PR NF EN ISO 13485:2015 ⇒Dispositifs médicaux – SMQ à des fins réglementaires

ISO 13485 DIS2

Revue du DIS.2 de la norme ISO 13485:2015 « Dispositifs médicaux — Systèmes de management de la qualité — Exigences à des fins réglementaires », ce DIS qui doit remplacer la version encours, datant de 2003 (*).

Ce projet de norme fait suite à celui de 2014, rejeté à l’issu des votes des membres. En cas d’acceptation la nouvelle version devrait être publiée fin 2015  / début 2016 (voir à ce propos l’article décrivant les étapes d’élaboration d’une norme).

*: (l’EN ISO 13485 date de 2012 mais seules les annexes ont évolué, le texte de la norme est celui de l’ISO 13485:2003)

Introduction

Utilité de la 13485

La norme ISO 13485 est une norme harmonisée permettant aux fabricants de dispositifs médicaux de répondre aux obligations réglementaires en matière de système de management de la qualité (SMQ).

En Europe, mettre en place tout ou partie d’un SMQ est demandé par différentes procédures de marquage CE.

Il est important de comprendre que cette norme est internationale, le EN pouvant être trompeur: c’est flagrant dans le chapitre 3 « Définitions » :  la définition de dispositif médical n’est pas celle de la 93/42/CE mais celle donnée par la GHTF (qui n’existe plus: allez voir du côté de l’IMDRF pour consulter les archives).

Structure de l’ISO 13485:2015 comparée aux autres normes de management de la qualité

D’autres normes de management sont (beaucoup plus) utilisées que la 13485, citons:

  • ISO 9001 « Systèmes de management de la qualité », la plus générale.
  • ISO 14001 « Systèmes de management environnemental », rattachée au concept de développement durable.

Ces normes sont en cours de révision, les nouvelles version sont attendues en 2015.

Les versions 2015 utilisent la structure HLS: une approche récente qui tient compte des remarques faites autour de la mise en œuvre des normes de management de la qualité. Comprenez que cette nouvelle structure va dans le bon sens: plus pratique, plus efficace, mieux vécue par les utilisateurs (moyennant un effort certain pour s’approprier les concepts utilisés).

Le comité en charge de la 13485 a choisi de rester sur la structure de l’ISO 9001 ancienne version, une justification est donnée:

« La présente Norme internationale, bien qu’indépendante, s’appuie sur l’ISO 9001:2008 et est présentée dans le même format que cette norme pour faciliter la lecture des utilisateurs travaillant dans le domaine des DM ».

C’est en fait une volonté du C.T. (Comité Technique ISO/TC210 en charge de la 13485) de ne pas être rythmé par les évolutions de la 9001.

Le désarroi des utilisateurs qui utilisent l’ISO 13485 à des fins réglementaire et en parallèle la 9001 à des fins « marketing » (beaucoup d’acheteur ne connaissent pas la 13485) ne pèse pas lourd.

Ainsi, un fabricant certifié 9001 et 13485 devra:

  • Rédiger un manuel qualité pour ses activité médicales, manuel finalement assez peu utile et qui a été retiré des exigences de l’ISO 9001:2015.
  • Mettre en place des actions préventives pour l’ ISO 13485, alors qu’avec la nouvelle version de la 9001 les actions préventives ne sont plus demandées, elles entrent dans une approche basée sur le risque (en plus de « l’approche processus »).
  • Améliorer ses processus sous l’angle risque/opportunité avec la 9001, concept très (trop) rapidement évoqué dans la 13485

Une situation pas forcément idéale mais qui, c’était le vœux du comité Français lors du vote du premier DIS, devrait évoluer dans la future version de la norme. En 2027 au rythme actuel..

Les notions mises en avant

exigences réglementaires enregistrements risques

Sans que cela ne soit réellement une nouveauté, l’ ISO/DIS 13485:2015 insiste sur des notions clés: exigences réglementaires, enregistrements et risques.

Les exigences réglementaires

Il est entendu que le fabricant doit respecter les exigences réglementaires applicables, le DIS2 tient à vous le rappeler: plus de 75 fois dans le texte de la norme, contre moins de 15 dans la précédente version.

Ainsi, la notion d’exigence réglementaire est présente dès qu’il s’agit de définir les exigences pour: le SMQ, la documentation, les enregistrements, l’écoute client, le produit,…

A noter que les définitions proposées par la norme ne sont pas applicables lorsqu’elles sont également (et souvent différemment) proposées dans un texte réglementaire: les définitions de « dispositif médical (3.11) », « fabricant (3.10) », « dispositif médical implantable (3.6) », « représentant autorisé (3.3, le mandataire), « évaluation clinique (3.3) » ne sont pas à prendre en compte, reportez vous à celle de la directive 93/42/CEE (article premier, annexe IX, annexe X).

Les enregistrements

Il faut (et c’est déjà le cas) établir et conserver les enregistrements nécessaires pour démontrer la conformité aux exigences de la norme. Ceci est rappelé un peu partout, une bonne quarantaine de fois, alors que le 4.2.4 pourrait suffire:

« Les enregistrements doivent être conservés pour apporter la preuve de la conformité aux exigences et du fonctionnement efficace du SMQ« .

Les risques

Définie selon l’ISO14971 (un risque est une combinaison de la probabilité d’occurrence d’un dommage et de sa gravité potentielle), la notion de risque doit rythmer vos activités. Les risques concernent les exigences réglementaires, de sécurité, de performance.

