La FDA américaine a entamé l'année 2026 avec l'une des transformations réglementaires les plus importantes que l'industrie des dispositifs médicaux ait connues depuis des années. Avec la publication du programme de conformité (CP) 7382.850, l'agence a fondamentalement réécrit la manière dont les inspections sont menées, les risques sont évalués et les preuves sont évaluées.
Les inspections de la FDA ne sont plus des audits QSIT procéduraux. Il s'agit désormais d'examens réglementaires axés sur les risques, centrés sur le cycle de vie et alignés sur les normes ISO, avec une autorité juridique élargie. Cela signifie que les inspecteurs évalueront désormais les contrôles des risques du cycle de vie des produits de bout en bout, la cybersécurité, la conception et le développement, ainsi que les preuves réglementaires de manière globale, et non plus seulement la conformité aux procédures.
Effet net : les inspections deviennent plus approfondies, plus techniques, plus documentées et plus axées sur les risques, avec une autorité élargie de la FDA pour demander des enregistrements à distance et au cours de la pré-inspection, et une base juridique plus solide pour intensifier l'application de la loi.
Bienvenue dans la nouvelle ère des QMSR.
Au cœur de ce changement se trouve l'adoption par la FDA du Quality Management System Regulation (QMSR), qui intègre officiellement la norme ISO 13485:2016 dans la législation fédérale américaine. En pratique, cela signifie que les inspections de la FDA ressemblent désormais à des audits d'organismes notifiés, mais avec la force d'application d'un régulateur fédéral.
En vertu du CP 7382.850, les inspecteurs n'évaluent plus des sous-systèmes de qualité isolés. Ils examinent plutôt la manière dont le risque est contrôlé tout au long du cycle de vie total du produit (TPLC) - gestion du risque, cybersécurité, surveillance du cycle de vie de la PMA et preuves réglementaires en temps réel - plutôt que l'échantillonnage des sous-systèmes.
La logique d'inspection est ainsi repositionnée, passant de la vérification de la conformité à la preuve d'une gouvernance continue de la qualité.
1. De QSIT à QMSR: une refonte du cadre réglementaire
L'ancien programme de conformité (7382.845) était axé sur le 21 CFR Part 820 et les sous-systèmes QSIT, notamment les contrôles de conception, les CAPA et les contrôles des matériaux, de la production et des processus.
Le nouveau cadre 7382.850 est directement ancré dans la norme ISO 13485:2016 et met l'accent sur les points suivants
Le résultat ? Les inspecteurs de la FDA ne vont plus "échantillonner des sous-systèmes" - ils évaluent désormais la manière dont l'ensemble de votre système de qualité gère les risques, de la conception à la post-commercialisation. Les inspections de la FDA sont ainsi alignées sur la logique d'audit des organismes notifiés/MDSAP, ce qui rend les inspections plus axées sur les preuves, plus techniques et plus conformes aux normes ISO.
2. Une nouvelle structure d'inspection et un nouveau type d'inspection
L'ancien modèle utilisait une structure à plusieurs niveaux (abrégé, complet, pour cause). Désormais, la FDA déploie des types d'inspection explicitement liés au risque, à la classification des produits et à l'étape du cycle de vie :
Les fabricants de produits de classe III, de produits logiciels, de produits connectés et de produits PMA doivent s'attendre à davantage d'inspections approfondies. Les fabricants de produits PMA devront faire face à des inspections de routine post-commercialisation de la FDA, et pas seulement à des visites de pré-approbation, mais à une attention plus fréquente et plus intensive de la part de la FDA.
3. Une autorité juridique élargie: Enregistrements à distance et inspections virtuelles
Le changement le plus important est peut-être le fait que la FDA peut désormais demander des dossiers à distance, soit avant une inspection, soit à la place d'une inspection sur place, ce qui élève considérablement le niveau de conformité. Un refus, un retard ou une réponse inadéquate peut constituer une falsification au sens de la loi. En d'autres termes, l'état de préparation à l'inspection est désormais permanent :
4. La cybersécurité: Un domaine d'inspection à part entière
La cybersécurité, autrefois à peine mentionnée, est désormais un domaine d'évaluation dédié en vertu du CP 7382.850. Le §524B de la loi FD&C est appliqué, imposant des exigences de cybersécurité pour les dispositifs médicaux et garantissant qu'ils possèdent une "assurance raisonnable de cybersécurité" tout au long de leur cycle de vie. Il s'applique aux "cyberdispositifs", c'est-à-dire aux logiciels, aux dispositifs en réseau, aux IVD connectés au nuage et aux systèmes basés sur l'AI.
Ce changement tire l'informatique, DevOps et l'ingénierie logicielle directement dans l'arène de l'inspection, et pas seulement l'AQ/RA.
