Les mesures de restrictions de voyage et la nécessité de maintenir les programmes de certification réglementaires imposent de trouver les méthodes alternatives d’évaluation de la conformité des systèmes de management de la qualité (SMQ) par les organismes de certification. Les audits à distance sont une des mesures extraordinaires et temporaires décrites dans les guides publiés pour les programmes de certification règlementaires liés au marquage CE et au MDSAP. Il est nécessaire de se préparer à cet exercice d’audit à distance afin de s’assurer que tous les facteurs permettant de communiquer sans équivoque les éléments de preuve de conformité sont réunis.

 

1 – Le contexte 2020 des audits à distance – Union Européenne et MDSAP

Le guide MDCG 2020-4 (voir référence 1) précise les mesures à suivre par les organismes notifiés pour poursuivre leurs activités d’évaluation dans un contexte sanitaire où les déplacements sont extrêmement réduits. Les mesures alternatives aux audits sur site, qui peuvent être définies par l’organisme notifié au cas par cas selon une méthode basée sur le risque, sont listées : reporter les audits de surveillance, réaliser des audits à distance, procéder à des évaluations documentaires hors site (sur table), tenir compte des résultats récents des audits du MDSAP (ou d’autres type d’audits appropriés). Les dispositions du guide, dans le cadre de la certification selon les 3 Directives, sont applicables pour remplacer des audits de surveillance, de renouvellement, ainsi que ceux liés à une modification ou ceux liés à un transfert d’organisme notifié. Dans des cas exceptionnels (difficulté d’approvisionnement de dispositifs médicaux nécessaires au maintien de la sécurité sanitaire), les mêmes principes pourraient être appliqués, à l’appréciation de l’organisme notifié, en remplacement d’audits initiaux ou d’extension, inopinés ou pour une cause particulière ; voire pour des audits selon les 2 Règlements.

La note d’information 2020-5 publiée par le MDSAP Regulatory Authority Council précise des dispositions de même nature dans le contexte de ce programme de certification international (Voir référence 2). On peut toutefois noter des différences d’approche. D’une part parce que les consignes à l’attention des auditing organisations limitent les audits à distance au cas des audits de surveillance et de renouvellement. D’autre part car la période de validité des certificats MDSAP renouvelés par le biais d’un audit à distance ne pourra pas excéder 6 mois.

Pour les 2 programmes, les organismes tierce partie doivent établir des procédures décrivant les exigences en matière de technologies ou d’outils d’information et de communication nécessaires à la réalisation de des audits à distance ainsi que la documentation à préparer (par exemple, plan d’audit, rapport d’audit, …). Ces dispositions doivent tenir compte de la nécessité d’ajuster la durée de l’audit en fonction de l’efficacité du media de communication.

A l’issue de la période exceptionnelle de confinement généralisé, les organismes tierce partie doivent revoir et ajuster le programme d’audit pour chaque fabricant afin de s’assurer que tous les éléments requis seront évalués pendant le cycle de certification. Les audits de renouvellement réalisés à distance devront être complétés par un audit sur site dans des délais appropriés à chaque programme.

Pour information, le guide IAF ID3 (voir référence 3) décrit l’approche reconnue sur le plan international pour la gestion des événements ou circonstances extraordinaires affectant entre autres les organismes de certification et les entreprises certifiées.

 

2 – Préparation et réussite d’un audit à distance

a) Programme d’audit – Objectifs des audits

Pour inédite qu’elle soit dans de telles proportions, la pratique de l’audit à distance n’est pas une pratique dégradée de l’activité d’audit sur site. Elle est d’ailleurs évoquée, en tant que méthode d’évaluation dans la norme ISO/IEC 17021-1:2015 (voir référence 4) qui fixe les exigences auxquelles doivent se conformer les organismes de certification.

Dans le contexte actuel, le programme d’audit doit être ajusté pour chaque entreprise certifiée et doit permettre sur la durée du cycle de certification de couvrir l’ensemble des exigences relatives au système de management de la qualité. Il est d’autant plus important pour les organismes notifiés ou les auditing organisations de maintenir le programme d’audit que les restrictions de déplacement peuvent avoir des impacts sur la conformité des dispositifs médicaux, (moins de personnels qualifiés au sein des entreprises et de leurs sous-traitants, cadences de production accrues ou réduites).

Pour l’organisme de certification, les objectifs de l’audit restent de même nature que ceux d’un audit sur site. Par exemple, un organisme notifié doit évaluer le système de management de la qualité mis en place par un fabricant et déterminer si, dans le cadre du périmètre de l’audit, ce système est conforme aux exigences règlementaires européennes.