Quelques exemples ou les actions/décisions sont à proportionner en fonction du niveau de risque:

  • approbation d’applicabilité d’une exigence
  • maîtrise des processus externalisés
  • validation des logiciels utilisés dans le SMQ
  • définition de l’étendue de la documentation du SMQ
  • choix des critères de sélection et d’évaluation des fournisseurs
  • vérification de l’efficacité des formations

La maîtrise des risques pourra évidement se faire selon l’ISO 14971, mais la norme ne l’impose pas.

 

A noter, une brève phrase dans le §4.1.2 (exigences générales sur le SMQ):

« L’organisme doit appliquer une approche fondée sur les risques en ce qui concerne les processus appropriés nécessaires au SMQ. »

 

Les nouveautés de l’ISO/DIS 13485:2015

nouveautés ISO13485:2015

Remarque: toutes les nouveautés de la norme ne sont pas présentées, vous pouvez vous reporter à l’annexe A mettant en regard le DIS et l’ISO 13485:2003

[4.2.1.2] Exigences relatives à la documentation: les « fichiers du dispositif médical »

Il est demandé d’établir des « fichiers » d’un dispositif médical pour prouver la conformité aux exigences de la 13485 et aux exigences réglementaires. Description général du DM, usage prévu, étiquetage, instructions d’utilisation, spécifications d’emballage procédures de fabrications,… devrait vous rappeler les exigences de la directive 93/42/CEE sur le dossier technique, mixée à celles de la norme.

Cette liste n’est évidement pas exhaustive (encore une fois: la norme est internationale, pas Européenne, il faut faire des compromis) à noter qu’entre le DIS.1 et le DIS.2 on passe de 26 points à seulement 6, difficile de tomber d’accord sur ces fichiers !

[4.2.4] Maîtrise des enregistrements: les « informations médicales à caractère confidentiel »

Il faudra protéger les informations médicales à caractère confidentiel en tenant évidement compte de la réglementation.

Ceci fait surement écho aux « données de santé à caractère personnel », j’en parle dans l’article sur la réglementation en e-santé, vous voilà bon, en France, pour les stocker chez un hébergeur agréé.

[6.4.2] Environnement de travail & DM stérile

Un chapitre en plus pour les dispositifs médicaux stériles, avec une exigence qui coule de source (empêcher la contamination et maintenir la propreté) => il ne vous sera plus possible de faire réchauffer votre cassoulet là où vous conditionnez vos produits stériles.

[7.1] Planification de la réalisation du produit & Logiciel

Une note vous invite à utiliser la norme IEC/ISO 62304, norme harmonisée décrivant le processus du cycle de vie du logiciel, mais ce n’est pas une obligation.

[7.2.3.2] Communication avec les autorités réglementaires

Toujours dans l’optique de mettre en avant les exigences réglementaires: l’organisme doit communiquer avec les autorités réglementaires, en l’ayant au préalable planifié.

Ceci est demandé par les différentes procédures de marquage CE de la 93/42/CEE:

« engagement du fabricant (…) comprend l’obligation d’informer les autorités compétentes des incidents (…)« .

[7.3.3] Éléments d’entrée de la conception et du développement & Aptitude à l’utilisation

L’évaluation de l’aptitude à l’utilisation est appelée par les exigences essentielles de la directive, une norme harmonisée est dédiée à ce processus: l’ ISO/IEC62366.

C’est maintenant clairement demandé dans l’ISO 13485:

« les éléments d’entrée (…) doivent comprendre les exigences (…) d’aptitude à l’utilisation ».

Une note donne la 62366 en exemple, mais la porte reste ouverte à d’autres normes.

[7.3.6 et 7.3.7] Vérification et Validation de la conception et du développement sont mieux précisées

Vérifier et valider sont deux étapes distinctes et nécessaires pendant et à la fin du développement.

La norme précise certains points sans pour autant apporter de nouvelles exigences:

  • vérification et validation doivent être planifiées
  • il faut tenir compte des raccordements et interfaces avec d’autres DM
  • Il faut enregistrer et tenir compte des exigences réglementaires

[7.3.8] Transfert de la conception et du développement

A peine évoqué en 2003, le transfert de la conception a maintenant droit à son chapitre, une bonne chose.

Une liste non exhaustive des éléments à prendre en compte est donnée: spécifications du produit, compétences du personnel, environnement de travail…

[7.3.10] Enregistrements de la conception et du développement

Les enregistrements démontrant la conformité aux exigences liées à la conception et au développement sont à mettre dans un fichier. Rien de bien nouveau.

[8.2.1.2] Traitement des réclamations et signalement aux autorités réglementaire

L’idée est de mettre en place un recueil des données résultantes de l’utilisation et de prévenir les autorités le cas échéant (comprenez: si votre produit devient une arme de destruction massive).

Une exigence en écho aux procédures obligatoire de la 93/42, voir dans les annexes II à VII :

« Le fabricant met en place et tient à jour une procédure systématique d’examen des données acquises (…) Il informe les autorités compétentes des incidents suivants (…) ».

Conclusion

Des changements qui vont dans le bon sens, des précisions, des points mis en avant,.. cette nouvelle version n’est pas une révolution, les fabricants habitués de l’ISO 13485:2003 et de la directive 93/42/CEE ne devraient pas trop souffrir.

Un gros point négatif: ne pas adopter la structure HLS risque d’être pénalisant à court terme pour les utilisateurs.