4 Exigences générales 
- 4.1 Gérer les risques
- 4.2 Responsabilités de la direction
- 4.3 Compétence du personnel
- 4.4 Plan de gestion des risques
- 4.5 Dossier de gestion des risques
4.1 Gérer les risques
Exigences de l'ISO 14971, le processus Gérer les risques d'un dispositif médical
Exigences 1 à 11
Les exigences de l’ISO 14971 dans les paragraphes des articles 4 à 10 sont montrées dans la figure 4-1 :
Figure 4-1. Les exigences de l’ISO 14971
Ces exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) permettent les fabricants de DM à :
- identifier les dangers
- estimer et évaluer les risques
- maîtriser les risques et
- surveiller l’efficacité des moyens de maîtrise des risques mis en place
Le risque est l’affaire de tous
Intégrer la gestion du risque dans tous les processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) est un objectif clé.
Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) s’appliquent à toutes les étapes du cycle de vie des DM et aux risques associés à un DM comme :
- la biocompatibilité
- la sécurité des informations
- l’électricité
- les parties en mouvement
- le rayonnement
- l’utilisation normale
- la mauvaise utilisation raisonnablement prévisible, cf. § 5.2
Lorsqu'une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) est liée à une mesure de maîtrise des risques, elle devient une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de sécurité pour le dispositif médical.
Le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques d’un dispositif médical » et les articles de l’ISO 14971 sont montrés dans la figure 4-2, cf. annexe 04 : 
Figure 4-2. Gérer les risques d’un dispositif médical
La procédure « Gestion des risques des DM » permet de suivre les étapes essentielles, cf. annexe 09. 
Le « Support risque », sous format Excel, permet d’identifier, d’analyser, d’évaluer et de traiter les risques DM, cf. annexe 10.
Le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques DM » peut être aussi représenté de la manière suivante, (figure 4.3) :
Figure 4-3. Le processus gérer les risques DM
Comme nous allons le voir dans les chapitres suivants certains processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) incluent des activités ou sous-processus. Une description des activités du processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) sous forme de diagramme de flux est montrée dans l’annexe B.2, figure B.1 de l’ISO 14971 avec le détail des paragraphes concernés.
Le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques d’un DM » permet :
- d’identifier les dangers et les situations dangereuses qui peuvent en découler
- d’estimer et évaluer les risques
- de maîtriser les risques
- de surveiller l’efficacité des mesures de maîtrise des risques
Une liste de risques est proposée dans l’annexe 11.
Un responsable risque devrait toujours supposer que la liste des risques prise en compte, aussi vaste soit-elle, est incomplète. Douglas Hubbard
La gestion du risque est dynamique, itérative et réactive à tout changement.
Le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques d’un DM » inclut les éléments suivants :
- l’analyse du risque, cf. article 5
- l’évaluation du risque, cf. article 6
- la maîtrise des risques, cf. article 7
- les activités de production et de postproduction, cf. article 10
Le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Réaliser un DM » est décrit dans les paragraphes de l’article 7 de l’ISO 13485, cf. la formation F 22v16.
- la cartographie des processus contient assez de flèches pour bien montrer qui est le client (interne ou externe)
- la valeur ajoutée du processus est dévoilée pendant la revue de processus
- la liste des processus est à jour
- la finalité de chaque processus est clairement définie
- les exigences de la gestion des risques sont respectées à toutes les étapes du cycle de vie des DM
- l’ensemble du personnel connait les activités du processus « Gérer les risques d’un DM »
- certains éléments de sortie de processus ne sont pas correctement définis (clients non pris en compte)
- liste des processus non actualisée
- pilote de processus non formalisé
- des activités bien réelles ne sont identifiées dans aucun processus
- des exigences ne sont pas respectées à certaines étapes du cycle de vie des DM
- des personnes ne connaissent pas des activités essentielles du processus « Gérer les risques d’un DM »
4.2 Responsabilités de la direction
Engagement de la direction, politique risque, vérification de l'efficacité du processus Gérer les risques DM
Donnez la liberté, vous obtiendrez la responsabilité. Reed Hastings
L’engagement de la directiongroupe ou personnes chargés de la gestion au plus haut niveau de l'entreprise (voir aussi ISO 9000, 3.2.7) dans le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques d’un DM » consiste, entre autres, à assurer la disponibilité des ressources nécessaires et un personnel avec une compétence approfondie sur la gestion des risques.