Les méthodes et procédures utilisées pour conduire l’audit sur la base d’un échantillonnage restent également identiques (entretien avec l’audité, analyse de documents et d’enregistrements, observation d’activité, recueil de preuves d’audit, établissements de constat d’audit dont les non-conformités).

 

b) Planification – préparation

L’enjeu est critique : maintenir voire renouveler le(s) certificat(s) permettant de poursuivre la mise sur le marché de dispositifs médicaux. Il est impératif de prendre plus de temps que d’ordinaire, et de solliciter d’autres fonctions de l’entreprise, pour accompagner l’organisme notifié ou l’auditing organisation dans la planification de l’audit à distance et pour se préparer en interne.

Dans le cadre des prescriptions du guide MDCG 2020-4, préalablement à l’audit à distance, en plus des dispositions usuelles, l’organisme notifié va indiquer quelle est la documentation requise qui devra être partagée avant et pendant l’audit. Il sera également demandé de confirmer que les technologies ou outils d’information et de communication requis seront disponibles. Il faut pouvoir apporter une réponse précise qui tiendra compte de la possibilité, s’il y a plusieurs auditeurs, d’ouvrir simultanément plusieurs webconférences.

En fonction des modalités de gestion documentaire du SMQ, les échanges d’information pendant l’audit peuvent conduire à numériser en direct des informations enregistrées sous format papier pour les besoins de l’audit (ex : choix d’un dossier de lot partiellement manuscrit conservé non numérisé). Il faut préparer cette éventualité.

A la réception du plan d’audit, il faut définir précisément quel interlocuteur au sein de l’entreprise devra être disponible pour répondre et fournir les données via les moyens électroniques définis selon les sujets abordés. Les équipes doivent être mobilisées de la même manière que si les auditeurs étaient dans une salle de l’entreprise.

Si, lors de la réception du plan d’audit, des obstacles sont identifiés, il ne faut pas hésiter à contacter le responsable d’audit sans délai afin de déterminer les solutions fonctionnelles alternatives qui permettront d’atteindre les objectifs de l’audit. Si, nécessaire le plan d’audit pourra être adapté.

L’équipe d’audit peut demander à recevoir des plans simplifiés du site pour comprendre l’infrastructure et les flux de production.

Enfin, des adaptations d’horaires doivent être prévues si les participants à l’audit à distance ne sont pas tous sous le même fuseau horaire.

 

c) Outils technologiques

Une procédure qui identifie les moyens et les consignes pour permettre les audits à distance est à mettre en place. La capacité technologique à garantir la réalisation d’un audit à distance sera vérifiée par l’organisme notifié avant l’audit. Il faut envisager un système de webconférence sécurisée avec un accès internet sécurisé dont le débit est suffisant, permettant un partage fluide et sécurisé de l’information avec l’équipe d’audit. Certains organismes de certification expérimentent également l’utilisation de webcaméras pour les audits des lignes de production. La confidentialité des aspects liés à la propriété intellectuelle ou aux données personnelles doit être préservée. Le guide IAF MD 4 (cf référence 5) donne des indications supplémentaires.

Il faut prévoir de mobiliser une équipe qui sera prête à résoudre immédiatement toute difficulté informatique lors des échanges. Car si la technique « lâche »…l’audit s’arrête.

 

d) Bonnes pratiques de communication à distance

L’entreprise, qui est avertie des pratiques d’audit sur site, doit se préparer de manière différente pour l’audit à distance. Et c’est un challenge pour l’équipe d’audit également. En effet, en termes de communication, même lors d’une vidéoconférence, il faut tenir compte du fait que seuls les éléments verbaux et vocaux seront facilement perceptibles. Ne pas avoir directement accès aux attitudes, aux gestes, aux regards, aux postures nous prive d’environ 60% de ce qui est capté dans un échange ordinaire. Ceci est d’autant plus vrai si la langue de l’audit n’est pas la langue usuelle de l’entreprise. Il convient donc de mettre l’accent sur tous les moyens qui permettent de fluidifier les échanges. En premier lieu, il est très important de définir quelle personne de l’entreprise sera le «guide», c’est-à-dire la personne qui va contribuer à faciliter l’audit en assistant l’équipe d’audit tout au long de l’audit. Le guide s’assurera qu’en tout temps les différents interlocuteurs sont bien identifiés par leur nom et leur fonction. Le guide pourra reformuler les questions de l’équipe d’audit et s’assurer qu’à l’inverse, les réponses apportées par l’entreprise ont été bien comprises. Il est conseillé de fréquemment vérifier si l’équipe d’audit considère que les modalités de transmission des données lui permettent de réaliser sa mission correctement. Il faudra également exprimer en temps réel toute difficulté rencontrée par les audités. On aura avantage dans ce type de situation à proposer une solution pour poursuivre l’audit dans des conditions compatibles avec les objectifs de l’audit.

