ISO 13485 vs. 21 CFR 820 : Comprendre les principales différences et se préparer à l'harmonisation

Si vous fabriquez des dispositifs médicaux, votre système de qualité est scruté à la loupe par les organismes de réglementation, par les clients et, de plus en plus, par votre propre équipe. Chaque décision, chaque document, chaque écart est traçable, vérifiable et à fort enjeu.

C'est pourquoi la plupart des fabricants opèrent dans deux cadres : ISO 13485, la norme internationale pour la qualité des dispositifs médicaux, et 21 CFR Part 820, le règlement sur les systèmes de qualité de la FDA. Chacune de ces normes s'accompagne de ses propres attentes, de sa propre structure et de sa propre terminologie. Naviguer entre les deux est depuis longtemps la norme.

Mais cela va bientôt changer.

La FDA supprime le 21 CFR 820 tel que nous le connaissons et le remplace par un nouveau règlement sur Gestion de la qualité (QMSR) qui s'aligne sur la norme ISO 13485:2016. L'objectif est de créer une norme harmonisée qui réduise les doublons et améliore la cohérence au niveau mondial. La date limite de mise en conformité est fixée à février 2026, mais c'est maintenant qu'il faut se préparer.

Cette évolution soulève une question cruciale pour les responsables des opérations et de la qualité : dans quelle mesure ces cadres sont-ils différents et que faut-il faire pour aligner votre SGQ (système de gestion de la qualité) sur ce qui se profile à l'horizon ?

Regardons de plus près.

Êtes-vous prêt pour la norme ISO 13485:2016 ? Faites notre évaluation de l'état de préparation à la norme QMSR de FDA pour le savoir ! →

La norme ISO 13485:2016 est la norme de Gestion de la qualité des dispositifs médicaux utilisée dans la majeure partie du monde. Si vous vendez en Europe, au Canada ou en Australie, il y a de fortes chances que vous la connaissiez déjà. Selon une récente étude de l'ISO, à la fin de l'année 2023, 32 963 certificats ISO 13485:2016 valides auront été délivrés dans le monde, couvrant plus de 52 950 sites.

Contrairement à des normes plus générales comme ISO 9001, celle-ci est conçue spécifiquement pour l'industrie des dispositifs médicaux. Elle précise ce que les fabricants doivent mettre en place pour concevoir, fabriquer et soutenir des dispositifs toujours sûrs et efficaces. Dans la plupart des pays, la certification n'est pas facultative ; c'est un passage obligé pour accéder au marché.

La norme couvre beaucoup de choses, mais quelques thèmes reviennent sans cesse : le risque, le contrôle et la documentation.

Cela commence par la gestion des risques. Non seulement pour le produit lui-même, mais aussi pour chaque processus susceptible d'avoir un impact sur la sécurité ou la qualité. La norme ISO 13485 attend des entreprises qu'elles appliquent une approche fondée sur le risque tout au long du cycle de vie, depuis la conception et l'approvisionnement jusqu'aux réclamations et aux rappels.

Les contrôles de conception constituent un autre élément essentiel. Vous devez documenter les entrées, les sorties, la vérification, la validation et un processus de modification clair. Ces éléments sont essentiels pour démontrer que le produit que vous avez conçu est celui que vous fabriquez réellement et qu'il fait ce qu'il est censé faire.

La documentation et l'archivage ne sont pas négociables. La norme exige un manuel de qualité complet, des procédures écrites et la preuve que ces procédures sont suivies. Les auditeurs s'attendront à tout voir, des dossiers de formation aux résultats d'inspection en passant par les rapports de validation des logiciels.

Cela nous amène à une autre exigence clé : la validation de votre logiciel et de vos processus spéciaux. Si vous utilisez un logiciel pour les inspections, l'enregistrement des données ou le suivi de la qualité, il doit être testé et validé en fonction de son utilisation. Il en va de même pour tout processus qui ne peut pas être vérifié simplement en contrôlant le produit final, comme la stérilisation ou le soudage.

La surveillance des fournisseurs est également importante. Vous devez mettre en place un processus de sélection, de qualification et de contrôle des fournisseurs, en particulier de ceux qui ont un impact sur la qualité des produits. Une approbation unique ne suffit pas. La norme ISO 13485 exige une évaluation continue et des performances documentées.