La directiongroupe ou personnes chargés de la gestion au plus haut niveau de l'entreprise (voir aussi ISO 9000, 3.2.7) établit une politique risque (politique de gestion des risques), cf. annexe 12 afin de :
- fixer les critères d’acceptabilité du risque
- fournir un cadre garantissant la conformité des critères fixés avec les réglementations et normes applicables
- prendre en compte :
- l’état de l’art admis
- les préoccupations, besoins et souhaits des parties prenantes
La politique risque peut inclure :
- le domaine d’application
- les objectifs
- les principes
- les responsabilités
La politique est actualisée une fois par an.
Une possibilité pour les critères d’acceptabilité du risque est de choisir comme approche de réduction des risques, sans modifier le rapport bénéfice/risque, entre autant que :
- raisonnablement praticable
- raisonnablement atteignable
- possible
Le projet militaire Manhattan (création de la bombe atomique) avançait trop lentement. Le secret était de rigueur pour des raisons de sécurité et la nature même du projet était cachée à l’ensemble du personnel.
Pour passer à la vitesse supérieure le chef du projet Robert Oppenheimer décida d’informer tous les membres de l’équipe de la nature du projet, de son extrême urgence et de son importance cruciale sur la fin de la guerre. Une énergie insoupçonnable se dégagea, le travail avança à pas de géant.
Informer sur la mission, donner du sens au travail, faire confiance au personnel est un gage de réussite pour tout projet.
La directiongroupe ou personnes chargés de la gestion au plus haut niveau de l'entreprise (voir aussi ISO 9000, 3.2.7) et les auditeurs vérifient régulièrement l’efficacité du processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques d’un DM », cf. annexe 13. Toute décision prise ou action menée en relation avec le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) est documentée, cf. annexe 14.
Quand le fabricant a mis en place un système de management de la qualité, ce qui est presque toujours le cas, la vérification de l’efficacité du processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risque d’un DM » fait partie de la revue de directionexamen périodique réalisé par la direction du système de management pour son amélioration continue (voir aussi ISO 9000, 3.8.7).
- la politique risque prend en compte toutes les spécificités liées à la culture d’entreprise
- la direction vérifie régulièrement l’efficacité du processus « Gérer les risques d’un DM » au cours de la revue de direction
- la description de fonction du responsable risque inclut la sensibilisation du personnel aux différentes exigences
- la politique risque ne prend pas en compte toutes les spécificités liées à la culture d’entreprise
- la politique risque n’est pas à jour
- la politique risque n’est pas affichée en dehors du cabinet du directeur
- la direction ne vérifie pas régulièrement l’efficacité du processus « Gérer les risques d’un DM »éléments de sortie de processus ne sont pas correcteme
4.3 Compétence du personnel
Compétences du personnel, connaissances, expérience
Exigences 20 à 23
Pour réussir dans la vie, vous devez trouver un domaine, une compétence ou une chose que vous aimez faire et pour laquelle vous êtes naturellement doué. Bob Davids
Les personnes réalisant des activités liées au processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques d’un DM » sont compétentes grâce à :
- leur éducation
- leur formation
- leur expérience
- leurs connaissances
Ces personnes ont pour l’utilisation du DM :
- des connaissances pratiques sur :
- la construction du DM
- comment fonctionne le DM
- comment le DM est fabriqué
- comment le DM est utilisé
- l’application du processus « Gérer les risques d’un DM »
- de l’expérience convaincante
- une maîtrise des :
- technologies impliquées
- méthodes de gestion des risques
La directiongroupe ou personnes chargés de la gestion au plus haut niveau de l'entreprise (voir aussi ISO 9000, 3.2.7) attribue au responsable risque des responsabilités et autorités précises par rapport au processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques d’un DM », cf. annexe 15.