Pour l’ensemble des personnes autour des écrans, cette écoute active demande beaucoup d’énergie. Il est sans doute préférable de prévoir plus de pauses que lors d’un audit sur site. Il est à noter qu’il est demandé aux organismes de certification de prévoit des durées d’audit adaptées à ces circonstances.

Le guide veillera à la courtoisie d’usage en webconférence (information sur les coupures de micro et sur l’utilisation de la fonction d’enregistrement).

 

e) Déroulement de l’audit

Durant l’audit à distance, l’équipe d’audit procède à des entretiens avec les personnels et à des revues guidées de documents et d’enregistrements, qu’elle aura sélectionnés, avec des partages d’écran ou de fichiers. Il faut rendre possible le processus d’échantillonnage et de sélection de données. Certains processus et activités du SMQ sont facilement auditables à distance, comme la maîtrise des sous-traitants, les actions correctives et préventives, la revue de direction, les audits internes, des dossiers de validation. Néanmoins, si cela est prévu au plan d’audit, les auditeurs peuvent demander qu’une personne de l’entreprise se déplace au sein du site avec une caméra (téléphone, tablette, etc…). Cela permet l’observation directes des processus et des activités.

Il est possible également que les différents auditeurs, qui ne sont pas au même endroit, souhaitent des temps d’échange entre eux ou du temps pour examiner un document particulier. Cela pourra être suivi dans ce cas d’une phase de questions à l’audité.

 

Dans le contexte de la certification règlementaire, le maintien voire le renouvellement du certificat permettant de poursuivre la mise sur le marché de dispositifs médicaux est l’enjeu fort lié au bon déroulement d’un audit à distance.  Il est donc recommandé d’identifier et d’allouer le temps et les ressources nécessaires à la préparation de ce type d’audit dont l’objectif reste de vérifier la conformité du SMQ. Il est également nécessaire d’adapter des méthodes de communication lors de l’audit lui-même afin d’assurer une bonne compréhension avec l’équipe d’audit permettant de lui apporter tous les éléments de preuve de conformité disponibles. Enfin, les moyens de maîtrise de la sûreté des données échangées électroniquement doivent être définis et mis en œuvre.

L’audit à distance du SMQ, qui était jusqu’alors une pratique limitée à quelques cas précis, se développe du fait des mesures de quarantaine et des restrictions de voyage. Le thésaurus d’expérience qui va se construire dans ces circonstances va très probablement servir de base pour envisager une utilisation plus fréquente de ce mode d’évaluation de conformité, en augmentant sa fiabilité. Ils pourraient être envisagés comme un moyen complémentaire utilisés par les organismes de certification en fonction des degrés de liberté donnés par les programmes de certification. Il conviendra d’étudier ce qu’autorise le texte des règlements (EU) 2017/745 et 746 dans le cadre du marquage CE. Les audits à distance pourraient aussi se développer pour les évaluations menées dans le cadre de la maîtrise de la sous-traitance (audits seconde partie) ou des audits internes.

nexialist développe des méthodes pour mener à bien des audits à distance dans le cadre de ses activités d’audit internes.

Cliquez ici pour une synthèse de l’article afin de mieux vous aider. 

 

Rédactrice :

Corinne Delorme – Directrice Intelligence Réglementaire 

 

Références

  1. EU Medical Device Coordination Group (MDCG). Guidance 2020-4 on temporary extraordinary measures related to medical device Notified Body audits during COVID-19 quarantine orders and travel restrictions
  2. MDSAP Regulatory Authority Council Transmittal 2020-05 on Temporary Extraordinary Measures Related to MDSAP Audits During COVID-19 Quarantine Orders and Travel Restrictions. Remote Audits
  3. ID3:2011 (IAF Informative Document For Management of Extraordinary Events or Circumstances Affecting ABs, CABs and Certified Organizations)
  4. International Organization for Standardization (ISO). Guidelines for Auditing Management Systems. ISO 19011:2018
  5. IAF MD 4 (Mandatory Document for the Use of Information and Communication Technology (ICT) for Auditing/Assessment Purposes)