5. ISO 13485:2016 n'est plus une "meilleure pratique de l'industrie" - c'est une loi.
Les enquêteurs de la FDA citeront désormais les clauses ISO comme des exigences légales. Exemples:
Une "lacune ISO" est désormais une violation de la FDA. Si votre système ISO est faible, la FDA peut émettre des 483 en utilisant la logique ISO. Cela permet d'unifier les attentes réglementaires mondiales et d'éliminer toute séparation entre les systèmes de qualité ISO et la conformité à la FDA.
6. Intégration complète des inspections PMA
La surveillance de l'approbation préalable de mise sur le marché (PMA) est désormais entièrement intégrée au même programme que toutes les autres inspections. Elle ne fait plus l'objet d'un programme distinct (7383001). Il couvre les inspections préalables à l'approbation de la PMA et les inspections post-commercialisation de la PMA. La FDA surveille désormais les contrôles de conception, la cohérence de la fabrication et les performances post-commercialisation dans le cadre d'un même continuum. Cela peut déclencher des inspections post-commercialisation basées sur :
Cela crée un modèle d'application en boucle fermée dans lequel les signaux post-commercialisation peuvent automatiquement déclencher une nouvelle inspection.
7. Une stratégie d'inspection basée sur le risque mature
La FDA utilise désormais explicitement les signaux de risque - y compris les rappels, les tendances en matière de RMM, les nouvelles technologies, la complexité de la chaîne d'approvisionnement et les vulnérabilités en matière de cybersécurité - pour déterminer :
Il faut s'attendre à moins d'audits de routine et à davantage d'inspections ciblées, spécifiques à un produit ou à un risque.
8. Les exigences en matière de documentation et de preuves augmentent considérablement
Les inspecteurs s'attendent désormais à voir
Cela augmente le temps de préparation, alourdit la charge des équipes interfonctionnelles et nécessite une approche plus holistique de la documentation réglementaire, allant au-delà de la simple mise en place des procédures. Les entreprises dont l'intégration des risques, la gouvernance de la cybersécurité ou la surveillance après la mise sur le marché sont insuffisantes seront beaucoup plus exposées à des mesures d'application, y compris des inspections à distance et des voies d'escalade accélérées.
Dans l'ancien système, les inspections étaient procédurales, fondées sur des listes de contrôle, basées sur l'échantillonnage de sous-systèmes et centrées sur l'assurance qualité. Sous le régime 7382.850, elles deviennent :
Les inspecteurs suivront les signaux de risque tout au long du cycle de vie, y compris la conception, la fabrication, les réclamations, les rapports de développement de marché, les incidents de cybersécurité et les déclarations réglementaires, afin de repérer les défaillances et les alertes de cybersécurité et d'évaluer si une entreprise maintient une gouvernance continue de la qualité.
Les équipes de direction, d'informatique, d'ingénierie et de réglementation sont désormais en première ligne lors des inspections de la FDA. La qualité n'est plus confinée à l'assurance qualité ; elle relève de la responsabilité de l'entreprise.
Le paragraphe 7382.850 transforme les inspections de la FDA en quelque chose de beaucoup plus proche d'un audit d'organisme notifié de l'UE, mais avec l'autorité légale de mise en œuvre de la FDA. Il ne s'agit plus de "passer une inspection". Il s'agit de démontrer une gouvernance de la qualité continue, documentée et basée sur les risques.
Les entreprises qui seront les plus touchées:
Le CP 7382.850 n'est pas une mise à jour progressive ; il s'agit d'une réinitialisation complète de la réglementation. Les inspections de la FDA, c'est maintenant :
Les fabricants qui modernisent leurs systèmes de qualité, intègrent les risques tout au long du cycle de vie et adoptent des pratiques solides en matière de cybersécurité et de documentation s'adapteront sans problème. Ceux qui ne le font pas seront confrontés à des inspections plus approfondies, à une mise en œuvre plus rapide et à un risque réglementaire nettement plus élevé.
Tableau récapitulatif : Anciens et nouveaux modèles d'inspection
|
Domaine |
7382.845 (ancien) |
7382.850 (nouveau) |
Impact sur le terrain |
|
Modèle réglementaire |
QSR (21 CFR 820) |
QMSR (loi ISO 13485) |
Lacunes ISO = violations FDA |
|
Style d'inspection |
Échantillonnage de sous-systèmes |
Évaluation des risques liés au cycle de vie |
Audits techniques plus approfondis |
|
PMA |
Programme distinct |
Complètement intégré |
Surveillance continue |
|
Cybersécurité |
Non abordée |
Section dédiée |
L'informatique et les logiciels sont désormais inspectés |
|
Autorité |
Inspections sur place |
Autorité d'enregistrement à distance |
Possibilité d'inspections virtuelles |
|
Stratégie en matière de risques |
Fondée sur le risque général |
Ciblage fondé sur des signaux |
Davantage de visites motivées |
|
Application de la loi |
Escalade traditionnelle |
Falsification pour obstruction |
Risque juridique plus élevé |