Enfin, la norme prévoit une approche de la qualité en boucle fermée : audits internes, traçabilité et CAPA. Cela signifie que vous vérifiez régulièrement votre propre système, que vous retracez chaque pièce et chaque produit tout au long de votre processus et que vous traitez les problèmes de manière structurée afin d'éviter qu'ils ne se répètent.

Pour les fabricants qui travaillent déjà avec discipline, il reflète souvent ce qu'ils font déjà, mais avec plus de structure et une documentation plus solide. Et comme la FDA s'apprête à adopter ce cadre, il devient rapidement le langage commun de la qualité, tant aux États-Unis qu'à l'échelle mondiale.

21 CFR Part 820 est la réglementation du système de qualité de la FDA, le cadre juridique qui régit la fabrication, l'étiquetage et la distribution des dispositifs médicaux aux États-Unis. Si vous fabriquez des dispositifs destinés au marché américain, la conformité n'est pas facultative. Il s'agit d'un règlement.

Ce règlement, en vigueur depuis la fin des années 90, a été conçu pour donner aux fabricants une certaine souplesse dans la manière d'atteindre les objectifs de qualité. Contrairement à la norme ISO 13485, qui prescrit beaucoup de structure et de documentation, le QSR est davantage axé sur les performances. Il définit les objectifs à atteindre, mais vous laisse une certaine marge de manœuvre quant à la manière d' y parvenir.

Cela dit, les attentes fondamentales sont claires.

La responsabilité de la direction est un élément fondamental. FDA attend des dirigeants qu'ils définissent une politique de qualité, qu'ils attribuent des rôles et des responsabilités et qu'ils examinent activement les performances du système. Il ne s'agit pas d'un exercice de mise en place et d'oubli : les cadres doivent rester engagés et responsables.

Pour la plupart des classes de dispositifs, les contrôles de conception sont obligatoires. Vous devez montrer comment les données de conception ont été définies, comment elles ont été testées et comment les conceptions finales ont été validées par rapport aux besoins des utilisateurs. Vous devez notamment tenir à jour un dossier complet sur l'historique de la conception (DHF) qui documente chaque décision, chaque modification et chaque approbation tout au long du processus.

En production, les fabricants sont censés mettre en place des contrôles de processus qui garantissent que les dispositifs sont construits de manière cohérente et répondent aux spécifications. Si un processus ne peut être vérifié par l'inspection du produit final - comme le soudage ou la stérilisation - il doit être validé. Cela signifie des protocoles définis, des résultats de tests documentés et la preuve que le processus est reproductible.

Le traitement des plaintes est un autre domaine d'intérêt. Les entreprises doivent évaluer chaque plainte en vue d'une éventuelle déclaration au titre de la réglementation relative aux rapports sur les dispositifs médicaux (MDR). Si une plainte suggère qu'un produit a pu causer des dommages (ou pourrait le faire à l'avenir), elle doit faire l'objet d'une enquête approfondie et être signalée à la FDA , le cas échéant.

Les exigences en matière de formation et de documentation sont simples : les employés doivent être formés aux fonctions qu'ils exercent et les dossiers de formation doivent être conservés. Si le travail d'une personne peut avoir un impact sur la sécurité ou la conformité d'un dispositif, il doit être clairement prouvé qu'elle est qualifiée pour le faire.

Les audits internes constituent l'un des domaines dans lesquels le 21 CFR Part 820 diffère historiquement de la norme ISO 13485. Dans le cadre de la réglementation actuelle, les inspecteurs de FDA n'étaient pas autorisés à examiner les résultats des audits internes ou les comptes rendus des revues de direction. Cela change avec le nouveau QMSR, mais il convient de noter que cette confidentialité intégrée a influencé la manière dont de nombreuses entreprises américaines géraient ces processus.

Si le QSR et la norme ISO 13485 ont de nombreux points communs, ils ont pris des chemins légèrement différents au fil des ans. L'un s'est appuyé davantage sur la flexibilité, l'autre sur la structure. Mais avec l'harmonisation qui se profile à l'horizon, ces différences s'estompent.

Si les normes ISO 13485 et 21 CFR Part 820 visent toutes deux à garantir que les dispositifs médicaux sont sûrs, efficaces et construits dans le cadre d'un système de qualité opérationnel, elles diffèrent dans la manière dont elles y parviennent. Voici où elles divergent :

Documentation et prescription

La norme ISO 13485 est plus explicite sur ce qui doit être documenté. Elle exige un manuel de qualité formel, des procédures définies pour chaque processus et des enregistrements spécifiques pour étayer le tout. Le QSR de la FDAexige également une documentation, mais il est rédigé de manière plus souple. L'accent est mis sur l'efficacité de vos processus, et pas nécessairement sur le fait que vous avez tout étiqueté selon un modèle.

