ISO 13485 et 21 CFR 820 : comprendre les principales différences et se préparer à l'harmonisation

Si vous fabriquez des dispositifs médicaux, votre système qualité est scruté à la loupe : par les autorités de réglementation, par les clients et, de plus en plus, par votre propre équipe. Chaque décision, chaque document et chaque écart est traçable, vérifiable et revêt une importance capitale.

C'est pourquoi la plupart des fabricants opèrent dans le cadre de deux référentiels : la norme ISO 13485, norme internationale relative à la qualité des dispositifs médicaux, et la réglementation 21 CFR Part 820 de la FDA sur les systèmes qualité. Chacune comporte ses propres exigences, sa structure et sa terminologie. Il est depuis longtemps courant de devoir composer avec ces deux référentiels.

Mais cela va bientôt changer.

La FDA s'apprête à abroger la norme 21 CFR 820 telle que nous la connaissons pour la remplacer par une nouvelle réglementation Gestion de la qualité (QMSR) alignée sur la norme ISO 13485:2016. L'objectif est de créer une norme harmonisée unique qui réduise les redondances et améliore la cohérence à l'échelle mondiale. La date limite de mise en conformité est fixée à février 2026, mais c'est dès maintenant qu'il faut se préparer.

Cette évolution soulève une question cruciale pour les responsables des opérations et de la qualité : dans quelle mesure ces cadres diffèrent-ils les uns des autres, et que faut-il faire pour adapter votre SGQ (système de gestion de la qualité) changements à venir ?

Examinons cela de plus près.

Êtes-vous prêt pour la norme ISO 13485:2016 ? Passez notre évaluation de conformité au QMSR de la FDA pour le savoir ! →

Gestion de la qualité ISO 13485:2016 est la Gestion de la qualité applicable aux dispositifs médicaux, largement utilisée à travers le monde. Si vous commercialisez vos produits en Europe, au Canada ou en Australie, il y a de fortes chances que vous la connaissiez déjà. Selon une récente enquête de l'ISO, à la fin de l'année 2023, 32 963 certificats ISO 13485:2016 valides avaient été délivrés dans le monde, couvrant plus de 52 950 sites.

Contrairement à des normes plus générales telles que l'ISO 9001, celle-ci a été spécialement conçue pour le secteur des dispositifs médicaux. Elle définit les mesures que les fabricants doivent mettre en place pour concevoir, fabriquer et assurer le suivi de dispositifs qui soient toujours sûrs et efficaces. Et dans la plupart des pays, la certification n'est pas facultative ; c'est une étape incontournable pour accéder au marché.

La norme couvre de nombreux aspects, mais certains thèmes reviennent sans cesse : le risque, le contrôle et la documentation.

Tout commence par la gestion des risques. Non seulement pour le produit lui-même, mais aussi pour chaque processus susceptible d'avoir une incidence sur la sécurité ou la qualité. La norme ISO 13485 exige des entreprises qu'elles adoptent une approche fondée sur les risques tout au long du cycle de vie, de la conception et de l'approvisionnement jusqu'au traitement des réclamations et aux rappels.

Les contrôles de conception constituent un autre élément essentiel. Vous devez disposer de données documentées concernant les entrées, les sorties, la vérification et la validation, ainsi que d'un processus de modification bien défini. Cela est essentiel pour démontrer que le produit que vous avez conçu est bien celui que vous fabriquez et qu'il fonctionne comme prévu.

La documentation et la tenue des registres sont indispensables. La norme exige un manuel qualité complet, des procédures écrites et la preuve que ces procédures sont respectées. Les auditeurs s'attendront à examiner tous les documents, qu'il s'agisse des registres de formation, des résultats d'inspection ou des rapports de validation des logiciels.

