, des enregistrements et encore des enregistrements. Bien plus nombreux que dans la version précédente !
Enfin, la version 2016 de ce référentiel n'a pas repris la "structure de haut niveau" introduite par version 2015 de l'ISO 9001 ou de l'ISO 14001. Elle reste calquée sur la version 2008 de cette norme. Je vous propose d'en découvrir le contenu:
Bien entendu, la lecture de ce dossier ne peut pas remplacer la lecture de la norme elle-même. Vous devez donc l'acheter, et en analyser toutes les exigences.

retour en haut de la page

Les chapitres introductifs (0 à 3)

Le chapitre 0 de la norme, qui sert d'introduction, contient des choses intéressantes :
- La conformité réglementaire est la priorité des priorités;
- Les " exigences relatives au produit " importantes sont celles liées à la sécurité et à la performance;
- Le terme " produit " ne se limite pas au produit livré à l'utilisateur, mais couvre aussi tous les éléments de sortie planifiés, issus d'un processus de réalisation du produit. La notion de client interne est couverte - cela aura des répercussions sur le volume de documents exigés, dans la mesure où les spécifications des produits sont documentées;
- L'approche processus est une des bases de la Norme, elle nécessite de comprendre les exigences, de considérer les processus en termes de valeur ajoutée, de mesurer la performance et l'efficacité des processus, d'améliorer ces processus;
- Depuis la révision 2015 de l'ISO 9001, la certification ISO 13485 ne confère plus la reconnaissance ISO 9001 de manière automatique.
Chapitre 1: Domaine d'application
- La norme est destinée à tous les organismes fournissant des dispositifs médicaux, afin de pouvoir "démontrer son aptitude à fournir régulièrement des dispositifs médicaux (...) conformes (...) aux exigences réglementaires applicables (...)"
- Des exclusions sont possibles, à l'intérieur du paragraphe 7.3 " conception et développement ", pour le module D de la décision 93/465/CEE (assurance qualité production)
- Pour l'application : certaines exigences des § 6, 7 ou 8 peuvent s'avérer non applicables en fonction de la nature du dispositif médical – à justifier par le fabricant !
- La notion d'exigences " appropriées " utilisée par la norme signifie que l'exigence s'applique a priori; il appartient à l'organisme de justifier du contraire (chaque fois que l'on trouve " s'il y a lieu " ou " quand il y a lieu ").
- Les exigences réglementaires dont parle le norme sont limitées au SMQ, à la sécurité et à la performance du dispositif médical.
Chapitre 2 : référence normative
- Une seule référence : les principes du management de la qualité décrits dans l'ISO 9000 : 2015 s'appliquent.
Chapitre 3 : termes et définitions
- 20 termes sont définis (contre seulement 8 dans la version 2003). On a notamment des définitions pour fabricant, distributeur, importateur, représentant autorisé, mais aussi pour cycle de vie, évaluation clinique, évaluation des performances, surveillance après mise sur le marché.
- Le terme " produit " possède une définition très vaste : " résultat d'un processus ". Le chapitre 0 attirait déjà notre attention sur cette évolution.
- On peut seulement regretter que les définitions de la norme soient proches des définitions trouvées dans les Directives Européennes, mais pas identiques.