En pratique, cela signifie que les entreprises qui suivent la norme ISO 13485 ont souvent plus de structure dans leurs systèmes, ce qui peut être utile (ou contraignant), selon votre organisation.

Intégration de la gestion des risques

C'est l'une des plus grandes différences. La norme ISO 13485 intègre le risque dans presque tous les aspects du système de qualité. De la planification de la conception à la surveillance des fournisseurs, la réflexion basée sur le risque est attendue tout au long du processus. Elle est également directement liée à la norme ISO 14971 sur la gestion des risques liés aux dispositifs médicaux.

En revanche, l'actuel 21 CFR 820 ne mentionne pas le risque de la même manière. Le risque apparaît indirectement - dans la manière dont vous abordez les CAPA ou la validation de la conception - mais il n'y a pas d'attente à l'échelle du système pour un processus formel de gestion du risque. C'est une lacune que la FDA s'apprête à combler avec le prochain QMSR.

Rigueur du contrôle des fournisseurs

Les deux cadres exigent des fabricants qu'ils vérifient et contrôlent leurs fournisseurs. Mais la norme ISO 13485 va plus loin. Elle attend de vous que vous établissiez des critères de sélection spécifiques, que vous conserviez des enregistrements des évaluations et que vous contrôliez en permanence les performances des fournisseurs. L'approche de la FDAest un peu plus légère : elle se concentre sur la conformité des composants achetés aux exigences, mais ne prescrit pas exactement comment y parvenir.

Cette différence peut prendre les entreprises au dépourvu, surtout si elles font l'objet d'un audit ISO pour la première fois et qu'elles ne disposent pas de cartes de pointage des fournisseurs formalisées ou de réévaluations documentées.

Exigences en matière de validation des logiciels

Il s'agit d'un domaine où les deux sont largement alignés, mais la norme ISO 13485 tend à l'énoncer plus clairement. Tout logiciel prenant en charge la production ou le SGQ (système de gestion de la qualité) doit être validé pour l'usage auquel il est destiné. La norme 820.70(i) de la FDAdit la même chose, mais en moins de mots.

L'ISO s'intéresse davantage aux systèmes électroniques tels que le contrôle des documents, les plates-formes de formation et les outils de suivi des audits. Si vous utilisez un SGQ (système de gestion de la qualité) numérique, les auditeurs ISO voudront voir les enregistrements de validation, tout comme les inspecteurs de FDA dans le cadre du nouveau QMSR.

Découvrez comment les fabricants de Sciences de la vie adoptent une nouvelle approche en matière de validation →

Transparence de l'audit interne

Cette divergence est subtile, mais importante. Dans le cadre du QSR actuel, les inspecteurs de FDA n'examinent pas les résultats des audits internes ni les dossiers des revues de direction. Le respect de la vie privée permet d'être plus franc lors des audits , sans risque réglementaire.

La norme ISO 13485 n'offre toutefois pas la même protection. Les auditeurs peuvent demander (et demandent) à voir les résultats, les actions de suivi et les preuves de clôture. Lorsque QMSR entrera en vigueur, la FDA fera de même. Ce changement place la barre plus haut en matière de responsabilité interne, et les entreprises devront être prêtes.

Mécanismes d'application de la réglementation

Enfin, il y a la question de l'application. La conformité à la norme ISO 13485 est généralement vérifiée par des audits de certification effectués par des tiers. La norme 21 CFR 820, en revanche, est une loi fédérale, appliquée directement par la FDA. Cela signifie que les résultats d'une inspection peuvent donner lieu à des observations 483, à des lettres d'avertissement ou à des actions plus graves.

En ce sens, l'application de la réglementation par FDA a toujours eu plus de poids. Le QMSR n'y change rien, mais en s'alignant sur la norme ISO 13485, il offre aux fabricants un cadre de travail plus clair et plus cohérent.