Cela nous amène à une autre exigence essentielle : la validation de vos logiciels et processus spécifiques. Si vous utilisez un logiciel pour les inspections, l'enregistrement des données ou le suivi de la qualité, celui-ci doit être testé et validé en fonction de son utilisation. Il en va de même pour tout processus qui ne peut être vérifié simplement en contrôlant le produit final, comme la stérilisation ou le soudage.

La gestion des fournisseurs est également essentielle. Vous devez mettre en place un processus de sélection, de qualification et de suivi des fournisseurs, en particulier ceux qui ont une incidence sur la qualité des produits. Une simple approbation ponctuelle ne suffit pas. La norme ISO 13485 exige une évaluation continue et une documentation des performances.

Enfin, la norme exige une approche de la qualité en boucle fermée : audits internes, traçabilité et mesures correctives et préventives (CAPA). Cela signifie que vous devez régulièrement auditer votre propre système, assurer la traçabilité de chaque pièce et produit tout au long de votre processus, et traiter les problèmes de manière structurée afin d'éviter qu'ils ne se reproduisent.

Pour les fabricants qui appliquent déjà des pratiques rigoureuses, ce cadre reflète souvent ce qu’ils font déjà, mais avec une structure plus claire et une documentation plus solide. Et comme la FDA s’apprête à adopter ce cadre, celui-ci est en passe de devenir la norme en matière de qualité, tant aux États-Unis qu’à l’échelle mondiale.

La partie 820 du titre 21 du Code des règlements fédéraux (21 CFR) constitue la réglementation de la FDA relative aux systèmes qualité, c'est-à-dire le cadre juridique qui régit la fabrication, l'étiquetage et la distribution des dispositifs médicaux aux États-Unis. Si vous fabriquez des dispositifs destinés au marché américain, la conformité à cette réglementation n'est pas facultative. Il s'agit du référentiel réglementaire.

Cette réglementation est en vigueur depuis la fin des années 90 et a été conçue pour offrir aux fabricants une certaine souplesse dans la manière d'atteindre leurs objectifs de qualité. Contrairement à la norme ISO 13485, qui impose un cadre et une documentation très stricts, la QSR est davantage axée sur les résultats. Elle définit les objectifs à atteindre, mais laisse une marge de manœuvre quant à la manière de les atteindre.

Cela dit, les attentes fondamentales sont claires.

La responsabilité de la direction est un élément fondamental. La FDA attend des cadres supérieurs qu’ils définissent une politique de qualité, attribuent les rôles et les responsabilités, et évaluent activement les performances du système. Il ne s’agit pas d’une démarche que l’on met en place une fois pour toutes : les dirigeants doivent rester impliqués et assumer leurs responsabilités.

Pour la plupart des catégories de dispositifs, les contrôles de conception sont obligatoires. Vous devez démontrer comment les données de conception ont été définies, comment elles ont été testées et comment les conceptions finales ont été validées au regard des besoins des utilisateurs. Cela implique notamment la tenue d'un dossier d'historique de conception (DHF) complet qui consigne chaque décision, modification et approbation tout au long du processus.

En production, les fabricants sont tenus de mettre en place des contrôles de processus garantissant que les dispositifs sont fabriqués de manière homogène et respectent les spécifications. Si un processus ne peut être vérifié par l'inspection du produit fini — comme la soudure ou la stérilisation —, il doit être validé. Cela implique des protocoles bien définis, des résultats d'essais documentés et la preuve que le processus est reproductible.

Le traitement des réclamations constitue un autre domaine prioritaire. Les entreprises doivent examiner chaque réclamation afin de déterminer si elle doit être signalée en vertu du règlement sur la déclaration des dispositifs médicaux (MDR). Si une réclamation laisse supposer qu'un produit a pu causer un préjudice (ou pourrait en causer un à l'avenir), elle doit faire l'objet d'une enquête approfondie et être signalée à la FDA le cas échéant.