retour en haut de la page

Chapitre 4 : Système de Management de la Qualité

4.1 Exigences générales : on retrouve l'ISO 9001 : 2008
- Il faut documenter le rôle exercé par l'organisme (fabricant, importateur, distributeur);
- l'organisme doit " maintenir l'efficacité " de son SMQ (et pas l'améliorer : le dispositif médical devant rester conforme à ce qui a été décidé, la notion d'amélioration devient porteuse de risques);
- On doit définir les processus nécessaires, et appliquer une approche fondée sur les risques en ce qui concerne la maîtrise et la modification des processus;
- l'organisme doit maîtriser les processus externalisés.
- les applications logicielles doivent être validées avant la première utilisation (et c’est vrai pour chaque modification du logiciel). Bien entendu, si le dispositif médical n'incorpore pas d'application logicielle, l'exigence est sans objet. Mais attention aux dispositifs médicaux qui peuvent être connectés à une application - sur laquelle le fabricant n'a pas toujours la main...
4.2 Exigences relatives à la documentation
- La documentation comprend :
  - la politique qualité,
  - des objectifs,
  - un manuel,
  - les procédures,
  - les documents,
  - les enregistrements (c'est une nouveauté par rapport à la version de 2003),
  - et toute autre documentation spécifiée par des réglementations nationales ou régionales.
- Le Manuel qualité contient le domaine d'application du système de management de la qualité, y compris détail et la justification des exclusions et/ou de la non application de telle ou telle exgience.
- L'organisme doit tenir à jour un dossier par type de dispositif médical fabriqué, comprenant une description, les spécifications et procédures relatives à la fabrication et à la surveillance. Ce dossier reprend l'essentiel de la documentation technique exigée par le Règlement 2017/745; il ne comprend qu'une petite partie du Device Master Record exigé par la réglementation américaine (21 CFR 820), le reste étant contenu dans le Dossier de conception et de développement du 7.3.10.
- La Maîtrise des documents prévoit une période de conservation des documents pendant "une durée au moins égale à la durée de vie du dispositif médical"
- Il en va de même pour la maîtrise des enregistrements (avec un minimum de 2 ans).

retour en haut de la page

Chapitre 5 : Responsabilité, autorité et communication

Dans la version précédente, ce chapitre s'intitulait "responsabilité de la direction"
5.1 Engagement de la direction
- La Direction s'engage à développer et mettre en œuvre un SMQ, et notamment à satisfaire aux exigences réglementaires et légales. Une note précise que la Norme se limite aux exigences légales concernant la sécurité et aux performances du DM.
5.2 Orientation client (dans la version 2003 : "écoute client")
- La direction doit assurer que les exigences des clients sont déterminées et satisfaites (voir 7.2.1 et 8.2.1).
5.3 Politique qualité
- La direction doit assurer que la politique qualité comprend notamment l'engagement à satisfaire aux exigences et à maintenir l'efficacité du système de management de la qualité,
5.4 planification

Il faut :
- définir des objectifs " qualité " (on pourrait ne parler que " d'objectifs " de l'organisme; les atteindre montrant que le système de management est efficace)
- définir un système de management adapté et cohérent
- valider le maintien de cette cohérence lorsque des modifications interviennent
5.5 Responsabilité, autorité et communication
- La direction doit "définir les liens qui existent entre toutes les personnes chargées de gérer, de réaliser et d'évaluer les travaux ayant une incidence sur la qualité". Il s'agit ici de l'organigramme et de la définition des domaines d'autorité.
- La direction doit aussi "assurer l'autonomie et l'autorité nécessaires pour la réalisation de ces tâches". Au-delà de l'organigramme, l'autorité déléguée doit être réelle. Si le système dysfonctionne, c'est la direction qui en porte la responsabilité - et c'est la vision des autorités de contrôle. Il n'est pas fait explicitement référence à l'approche processus, mais c'est clairement la base du système de management.
- "Il convient d'accorder une attention toute particulière à la désignation de personnes spécifiques responsables des activités liées au contrôle des enseignements tirés de la phase d'après production et au rapport d'incidents". On parle ici du correspondant de matériovigilance.
- Le "représentant de la direction" (c'est à dire le responsable qualité) doit notamment assurer que "la sensibilisation aux exigences réglementaires applicables et aux exigences du SMQ est encouragée dans tout l'organisme".
5.6 revue de direction
- L'organisme doit documenter une procédure relative à la revue de direction;
- Cette revue se tient "à intervalles planifiés". Classiquement : 1 fois par an, parfois 2. La tenir plus fréquemment va rendre difficile le suivi de la mise en œuvre des actions décidées.
- Les éléments d'entrée de la revue sont listés, ils sont plus nombreux que dans la version de 2003, il on trouve en particulier les signalements aux autorités réglementaires et les exigences réglementaires nouvelles ou révisées.
- Les éléments de sortie sont classiques, avec les notamment les "décisions et actions relatives à l'amélioration nécessaire au maintien de la pertinence, de l'adéquation et de l'efficacité du système de management de la qualité et de ses processus" et "aux changements nécessaires pour répondre aux exigences réglementaires nouvelles ou révisées."

