Approche par les risques dans l’ISO 13485

Par Guillaume Promé
le
23 Août. 2017 SMQ

approche par les risques
L’approche par les risques est une nouveauté de l’ISO 13485:2016, elle vous demande d’identifier les risques pesant sur vos activités et d’y répondre de façon proportionnée.

Cette approche est plus générale que la gestion des risques au sens ISO 14971, l’objectif n’est pas uniquement la sécurité patient, mais aussi la conformité du SMQ, le respect des exigences règlementaires et de toute autre source pertinente (au hasard : vos clients).

Les exigences de l’ISO 13485 en matière d’approche par les risques

Les exigences sont explicites en matière de processus, validation des logiciels, achats et CAPA (actions correctives et préventives) :

Sujet § Résumé
Maîtrise des processus 4.1.2.b « appliquer une approche fondée sur les risques en ce qui concerne la maîtrise des processus appropriés nécessaires au SMQ»
Processus externalisés 4.1.5 «Les éléments de maîtrise doivent être proportionnés au risque associé»
Validation des logiciels 4.1.6 (SMQ)
7.5.6 (prod)
7.6 (surveillance mesure)
«Les éléments de maîtrise doivent être proportionnés au risque associé»
«L’approche spécifique et les activités (…) doivent être proportionnées au risque associé à son utilisation »
Ressources humaines 6.2 « La méthodologie utilisée pour vérifier l’efficacité est proportionnée au risque associé au travail pour lequel la formation ou toute autre action est fournie. »
Achat Non-conforme 7.4.1 « Le non-respect des spécifications d’achat doit être traité avec le fournisseur de manière proportionnée au risque associé au produit acheté»
Vérification du produit acheté 7.4.3 «L’étendue des activités de vérification doit être (…) proportionnée aux risques associés au produit acheté.»
CAPA 8.5.2 (AC)
8.5.3 (AP)
«Les actions correctives doivent être proportionnées aux effets des NC rencontrées»
«Les actions préventives doivent être proportionnées aux effets des problèmes potentiels.»

On pourra avantageusement l’étendre à d’autres activités : contrôles en production, contrôles des prestations de services, définition des indicateurs, planification des intervalles entre les revues, …

Analyser les risques ?

À la manière de l’ISO 14971 les risques sont identifiés lors de revues, généralement le responsable qualité anime une session avec les différents intervenants.

Pour pouvoir justifier une approche proportionnée il semble indispensable d’évaluer les niveaux de risques, cela peut se faire directement ou demander une analyse plus pointue.

Exemples d’approches proportionnées aux risques

Maîtrise des processus

Les processus sont identifiés, découpés en taches, les défaillances possibles des taches servent à l’identification des risques.

La difficulté est d’avoir un niveau de détail suffisant pour identifier les risques principaux sans se noyer.

Niveau de risque Actions proportionnées
Négligeable Sortir le processus du SMQ est envisageable
Faible Activité simplement encadrée par une procédure
Significatif Procédure + indicateur(s)
Intolérable Procédure + indicateur(s) + revues fréquentes

Maitrise des achats

L’identification des risques tient compte du produit / de la prestation fournie, exemples :

  • Erreur lors du montage, le fournisseur livre des cartes électroniques non conformes
  • Oubli, le mandataire ne fait pas les déclarations de mise sur le marché
  • Incompétence, le consultant raconte n’importe quoi sur l’approche par les risques
Niveau de risque Sélection des fournisseurs Surveillance des fournisseurs Contrôle du produit acheté
Négligeable Sur la base des moyens et des compétences Surveillance produit / prestation Vérification documentaire
Faible + référent / expérience similaire Surveillance produit / prestation + validation initiale (sample, pré-série)
Significatif + SMQ + maintient SMQ + contrôle occasionnel
Intolérable + approbation par ON / audit + audits périodiques + contrôle systématique

Validation des logiciels

La validation des logiciels utilisés pour gérer le SMQ, la production ou la surveillance doit reposer sur les risques associés à leur utilisation. Les risques sont identifiés en tenant compte des bugs potentiels et des activités tributaires du soft, c’est tout l’objet du guide ISO/TR 80002-2 (à paraitre).

Des scénarios sont définis autour des risques identifiés, des essais de validation des scénarios sont réalisés, à l’image des évaluations sommatives de l’IEC 62366-1.

Niveau de risque Actions proportionnées
Négligeable Pas de validation nécessaire
Faible Validation du soft sur la base de scénarios
Significatif Validation + instructions d’utilisation / mode opératoire
Intolérable Validation + instructions + formation des utilisateurs

Ressources humaines

La gestion des RH a un peu évolué dans la révision 2016. Toutefois, on insiste plus sur l’identification et le suivi des compétences, notamment les aspects formation.

Niveau de risque Qualification du personnel Maintient des qualifications Validation des formations
Négligeable Formation initiale Sans condition Pas de validation
Faible + formation spéciale Sans condition Questionnaire / évaluation
Significatif + expérience significative Nombre min / période Mise en œuvre simulée / partielle
Intolérable + formation interne initiale + évaluation périodique Mise en œuvre réelle / totale

C.A.P.A. (actions correctives et préventives)

La norme demande de vérifier que les CAPA n’impactent pas le produit ou le respect des exigences règlementaires.

Les CAPA seront approuvées ou rejetées en fonction des risques qu’elles induisent, la mise en œuvre sera proportionnelle aux risques qu’elles maitrisent.

Niveau de risque Approbation de l’action
(niveau du risque induit)
Mise en œuvre
(niveau du risque maitrisé)
Négligeable Sans condition Action facultative
Faible Risque induit < risque maitrisé Délai de traitement long (début > 2 semaines)
Significatif + pas d’autre possibilité Délai de traitement court (début < 2 semaines)
Intolérable Refusée Traitement A.S.A.P.

Estimer un risque

Estimer la probabilité d’un risque

Vous n’avez probablement pas la moindre idée des probabilités en termes de pourcentage et un découpage en “fréquent, probable, rare…” est souvent pifométrique. Il est possible d’utiliser une approche tournée vers le contexte :

Probabilité Description
Il est invraisemblable que les conséquences surviennent (par exemple : maitrise par une autre activité en aval)
Demande une chaine de dysfonctionnements peu probable
+ Demande un dysfonctionnement possible mais rare
++ Défaillance attendue, prévisible, classique

Estimer les conséquences

Avec une “politique” qui pense d’abord au patient, puis à la règlementation, puis à l’auditeur :

Gravité Description
Autres cas
Non-conformité du SMQ par rapport à l’ISO 13485 (non réglementaire, sans impact produit)
+ Non-conformité règlementaire (sans impact produit)
++ Impact sur le produit (performance, sécurité)

Évaluer le niveau de risque pour vos activités

Le niveau de risque découle du couple Probabilité / Gravité.
La matrice est affinée autant que nécessaire (typiquement : de 4 à 7 niveaux).

G – – G – G + G ++
P ++ Intermédiaire Maximum
P + Intermédiaire
P – Intermédiaire
P – – Minimum Intermédiaire