Les exigences en matière de formation et de documentation sont simples : les employés doivent être formés aux fonctions qu’ils exercent, et les dossiers de formation doivent être conservés. Si le travail d’une personne est susceptible d’avoir une incidence sur la sécurité ou la conformité des dispositifs, il faut pouvoir prouver clairement qu’elle est qualifiée pour l’exercer.

Les audits internes constituent l’un des domaines dans lesquels la norme 21 CFR Part 820 s’est historiquement distinguée de la norme ISO 13485. En vertu de la réglementation actuelle, les inspecteurs de la FDA n’étaient pas autorisés à examiner les conclusions des audits internes ni les comptes rendus des revues de direction. Cette situation évolue avec la nouvelle réglementation QMSR, mais il convient de noter que cette protection intégrée de la confidentialité a influencé la manière dont de nombreuses entreprises américaines géraient ces processus.

Ainsi, bien que les normes QSR et ISO 13485 aient de nombreux points communs, elles ont suivi des voies légèrement différentes au fil des ans. L'une privilégiait davantage la flexibilité, l'autre la structure. Mais avec l'harmonisation qui se profile à l'horizon, ces différences s'estompent désormais.

Si les normes ISO 13485 et 21 CFR Partie 820 visent toutes deux à garantir que les dispositifs médicaux sont sûrs, efficaces et fabriqués dans le cadre d’un système qualité performant, elles diffèrent dans la manière d’y parvenir. Voici en quoi elles divergent :

Documentation et caractère normatif

La norme ISO 13485 est plus précise quant aux éléments à documenter. Elle exige un manuel qualité officiel, des procédures définies pour chaque processus et des enregistrements spécifiques pour étayer l'ensemble. Si les QSR de la FDA exigent également une documentation, elles sont rédigées de manière plus souple. L'accent est mis sur l'efficacité de vos processus, et non pas nécessairement sur le fait que vous ayez tout consigné conformément à un modèle.

Concrètement, cela signifie que les entreprises qui se conforment à la norme ISO 13485 intègrent souvent davantage de structure dans leurs systèmes, ce qui peut s'avérer utile (ou contraignant), selon votre organisation.

Intégration de la gestion des risques

C'est l'une des principales différences. La norme ISO 13485 intègre la notion de risque dans pratiquement tous les aspects du système qualité. De la planification de la conception à la surveillance des fournisseurs, une approche fondée sur les risques est requise à tous les niveaux. Elle est également directement liée à la norme ISO 14971, qui porte sur la gestion des risques liés aux dispositifs médicaux.

En revanche, la norme 21 CFR 820 actuelle ne traite pas le risque de la même manière. Le risque apparaît de manière indirecte — dans la manière dont vous abordez les CAPA ou la validation de la conception — mais il n'existe aucune exigence à l'échelle du système concernant un processus formel de gestion des risques. C'est une lacune que la FDA comble avec la future norme QMSR.

Rigueur dans le contrôle des fournisseurs

Ces deux référentiels exigent des fabricants qu’ils sélectionnent et contrôlent leurs fournisseurs. Mais la norme ISO 13485 va plus loin. Elle vous impose de définir des critères de sélection précis, de conserver les dossiers d’évaluation et de surveiller en permanence les performances des fournisseurs. L’approche de la FDA est un peu moins contraignante : elle vise principalement à garantir que les composants achetés répondent aux exigences, sans toutefois prescrire de manière précise la manière d’y parvenir.

Cette différence peut prendre les entreprises au dépourvu, surtout si elles font l'objet d'un audit ISO pour la première fois et ne disposent pas de fiches d'évaluation formalisées pour leurs fournisseurs ni de procédures documentées de réévaluation.

Exigences en matière de validation des logiciels

C'est un domaine dans lequel les deux normes sont largement alignées, mais la norme ISO 13485 a tendance à l'exprimer plus clairement. Tout logiciel utilisé pour soutenir la production ou le SGQ (système de gestion de la qualité) être validé pour l'usage auquel il est destiné. La section 820.70(i) de la FDA dit la même chose, mais en moins de mots.