retour en haut de la page

Chapitre 6 : Management des ressources

6.1 : mise à disposition des ressources

l'organisme doit déterminer et fournir les ressources nécessaires pour :
- mettre en œuvre le système de management de la qualité,
- en maintenir l'efficacité,
- satisfaire aux exigences réglementaires applicables,
- satisfaire aux attente des clients.
6.2 Ressources humaines

Il doit exister un processus pour :
- définir les compétences,
- dispenser la formation nécessaire
- assurer la sensibilisation du personnel
6.3 Infrastructures

Il faut des procédures pour décrire :
- la manière de gérer les infrastructures (bâtiments et équipements),
- les activités de maintenance,
- la fréquence de ces activités de maintenance.
6.4 environnement de travail

Il faut des procédures pour spécifier :
- l'environnement de travail nécessaires pour obtenir la conformité du produit,
- les procédures pour surveiller et démontrer la maîtrise de cet environnement de travail,
- les exigences en matière de santé, de propreté, d'habillement du personnel.
Il faut aussi s'assurer que les opérateurs possèdent les compétences pour travailler dans un environnement maîtrisé. Par rapport à la version précédente (" ont reçu une formation appropriée ") on a dorénavant l'obligation de valider l'efficacité de cette formation !

retour en haut de la page

Chapitre 7 : Réalisation du produit

Le chapitre 7 est celui qui a subi le plus de modifications par rapport à la version précédente. Toutes ces modifications ne seront pas soulignées ici - et en particulier ce qui concerne les enregistrements qui sont dorénavant la règle quasi-systématique.
7.1 Planification de la réalisation du produit
- Il faut définir un (ou plusieurs) processus relatifs à la gestion de risques au cours de la réalisation du produit.
- Il faut déterminer :
  - les spécifications du produit,
  - les processus et documents nécessaires,
  - les ressources nécessaires,
  - les enregistrements.
7.2 Processus relatifs aux clients
- les exigences relatives au produit sont définies et documentées,
- le résultat de la revue faite avec el client est enregistré,
- toute formation de l'utilisateur est disponible (ou planifiée pour être disponible ultérieurement),
- l'organisme doit doit planifier et documenter les dispositions pour communiquer avec les clients à propos des fiches d'avertissement (il s'agit d'une exigence de la réglementation européenne),
- il faut préparer la communication avec les autorités réglementaires (c'est une autre exigence réglementaire).
7.3 Conception et développement

C’est certainement, avec le chapitre 7.5, le cœur de la Norme. C’est à ce moment que :
- l'on doit identifier les risques,
- l'on prépare les processus de production et de contrôle,
- l'on définit les cahiers des charges pour les approvisionnements.
C'est donc à ce moment que l'on risque de laisser les " pièges " qui vont amener les défaillances et menacer la sécurité du patient. C'est par ailleurs ce processus qui va permettre de garantir le succès financier…

Les exigences sont nombreuses, et ont été renforcées par rapport à la version précédente – notamment en matière de documentation et de traçabilité. Mais ce sont probablement les exigences en matière de méthodologie qui vont avoir le plus gros impact pour de nombreux bureaux d'études... On a ainsi :
- une procédure pour décrire les étapes, les revues, les activités de vérification, de validation et de transfert, les responsabilités, les méthodes, les ressources nécessaires - y compris la compétence pour fabriquer le dispositif médical;
- les éléments d'entrée de la conception et du développement concernent :
  - les exigences fonctionnelles,
  - performance et de sécurité, selon l'usage prévu,
  - les éléments de sortie du management des risques.
- les éléments de sortie de la conception et du développement doivent être enregistrés, et les enregistrements conservés tout au long de la vie du dispositif médical;
- des revues systématiques sont effectuées aux étapes planifiées, et les enregistrements de ces revues sont conservés;
- la vérification de la conception et du développement doit être réalisée conformément aux dispositions planifiées;
- il faut documenter les plans de vérification qui comprennent les méthodes, les critères d'acceptation et, lorsque approprié, les techniques statistiques.
- enfin, la validation de la conception et du développement doit être réalisée conformément aux dispositions planifiées, pour assurer que le produit résultant est apte à satisfaire aux exigences pour l'application spécifiée ou l'usage prévu. Dans le cadre de la validation, il faut réaliser des évaluations cliniques ou des évaluations des performances du dispositif médical.
  