L’anecdote des 3 tailleurs de pierre en dit long. Interrogés sur leur travail :
- le premier répond qu’il taille des pierres pour gagner sa vie
- le deuxième qu’il essaye d’être le meilleur tailleur de pierre du pays
- tandis que le troisième répond qu’il construit une cathédrale
D’où les trois grands types de relation au travail :
- gagne-pain
- carrière
- vocation
Un enregistrement des compétences requises des personnes impliquées, y compris des experts et consultants, est tenu à jour (fiches personnelles).
Minute de détente. Cf. blague « Contrat en or ».
- les compétences pour chaque activité sont déterminées dans un fichier
- le recrutement est cohérent avec les décisions de la direction
- les descriptions de fonctions de tous les postes (y compris des cadres) sont accessibles sur le réseau
- le programme annuel de formation est actualisé au moins deux fois par an
- le dossier des formations de chaque salarié est protégé (restrictions d’accès)
- le programme annuel de formation n’est pas à jour (formations planifiées mais non dispensées)
- certaines descriptions de fonction sont inexistantes
- les compétences manquantes ne sont pas listées
- l’évaluation de l’efficacité des formations n’est pas pratiquée
- le niveau de risque des formations en fonction de leur impact sur la sécurité et les performances du dispositif médical n’est pas identifié
- certaines formations n’ont pas été évaluées ni en fin de session ni plus tard
- certaines compétences ne sont pas déterminées
4.4 Plan de gestion des risques
Activités incluses dans le plan de gestion des risques
Exigences 24 à 35
Les tuiles qui protègent de la pluie ont toutes été posées par beau temps. Proverbe chinois
Le plan de gestion des risques fait partie du dossier de gestion des risques, cf. § 4.5 et annexe 16.
L’alimentation électrique de la salle informatique doit être interrompue pour cause de travaux. C’est l’occasion de simuler une panne de courant. Le personnel est prévenu afin d’observer comment va se passer l’arrêt des serveurs.
Le jour planifié arrive : le courant est coupé et l’alimentation passe sur des onduleurs, qui assurent environ 50 minutes d’autonomie. Les opérateurs lancent les procédures d’arrêt des machines dans la salle informatique. Mais certaines machines se trouvent dans une armoire fermée à clé, ce qui n’était pas prévu ! On finit par trouver le trousseau de clés mais elles ne sont pas clairement identifiées, ce qui fait perdre du temps pour les essayer une à une. En fin de compte, il reste une machine dont l’accès est impossible : la clé d’armoire est trouvée mais pas la deuxième nécessaire pour activer le clavier ! La machine finit par s’arrêter, faute de courant, ce qui n’était pas prévu ! Or il s’avère que cette machine est justement jugée critique.
Conclusion : un petit oubli a failli tout faire échouer ! Concernant les machines critiques, il vaut mieux analyser à l’avance et dans le détail tous les problèmes potentiels.
Le plan permet, entre autres, de s’organiser, de rester objectif et de n’oublier aucun élément significatif.
Le plan de gestion des risques inclut au moins :
- le domaine d’application du DM, y compris les étapes du cycle de vie pour chaque élément du plan
- les responsabilités et autorités attribuées
- la revue des activités de gestion des risques, y compris celles de la direction
- les critères d’acceptabilité des risques pour chaque DM, selon les risques acceptables et aussi quand la vraisemblance d’apparition d’un dommage ne peut être estimée (seule la gravité du dommage est prise en compte)
- une méthode d’évaluation du risque résiduel global, cf. article 8
- les activités de vérification de l’application des mesures de maîtrise des risques et de l’efficacité de ces mesures
- les activités de collecte et de revue des retours d’information de la production et de la postproduction
L’annexe C de l’ISO/TR 24971 contient, entre autres, des exemples et recommandations sur la politique risque et les critères d’acceptabilité des risques.