C'est surtout au niveau des systèmes électroniques, tels que les systèmes de gestion des documents, les plateformes de formation et les outils de suivi des audits, que la norme ISO fait l'objet d'une attention particulière. Si vous utilisez un SGQ (système de gestion de la qualité) numérique, les auditeurs ISO voudront consulter les registres de validation, tout comme les inspecteurs de la FDA dans le cadre de la nouvelle réglementation QMSR.

Découvrez comment Sciences de la vie adoptent une nouvelle approche en matière de validation →

Transparence de l'audit interne

Cette différence est subtile, mais importante. Dans le cadre du QSR actuel, les inspecteurs de la FDA n'examinent pas les résultats des audits internes ni les comptes rendus des revues de direction. Cette confidentialité permettait de faire preuve d'une plus grande franchise lors des audits, sans risque sur le plan réglementaire.

La norme ISO 13485 n'offre toutefois pas cette même protection. Les auditeurs peuvent demander (et demandent effectivement) à consulter les constatations, les mesures de suivi et les preuves de leur résolution. Une fois que le QMSR entrera en vigueur, la FDA fera de même. Ce changement renforce les exigences en matière de responsabilité interne, et les entreprises devront s'y préparer.

Mécanismes d'application de la réglementation

Enfin, il y a la question de l'application de la réglementation. La conformité à la norme ISO 13485 est généralement vérifiée par le biais d'audits de certification réalisés par des organismes tiers. La norme 21 CFR 820, en revanche, relève du droit fédéral et est directement appliquée par la FDA. Cela signifie que les conclusions des inspections peuvent donner lieu à des observations 483, à des lettres d'avertissement ou à des mesures plus sévères.

En ce sens, les mesures coercitives de la FDA ont toujours eu plus de poids. Le QMSR ne change rien à cela, mais en s'alignant sur la norme ISO 13485, il offre aux fabricants un cadre plus clair et plus cohérent dans lequel évoluer.

Le principe fondamental du QMSR est assez simple : si votre système qualité est conforme à la norme ISO 13485, vous serez également en conformité avec les exigences de la FDA. Mais la FDA ne s'est pas contentée de laisser les rênes. Elle a ajouté quelques exigences spécifiques aux États-Unis que la norme ISO ne couvre pas entièrement, notamment :

• Dossier de réclamation

• Tenue des registres relatifs à l'identification unique des dispositifs (UDI)

• Contrôles de l'étiquetage et du conditionnement

• Définitions spécifiques liées à la législation américaine, telles que « sécurité et efficacité » par opposition à « sécurité et performance » selon l'ISO

En d'autres termes, il ne suffit pas de copier-coller votre certification ISO et de s'en tenir là. Mais si vous respectez déjà scrupuleusement la norme ISO 13485, vous êtes probablement en bonne voie.

La chronologie

Le QMSR entrera en vigueur le 2 février 2026. Cela laisse aux fabricants environ deux ans pour mettre leurs systèmes en place à compter de la date de l'annonce. Certaines entreprises n'auront pas grand-chose à faire, en particulier celles qui sont déjà certifiées ISO 13485. D'autres, notamment celles qui ne se sont conformées qu'au QSR, devront examiner la situation de plus près.

Ce n'est pas le genre de mise à jour que l'on peut repousser jusqu'à la dernière minute. Si votre système actuel est fortement adapté à la norme 21 CFR 820, c'est le moment de procéder à une analyse des écarts et de déterminer ce qui doit être modifié.

Des changements sont également prévus en matière d'inspection

L'un des changements les plus méconnus du QMSR concerne le fonctionnement des inspections de la FDA. En vertu de l'ancienne réglementation, les inspecteurs de la FDA n'étaient pas autorisés à consulter les résultats des audits internes ni les comptes rendus des revues de direction. Cette restriction est désormais supprimée.