  Revue, vérification, validation… nous avons ici 3 activités complémentaires :
  - Revue : a-t-on bien fait ce qui était prévu ?
  - Vérification : a-t-on obtenu tous les résultats attendus ?
  - Validation : la combinaison des résultats individuels amène-t-elle à un résultat conforme aux attentes ?
- le transfert de la conception et du développement est un nouveau paragraphe dans la norme. Cela correspond au passage de témoin entre le bureau d'études et la fabrication. Il faut pour cela écrire des procédures dans lesquelles on décrit ce qui est prévu pour vérifier :
  - les spécifications matières et produits finis,
  - les méthodes de fabrication,
  - les outillages de fabrication,
  Les résultats et les conclusions du transfert doivent être enregistrés.
- Il faut encore écrire une procédure pour maîtriser les modifications de la conception et du développement, notamment en évaluant les conséquences de la modification sur la fonction, les performances, l'aptitude à l'utilisation, la sécurité du produit et les exigences réglementaires applicables en cas de modification survenant au cours de la conception. Dès avant leur mise en œuvre, les modifications doivent être revues, vérifiées, validées et approuvées.
- Enfin, Il faut créer et tenir à jour un dossier de conception et de développement pour chaque type de dispositif médical ou famille de dispositifs médicaux. Dans ce dossier, on trouve les enregistrements créés des preuves de la conformité définies pour la conception et de développement ainsi que les enregistrements des modifications de conception et de développement. Si l'on combine ce dossier avec le dossier du dispositif médical (4.2.3), on constitue la documentation technique exigée par le Règlement 2017/745 (on va même au-delà, le Règlement ne demandant par exemple pas les revues / vérifications / validation de la conception).
7.4 : Achat

Les exigences sont plutôt classiques :
- Il faut une procédure pour s'assurer que le produit acheté est conforme,
- Il faut établir des critères d'évaluation et de sélection des fournisseurs,
- les informations relatives aux achats doivent décrire le produit et inclure, chaque fois que nécessaire, les exigences relatives à la qualification du personnel du fournisseur,
- le produit acheté est vérifié avant utilisation,
- les fournisseurs sont évalués conformément à la procédure ci-dessus.
7.5 : Production et préparation du service