L'essentiel du QMSR est assez simple : si votre système qualité est conforme à la norme ISO 13485, vous serez également en conformité avec les exigences de FDA . Mais la FDA ne s'est pas contentée de passer le relais. Elle a ajouté quelques attentes spécifiques aux États-Unis que la norme ISO ne couvre pas entièrement :

• Documentation du dossier de plainte

• Enregistrement de l'identification unique des dispositifs (UDI)

• Contrôles de l'étiquetage et de l'emballage

• Définitions spécifiques liées à la législation américaine, telles que "sécurité et efficacité" par opposition à "sécurité et performance" de l'ISO.

En d'autres termes, vous ne pouvez pas simplement copier/coller votre certification ISO et vous en contenter. Mais si vous suivez déjà de près la norme ISO 13485, vous êtes probablement en bonne position.

La chronologie

Le QMSR entrera en vigueur le 2 février 2026. Les fabricants disposent donc d'environ deux ans pour préparer leurs systèmes à partir de la date de l'annonce. Certaines entreprises n'auront pas grand-chose à faire, en particulier celles qui sont déjà certifiées ISO 13485. D'autres, en particulier celles qui n'ont suivi que le QSR, devront y regarder de plus près.

Ce n'est pas le genre de mise à jour que vous pouvez repousser jusqu'à la dernière minute. Si votre système actuel est fortement adapté au 21 CFR 820, il est temps de procéder à une évaluation des lacunes et de voir ce qui doit être modifié.

Des changements sont également prévus en matière d'inspection

L'un des changements les plus méconnus du QMSR concerne le fonctionnement des inspections de FDA . En vertu de l'ancienne règle, les inspecteurs de FDA n'étaient pas autorisés à consulter les résultats des audits internes ou les dossiers de révision de la gestion. Cette disposition disparaît.

Une fois que le QMSR est entré en vigueur, ces documents deviennent des cibles de choix. Rien qu'en 2024, la FDA a envoyé 45 lettres d'avertissement concernant des dispositifs médicaux, dont 31 faisaient état de violations du règlement sur les systèmes de qualité. Les problèmes les plus fréquents sont les contrôles de conception (22 lettres), les CAPA (19) et les dossiers de réclamation (13). Il s'agit là d'un signal clair de l'attention portée par les régulateurs et d'un aperçu de la manière dont l'application de la réglementation se déroulera à l'avenir.

La FDA a également déclaré qu'elle s'éloignait de son modèle traditionnel d'inspection QSIT. Bien que les détails ne soient pas encore connus, les inspections s'aligneront probablement davantage sur la manière dont les audits ISO sont réalisés - moins axées sur les listes de contrôle et davantage sur les processus.

Pourquoi cela est important au-delà de la conformité

La principale raison de ce changement ? Réduire la charge qui pèse sur les fabricants qui vendent leurs produits sur plusieurs marchés. Jusqu'à présent, les entreprises américaines devaient maintenir un système pour la FDA et un autre pour le reste du monde. Cela se traduisait par des procédures redondantes, des audits supplémentaires, une plus grande complexité et, en fin de compte, des coûts plus élevés.

Grâce à ce changement, les fabricants peuvent rationaliser leurs activités. Vous serez en mesure de mettre en place un système de qualité - fondé sur la norme ISO 13485 - et de savoir qu'il répond aux attentes tant aux États-Unis qu'à l'étranger. Cela permet de gagner du temps, de réduire les risques et de tout simplifier, des audits des fournisseurs à la validation des logiciels.

Elle offre également aux entreprises une voie plus claire pour aller de l'avant. Au lieu d'analyser deux ensembles différents de terminologie et de structure, les équipes peuvent se concentrer sur la construction d'un système unique qui fonctionne partout.

Si vous avez déjà géré un CAPA dans une feuille de calcul, recherché un enregistrement de formation manquant la veille d'un audit ou essayé de reconstituer la traçabilité à partir de trois systèmes différents, vous connaissez les limites des processus de qualité manuels. Ils sont lents, fragiles et difficiles à adapter.

C'est là qu'une plateforme comme Tulip fait toute la différence. Elle ne se contente pas de numériser les formulaires. Elle donne à votre équipe les outils dont elle a besoin pour gérer les processus de qualité de la manière dont ils devraient fonctionner : en temps réel, avec une propriété claire, et sans que rien ne passe à travers les mailles du filet.

Les CAPA, le contrôle des documents et les pistes d'audit sont gérés automatiquement.

Dans Tulip, la gestion des CAPA peut être intégrée directement dans les applications qui guident votre équipe dans leurs flux de travail quotidiens. Les problèmes sont enregistrés, assignés, suivis et clôturés dans un flux structuré - avec des horodatages, des signatures et des champs obligatoires intégrés. Si quelque chose est oublié, le système peut le signaler avant qu'il ne devienne un problème plus important.