Une fois que le règlement sur les systèmes de qualité (QMSR) entrera en vigueur, ces documents pourront alors faire l'objet d'un examen approfondi. Rien qu’en 2024, la FDA a émis 45 lettres d’avertissement concernant des dispositifs médicaux, dont 31 faisaient état de violations du règlement sur les systèmes qualité. Les problèmes les plus courants concernaient les contrôles de conception (22 lettres), les mesures correctives et préventives (CAPA) (19) et les dossiers de réclamations (13). Cela indique clairement les domaines sur lesquels les autorités de réglementation concentrent leur attention et donne un aperçu de la manière dont l’application de la réglementation se déroulera à l’avenir.

La FDA a également indiqué qu'elle s'éloignait de son modèle d'inspection QSIT traditionnel. Bien que les détails ne soient pas encore connus, les inspections devraient s'aligner davantage sur la manière dont sont menés les audits ISO : elles seront moins axées sur des listes de contrôle et davantage centrées sur les processus.

Pourquoi cela revêt une importance qui va au-delà de la simple conformité

Quelle est la principale raison de ce changement ? Alléger la charge qui pèse sur les fabricants présents sur plusieurs marchés. Jusqu’à présent, les entreprises américaines devaient gérer un système distinct pour la FDA et un autre pour le reste du monde. Cela entraînait des procédures redondantes, des audits supplémentaires, une plus grande complexité et, au final, des coûts plus élevés.

Grâce à cette évolution, les fabricants peuvent rationaliser leurs processus. Vous pourrez mettre en place un système qualité unique, fondé sur la norme ISO 13485, tout en ayant la certitude qu’il répond aux exigences tant aux États-Unis qu’à l’étranger. Cela permet de gagner du temps, de réduire les risques et de simplifier l’ensemble des processus, des audits des fournisseurs à la validation des logiciels.

Cela permet également aux entreprises de mieux définir la voie à suivre. Au lieu de devoir jongler entre deux terminologies et deux structures différentes, les équipes peuvent se concentrer sur la mise en place d'un système unique qui fonctionne partout.

Si vous avez déjà géré une action corrective et préventive (CAPA) dans un tableur, recherché un dossier de formation manquant la veille d'un audit ou tenté de reconstituer la traçabilité à partir de trois systèmes différents, vous connaissez les limites des processus qualité manuels. Ils sont lents, fragiles et difficiles à adapter à l'échelle.

C'est là qu'une plateforme comme Tulip vraiment la différence. Elle ne se contente pas de numériser les formulaires. Elle offre à votre équipe les outils nécessaires pour gérer des processus de qualité comme il se doit : en temps réel, avec une répartition claire des responsabilités et sans qu'aucun détail ne passe entre les mailles du filet.

Mesures correctives et préventives (CAPA), gestion des documents et pistes d'audit : tout est géré automatiquement

Dans Tulip, la gestion CAPA peut être directement intégrée aux applications qui guident votre équipe dans ses processus quotidiens. Les incidents sont enregistrés, attribués, suivis et clôturés selon un processus structuré, avec horodatage, signatures et champs obligatoires intégrés. Si un élément est omis, le système peut le signaler avant que cela ne devienne un problème plus grave.

Il en va de même pour la gestion des documents. Vous pouvez contrôler les mises à jour, gérer les processus de validation et conserver l'historique des versions, le tout au sein même de la plateforme. Chaque modification est suivie, chaque accès est enregistré. Lorsqu'un auditeur demande qui a validé la dernière procédure opérationnelle standard (SOP) et à quelle date, la réponse s'affiche en quelques secondes.

Formation et traçabilité, visibles d'un seul coup d'œil

Vous n'avez plus besoin de conserver vos registres de formation dans un classeur. Avec Tulip, vous pouvez suivre qui a déjà suivi une formation, qui doit suivre une remise à niveau et si les personnes concernées ont pris connaissance des dernières mises à jour des procédures. Le système peut même bloquer l'accès à certains processus jusqu'à ce que la personne concernée ait suivi la formation requise.