Grosse section de la norme, avec de nombreux points de vigilance, en particulier pour les opérations sous-traitées.
- La production et la prestation de service doivent être planifiées, réalisées, surveillées et maîtrisées pour s'assurer que le produit est conforme aux spécifications.
- Il faut établir et tenir à jour un enregistrement donnant la traçabilité pour chaque dispositif médical ou lot de dispositifs médicaux, avec en particulier la quantité fabriquée et la quantité libérée pour la distribution. Cet enregistrement doit être vérifié et approuvé.
- Il faut documenter les exigences relatives à la propreté du produit ou à la maîtrise de la contamination du produit.
- Il faut documenter les exigences relatives à l'installation du dispositif médical et les critères d'acceptation pour la vérification de l'installation (si approprié).
- Si des "prestations associées" sont prévues, il faut une procédure pour cela.
- Ces prestation associées sont enregistrées, qu'elles soient réalisées par l'entreprise elle-même, ou par un sous-traitant. Et les enregistrements de ces prestations sont analysés (et on doit retrouver la trace de cette analyse).
- Pour les dispositifs médicaux stériles, on doit conserver les enregistrements des paramètres du processus de stérilisation utilisé pour chaque lot de stérilisation.
- Il faut valider tout processus de production et de prestation "dont les éléments de sortie (…) ne sont pas vérifiés par une surveillance (…) a posteriori et dont les déficiences n'apparaissent, de ce fait, qu'une fois le produit en usage ou le service fourni." La validation d'un procédé industriel n'est pas une mince affaire :
  - La validation doit démontrer l'aptitude de ces processus à atteindre de manière reproductible les résultats attendus,
  - il faut une procédure pour la validation des processus, notamment en ce qui concerne l'approbation des modifications qui leur sont apportées,
  - il faut une procédure pour la validation des applications logicielles utilisées en production et dans le cadre des prestations de service. Ce n'est pas difficile s'il s'agit du logiciel intégré à un système commercial, ce sera plus délicat lorsque des applications pour smartphone permettront de piloter telle ou telle fonction d'un dispositif médical...
- Si le procédé est destiné à la stérilisation, il doit être validé avant sa mise en œuvre et après toute modification du produit ou du procédé. Tous les enregistrements de cette validation sont (bien entendu) conservés.
- Il faut une procédure pour identifier le produit tout au long de son cycle de fabrication, en particulier pour connaître à tout moment son statut vis-à-vis des contrôles de conformité. On n'oubliera pas l'identification des retours !
- Il faut une procédure sur la traçabilité. Pour les dispositifs médicaux implantables, on doit conserver des enregistrements sur les composants, matériaux et conditions environnement de travail utilisés.
- Même les distributeurs doivent conserver des enregistrements de la distribution des dispositifs médicaux. l'enregistrement du nom et de l'adresse du destinataire du colis doit être conservé.
- Enfin, il faut une procédure pour préserver la conformité du produit aux exigences au cours des opérations de traitement, de stockage, de manutention et de distribution.
7.6 : Maîtrise des équipements de surveillance et de mesure
- Il faut déterminer les activités et les équipements nécessaires pour apporter la preuve de la conformité du produit aux exigences.
- Il faut aussi une procédure pour les activités de surveillance, de maintenance et d'étalonnage (cela comprend l'identification univoque de chaque équipement).
- les applications logicielles utilisées pour la surveillance et la mesure doivent également être validées - et le résultat de cette validation doit être enregistré.

retour en haut de la page

Chapitre 8 : Mesures, analyse et amélioration

8.1 Généralités

l'organisme doit planifier et mettre en œuvre les processus de surveillance, de mesure, d'analyse et d'amélioration nécessaires pour démontrer la conformité du produit, pour assurer la conformité et maintenir l'efficacité du système de management de la qualité.
8.2 Surveillance et mesurage
- Il faut recueillir et surveiller la satisfaction du client; c'est une des mesures de l'efficacité du système de management de la qualité.
- il faut une procédure pour gérer les retours d'information, qui comprennent les données provenant de la production ainsi que des activités postproduction.
- Ces informations doivent servir d'élément d'entrée dans la gestion des risques.
- Il faut une procédure pour le traitement des réclamations dans des délais appropriés.
- À priori, toute réclamation fait l'objet d'une expertise. Si ce n'est pas le cas, la justification doit être documentée.
- Toute correction ou action corrective doit être documentée.
- Il faut une procédure pour les cas où la surveillance révèle une situation nécessitant une notification aux autorités, et/ou l'envoi d'une fiche d'avertissement. Les signalements aux autorités sont (évidemment !) enregistrés et conservés.
  
