Les audits inopinés constituent un élément clé de la surveillance post-certification des dispositifs médicaux sous réglementation européenne (MDR 2017/745 et IVDR 2017/746). GMED, en tant qu’organisme notifié, publie régulièrement des informations pour clarifier les attentes et obligations des fabricants. Une FAQ publiée en juin 2025, répond aux principales questions des fabricants concernant les audits inopinés.

1. Qu’est-ce qu’un audit inopiné ?

Un audit inopiné est une inspection réalisée sans préavis par l’organisme notifié (ON) auprès du fabricant, de ses sous-traitants ou fournisseurs impliqués dans la fabrication du dispositif. Contrairement aux audits planifiés du cycle de certification, il vise à observer les processus dans leur état réel et à vérifier la conformité des dispositifs avec la documentation technique et les exigences réglementaires applicables. Il s’agit d’un audit additionnel, centré sur le produit.

2. Quelles sont les exigences réglementaires applicables ?

Les audits inopinés sont requis par les règlements (UE) 2017/745 et 2017/746. L’ON doit réaliser au moins un audit inopiné tous les cinq ans à compter de la première délivrance du certificat CE. Des audits supplémentaires peuvent être déclenchés suite à des activités de surveillance, des rapports de vigilance ou des non-conformités identifiées. Les audits peuvent avoir lieu sur le site du fabricant ou, si nécessaire, chez un sous-traitant ou fournisseur critique.

3. Quelles sont les étapes du processus d’audit inopiné ?

Le processus se déroule en trois phases principales :

• Phase de préparation (pré-inopinée) :
  • Sélection des dispositifs à auditer parmi ceux couverts par le certificat CE.
  • Définition des tests à réaliser et du protocole associé, en tenant compte des résultats d’audits précédents et des analyses de vigilance.
  • Choix du site à auditer (fabricant, sous-traitant ou fournisseur).
• Phase inopinée (sur site) :
  • Prélèvement d’échantillons (produits finis ou semi-finis) sur le site ou sur le marché.
  • Réalisation des tests selon le protocole défini, soit sur place sous supervision de l’équipe d’audit, soit dans un laboratoire externe indépendant.
  • Vérification de la traçabilité sur tout ou partie du processus de fabrication.
• Phase post-audit :
  • Remise d’un rapport d’audit au fabricant, incluant les résultats des tests et l’évaluation des éventuelles non-conformités.
  • Transmission ultérieure des résultats si les tests sont réalisés en laboratoire externe.
  • Obligation pour le fabricant de traiter toute non-conformité identifiée, y compris celles constatées chez un sous-traitant ou fournisseur.

4. Quelles sont les responsabilités du fabricant ?

Le fabricant doit :

• Faciliter l’accès et la coopération lors de l’audit, y compris chez les sous-traitants et fournisseurs critiques.
• Informer l’ON des périodes de fermeture des sites couverts par le système de management de la qualité.
• Sensibiliser le personnel, les sous-traitants et fournisseurs à la possibilité d’audits inopinés et à la nécessité de les autoriser.
• Maintenir un système de management de la qualité conforme et à jour, intégrant la surveillance post-marché (PMS) et la vigilance.
• Prendre rapidement les mesures correctives nécessaires en cas de non-conformité.

5. Comment préparer efficacement un audit inopiné ?

Pour garantir le bon déroulement de l’audit, il est recommandé de :

• Mettre à jour les contrats avec les sous-traitants et fournisseurs pour permettre l’accès de l’ON à leurs sites.
• Former le personnel à l’accueil d’un audit inopiné et à la gestion des demandes de l’équipe d’audit.
• Maintenir une documentation technique et des enregistrements de traçabilité accessibles et à jour.
• Prévoir une procédure interne pour informer rapidement les parties concernées lors de l’arrivée d’un audit inopiné.

6. Quels sont les impacts d’un audit inopiné sur la certification ?

Les constats d’un audit inopiné peuvent avoir des conséquences importantes :

• En cas de non-conformités majeures ou de défauts critiques, l’ON peut restreindre, suspendre ou retirer le certificat CE du dispositif concerné.
• Des recommandations d’amélioration peuvent être émises pour renforcer le système de management de la qualité ou la surveillance post-marché.
• Le maintien de la certification dépend de la capacité du fabricant à corriger rapidement les écarts identifiés.

7. Quelle est la fréquence des audits inopinés ?

Un audit inopiné doit être réalisé au moins une fois tous les cinq ans pour chaque certificat CE, mais la fréquence peut augmenter en cas de dispositifs à risque élevé, de non-conformités récurrentes ou de signalements de vigilance.

8. Les sous-traitants et fournisseurs sont-ils concernés ?

Oui. Les audits inopinés peuvent être réalisés chez les sous-traitants ou fournisseurs impliqués dans des étapes critiques de la fabrication. Le fabricant doit s’assurer contractuellement que ces acteurs acceptent et facilitent l’audit. Les non-conformités identifiées chez eux sont de la responsabilité du fabricant.

9. Quelle documentation doit être disponible lors d’un audit inopiné ?

Le fabricant doit pouvoir présenter :

• La documentation du système de management de la qualité (SMQ) à jour.
• Les dossiers techniques des dispositifs concernés.
• Les enregistrements de traçabilité (lots, matières premières, contrôles, etc.).
• Les rapports de PMS, de vigilance et de suivi des actions correctives.

10. Quelles bonnes pratiques pour limiter les risques lors d’un audit inopiné ?

• Maintenir une veille réglementaire et une documentation à jour.
• Impliquer le responsable conformité réglementaire (PRRC) dans la préparation et la gestion des audits.
• Réaliser des audits internes réguliers pour anticiper les points sensibles.
• Assurer la formation continue du personnel sur les exigences réglementaires et les procédures d’audit.

Pour aller plus loin

• Document source : GMED – Q&A Audits inopinés, juin 2025
• Règlement (UE) 2017/745 – MDR
• FAQ GMED sur la certification