Il en va de même pour la gestion des documents. Vous pouvez contrôler les mises à jour, acheminer les approbations et conserver l'historique des versions au sein de la plateforme. Chaque modification est suivie, chaque accès est enregistré. Lorsqu'un auditeur demande qui a approuvé la dernière SOP et quand, la réponse est là en quelques secondes.

Formation et traçabilité, visibles en un coup d'œil

Vous n'avez plus besoin de conserver les dossiers de formation dans un classeur. Avec Tulip, vous pouvez suivre les personnes qui ont été formées, celles qui ont besoin d'une remise à niveau et celles qui ont pris connaissance des dernières mises à jour des procédures. Le système peut même bloquer l'accès à certains flux de travail jusqu'à ce qu'une personne ait suivi la formation requise.

Quant à la traçabilité ? Chaque fois qu'un opérateur interagit avec une application Tulip - scanne un code-barres, saisit une mesure, remplit une liste de contrôle - ces données sont enregistrées et liées. Vous pouvez retracer un produit jusqu'aux composants, aux numéros de lot, à l'équipement et aux personnes impliquées. Et vous pouvez le faire sans avoir à fouiller dans des piles de documents.

Apps qui couvrent le monde réel : plaintes, fournisseurs, audits

La bibliothèque d'applications deTulip comprend des applications prédéfinies pour les contrôles de qualité, les audits internes, les déviations, etc. Il ne s'agit pas de simples formulaires statiques. Il s'agit d'applications interactives qui guident votre équipe à travers chaque étape du processus, qui aident à renforcer la cohérence et qui permettent de tout stocker en un seul endroit.

Si une plainte d'un client atteint un certain seuil, elle peut déclencher automatiquement un CAPA. Si un fournisseur échoue à un contrôle de qualité, le système peut programmer un examen de suivi ou faire remonter l'information à la bonne personne. Vous ne vous contentez pas de collecter des données, vous les utilisez pour Amélioration continue votre Amélioration continue.

Conçu dans un souci de conformité

Tulip est certifié ISO 9001:2015 et est conçu pour soutenir les équipes travaillant dans des environnements GxP et réglementés. Cela inclut des signatures électroniques intégrées, des pistes d'audit, des contrôles d'accès et tout ce que vous attendez d'un système conçu pour résister à un examen minutieux.

Que vous vous prépariez à la certification ISO 13485, que vous devanciez les changements QMSR de la FDAou que vous soyez simplement fatigué de jongler avec trop d'outils déconnectés les uns des autres, Tulip vous offre un moyen pratique de tout regrouper, sans ajouter de complexité.

La décision de la FDAd'adopter la norme ISO 13485 n'est pas seulement un nouvel obstacle à la conformité. C'est l'occasion de simplifier.

Pendant des années, les équipes chargées de la qualité ont dû garder un pied dans la norme ISO, un pied dans la norme FDA et une pile de documents supplémentaires entre les deux.

Avec le QMSR, les fabricants peuvent enfin mettre en place un système qui satisfait les deux parties - et se concentrer davantage sur la fabrication de produits de qualité et moins sur la duplication de la paperasserie.

Si vous êtes déjà en conformité avec la norme ISO 13485, vous avez une longueur d'avance. Si ce n'est pas le cas, il est temps de vous pencher sérieusement sur la question. Attendre 2026, c'est se précipiter. Commencer maintenant, c'est construire une base plus solide, avec de meilleurs contrôles, une traçabilité plus claire et moins de surprises lors des inspections.

C'est là qu'interviennent des plateformes comme Tulip .

Tulip n'est pas seulement un logiciel, c'est aussi un moyen de moderniser la façon dont la qualité est assurée. Avec des applications pour la formation, les CAPA, les réclamations, les audits et bien plus encore, les équipes peuvent aller plus vite sans pour autant rogner sur les coûts. Vous obtenez la structure requise par la norme ISO 13485, avec la flexibilité nécessaire pour s'adapter à la croissance de vos opérations.

Les réglementations continueront d'évoluer. Les attentes ne cesseront de croître. La question est de savoir si vos systèmes sont conçus pour suivre le mouvement.

Tulip l'est, et il est conçu pour les équipes qui sont prêtes à considérer la qualité comme un atout, et non comme un obstacle.