  Sans que le mot ne soit utilisé, on est bien dans le cadre de la matériovigilance.
- Il faut réaliser des audits internes, et pour cela avoir une procédure et un programme d'audit (ce qui n'est pas la même chose qu'un planning d'audit).
- Il faut surveiller le fonctionnement des processus, afin de pouvoir démontrer leur efficacité (leur capacité à atteindre leurs objectifs).
- Il faut aussi surveiller et mesurer les caractéristiques du produit, et conserver les preuves de la conformité aux critères d'acceptation, ainsi que l'identité de la personne ayant autorisé la libération du produit.
- Si nécessaire, les enregistrements doivent identifier les équipements d'essai utilisés.
- Pour les dispositifs médicaux implantables, il faut enregistrer l'identité des personnes chargées d'effectuer un contrôle ou un essai.
8.3 Maîtrise du produit non conforme
- Il faut une procédure pour garantir qu'un produit non-conforme est identifié et maîtrisé.
- l'évaluation de la non-conformité doit comprendre la "détermination de la nécessité d'entreprendre une expertise".
- Le produit non-conforme doit être traité de l'une ou plusieurs des manières suivantes :
  - en éliminant la non-conformité détectée,
  - en empêchant son utilisation,
  - en autorisant son utilisation, sa libération ou son acceptation par dérogation.
- En cas de libération par dérogation, une justification doit être donnée, et toutes les exigences réglementaires applicables doivent être satisfaites. On doit conserver la trace de l'acceptation par dérogation et de l'identité de la personne ayant autorisé la dérogation.
- Lorsqu’un produit non conforme est détecté après livraison ou après que son utilisation, il faut mener les actions adaptées aux effets, réels ou potentiels, de la non-conformité.
- Il faut une procédure pour la diffusion des fiches d'avertissement; cette procédure devant pouvoir être déclenchée à tout moment. Encore une fois, cette exigence reprend l'obligation réglementaire.
- Il faut une procédure pour la mise en œuvre des opérations de remise en conformité (de retouche) du produit. Bien entendu, le produit retouché est à nouveau contrôlé. On conserve la trace de ces retouches.
8.4 Analyse des données
- Il faut écrire des procédures pour déterminer, recueillir et analyser les données pour démontrer la pertinence, l'adéquation et l'efficacité du SMQ.
- l'analyse des données doit au minimum intégrer :
  - les retours d'information;
  - la conformité aux exigences relatives au produit;
  - les caractéristiques et des évolutions des processus et des produits, y compris les opportunités d'amélioration;
  - les fournisseurs;
  - les audits;
  - les comptes rendus de prestations de services.
- Si cette analyse montre que le système de management de la qualité n’est pas approprié, adéquat ou efficace, il faut démarrer une action d'amélioration. Les enregistrements des résultats d'analyse doivent être conservés.
8.5 Amélioration
- Il faut identifier toutes les occasions de modifier le système afin de garantir et d'améliorer la pertinence et l'efficacité du système de management, mais aussi la sécurité et les performances du dispositif médical.
- Il faut mener des actions correctives (celles qui permettent d'éliminer les causes des non-conformités afin d'éviter qu’elles ne se reproduisent). Ces actions sont encadrées par une procédure, dans laquelle une phase importante est l'analyse des possibles impacts négatifs de l'action.
- Il faut également une procédure pour encadrer les actions préventives (celles qui permettent d'éliminer les causes potentielles des non-conformités avant qu'elles ne surviennent.) Les actions sont proportionnées aux effets des problèmes potentiels. Là aussi, on évalue les effets indésirables potentiels.

retour en haut de la page

Les Règlements (UE) 2017/745 et 2017/746

En mai 2017, sont parus 2 Règlements européens, qui refondent l'encadrement réglementaire des dispositifs médicaux en Europe.
- Le premier concerne la totalité des dispositifs médicaux, quelle que soit leur classe, à l'exception des DM de diagnostic in vitro;
- Le second concerne (bien entendu) les DM de diagnostic in-vitro (DMDIV), c'est à dire les automates utilisés dans les laboratoires de biologie médicale.
La version 2016 de l'ISO 13485 s'appuie sur les versions préparatoires des Règlements de 2017. Il n'y a pas eu de raisons pour une nouvelle version.
La Norme ISO 13485 fait référence à l'analyse de risques. Il existe une norme pour cela, l'ISO 14971, qui traite de l'analyse des risques pour les dispositifs médicaux. Elle a été révisée en décembre 2019. Les nombreux exemples de l'Annexe C ont malheureusement disparu.