Et qu'en est-il de la traçabilité ? Chaque fois qu'un opérateur utilise une Tulip — qu'il scanne un code-barres, saisisse une mesure ou remplisse une liste de contrôle —, ces données sont enregistrées et reliées entre elles. Vous pouvez ainsi retracer le parcours d'un produit jusqu'à ses composants, ses numéros de lot, les équipements utilisés et les personnes impliquées. Et tout cela sans avoir à fouiller dans des montagnes de paperasse.

Apps traitent des aspects concrets : réclamations, fournisseurs, audits

La bibliothèque d'applicationsTulip comprend des applications prêtes à l'emploi pour les contrôles qualité, les audits internes, les écarts… et bien d'autres encore. Il ne s'agit pas simplement de formulaires statiques. Ce sont des applications interactives qui guident votre équipe à chaque étape du processus, contribuent à garantir la cohérence et permettent de tout centraliser en un seul endroit.

Si une réclamation client atteint un certain seuil, elle peut déclencher automatiquement une action corrective (CAPA). Si un fournisseur échoue à un contrôle qualité, le système peut programmer un examen de suivi ou transmettre le dossier à la personne compétente. Vous ne vous contentez pas de collecter des données : vous les utilisez pour favoriser Amélioration continue.

Conçu dans un souci de conformité

Tulip certifié ISO 9001:2015 et a été conçu pour accompagner les équipes travaillant dans des environnements GxP et réglementés. Il intègre notamment des signatures électroniques, des pistes d'audit, des contrôles d'accès et toutes les fonctionnalités que l'on peut attendre d'un système conçu pour résister à un examen minutieux.

Que vous vous prépariez à la certification ISO 13485, que vous souhaitiez anticiper les modifications apportées par la FDA au règlement QMSR, ou que vous en ayez simplement assez de jongler entre trop d'outils disparates, Tulip vous Tulip un moyen pratique de tout regrouper, sans ajouter de complexité.

La décision de la FDA d'adopter la norme ISO 13485 n'est pas simplement un nouvel obstacle à franchir en matière de conformité. C'est l'occasion de simplifier les choses.

Depuis des années, les équipes chargées de la qualité doivent jongler entre les normes ISO et les exigences de la FDA, tout en gérant une montagne de documents supplémentaires.

Grâce au QMSR, les fabricants peuvent enfin mettre en place un système unique qui répond à ces deux exigences, et ainsi se concentrer davantage sur la création de produits de qualité plutôt que sur la duplication des formalités administratives.

Si vous êtes déjà conforme à la norme ISO 13485, vous avez une longueur d'avance. Si ce n'est pas le cas, c'est le moment de vous pencher sérieusement sur la question. Attendre jusqu'en 2026 reviendrait à devoir se précipiter par la suite. Commencer dès maintenant, c'est se doter de bases plus solides, avec de meilleurs contrôles, une traçabilité plus claire et moins de surprises lors des inspections.

C'est là Tulip des plateformes comme Tulip .

Tulip seulement un logiciel : c'est une véritable approche pour moderniser la gestion de la qualité. Grâce à des applications dédiées à la formation, aux actions correctives et préventives (CAPA), aux réclamations, aux audits et bien plus encore, les équipes peuvent gagner en rapidité sans pour autant négliger la qualité. Vous bénéficiez de la structure requise par la norme ISO 13485, tout en conservant la flexibilité nécessaire pour vous adapter à mesure que vos activités se développent.

La réglementation ne cessera d'évoluer. Les attentes ne cesseront de croître. La question est de savoir si vos systèmes sont conçus pour suivre le rythme.

Tulip et a été conçu pour les équipes qui sont prêtes à considérer la qualité comme un atout, et non comme un obstacle.