Toute modification du plan de gestion des risques est enregistrée dans le dossier de gestion des risques, cf. § 4.5 et annexes 16 et 25.
- le plan de gestion des risques inclut toutes les étapes du cycle de vie des DM
- les critères d’acceptabilité de chaque DM sont justifiés
- les modifications du plan de gestion des risques sont enregistrées
- des étapes du cycle de vie des DM ne sont pas incluses dans le plan de gestion des risques
- des dispositifs périphériques sont inclus dans le plan sans raison
- des critères d’acceptabilité ne sont pas établis
- aucune méthode d’évaluation du risque résiduel global n’est utilisée
4.5 Dossier de gestion des risques
Documents inclus dans le dossier de gestion des risques
Exigences 36 à 40
Si ce n'est pas documenté, cela ne s'est pas produit. Milt Dentch
Pour chaque DM tout au long de son cycle de vie, le fabricant établit et tient à jour un dossier de gestion des risques, cf. annexe 17.
Les enregistrements inclus peuvent n’être que référencés, mais disponibles rapidement, si besoin.
Le dossier de gestion des risques permet de garder une traçabilité de chaque danger identifié par rapport à :
- l’analyse des risques
- l’évaluation du risque
- la mise en place et la vérification de l’efficacité des mesures de maîtrise
- les résultats de l’évaluation des risques résiduels
Pour cela chaque document est indexé (ou inclut un numéro de version).
Concernant les dispositifs médicaux qui incluent un logiciel, la norme IEC 62304 exige une traçabilité :
- du logiciel
- du test du système logiciel
- de la mesure de maîtrise des risques utilisée
Le dossier de gestion des risques inclut, entre autres :
- la fiche du processus Gérer le risque, cf. annexe 04
- la fiche du processus Surveiller après commercialisation, cf. annexe 05
- la fiche du processus Evaluer le rapport bénéfice/risque, cf. annexe 07
- la politique risque, cf. annexe 12
- les décisions et actions, cf. annexe 14
- le plan de gestion des risques, cf. annexe 16
- les activités d’analyse des risques, cf. annexe 18
- les activités d’évaluation du risque, cf. annexe 19
- les mesures de maîtrise, cf. annexe 21
- le rapport bénéfice/risque, cf. annexe 22
- la revue des mesures de maîtrise, cf. annexe 23
- la revue de la maîtrise complète, cf. annexe 24
- la documentation d’accompagnement, cf. annexe 25
- le rapport de gestion des risques, cf. annexe 26
- le plan SAC (surveillance après commercialisation), cf. annexe 27
- le rapport SAC (surveillance après commercialisation), cf. annexe 28
- la liste des informations collectées, cf. annexe 29
- la revue des informations collectées, cf. annexe 31
Toute activité incomplète du processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer les risques d’un DM » comme danger non identifié, risque non évalué ou mesure de maîtrise des risques inefficace peut entraîner un dommage important.
Le dossier de gestion des risques est disponible à l’ensemble du personnel.
- le dossier de gestion des risques de chaque DM est complet
- le dossier de gestion des risques de chaque DM est à jour
- le dossier de gestion des risques permet de consulter la traçabilité des dangers identifiés
- les dossiers de gestion des risques de certains DM ne sont pas complets
- les dossiers de gestion des risques de certains DM ne sont pas à jour
- la politique risque n’est pas incluse dans les dossiers de gestion des risques des DM
Le reste de la formation F 54v19 Gestion des risques DM est accessible sur cette page.