Preuve de veille réglementaire en audit ISO 13485 : comment la documenter

C'est l'une des questions qui revient le plus souvent en audit ISO 13485 et en revue d'organisme notifié : « Comment surveillez-vous les évolutions réglementaires, et pouvez-vous le prouver ? ». Beaucoup d'équipes QARA font une veille réelle… mais peinent à en apporter la preuve documentée. Voici ce qu'attend un auditeur et comment structurer une traçabilité irréprochable.

Pourquoi la veille réglementaire est exigée par l'ISO 13485 et le MDR

La veille réglementaire n'est pas une bonne pratique optionnelle : elle est exigée à plusieurs niveaux.

• ISO 13485:2016 impose au système de management de la qualité de tenir compte des exigences réglementaires applicables (notamment §4.1, §4.2 et §7.2.3). Pour en tenir compte, encore faut-il les connaître à jour.
• Le MDR (Règlement UE 2017/745), article 10, exige un système de gestion de la qualité incluant la surveillance et la mise à jour réglementaire, ainsi qu'un système de surveillance après commercialisation alimenté par l'état de l'art.
• L'ISO 14971 (gestion des risques) suppose une évaluation de l'état de l'art, qui évolue avec les normes et guidances — donc une veille continue.

En clair : sans veille documentée, vous ne pouvez pas démontrer que votre SMQ est à jour.

Ce que l'auditeur veut réellement voir

Un auditeur ne se contente pas d'une affirmation orale. Il cherche des preuves objectives répondant à quatre questions :

1. Quelles sources surveillez-vous ? (ANSM, EMA, FDA, MDCG, normes ISO/IEC, organisme notifié…)
2. À quelle fréquence ? (quotidienne, hebdomadaire — et est-ce tenu ?)
3. Comment tracez-vous ce qui a été identifié, analysé et traité ?
4. Quelles actions ont découlé d'une évolution réglementaire (mise à jour d'un document, d'une analyse de risque, d'un dossier technique) ?

Les écueils classiques qui font échouer ce point en audit

• La veille existe mais n'est pas tracée : pas de registre, pas de date, pas de preuve qu'elle a été faite régulièrement.
• La veille est tracée mais sans suite : on note une évolution… sans démontrer l'analyse d'impact ni l'action corrective.
• Les sources sont incomplètes : surveiller uniquement l'ANSM alors qu'on commercialise aux États-Unis (FDA) ou qu'on dépend d'une guidance MDCG.
• La preuve repose sur une seule personne : si elle quitte l'entreprise, la traçabilité disparaît.

Comment construire une preuve de veille solide

Une preuve de veille robuste repose sur trois piliers :

1. Un périmètre de sources documenté

Listez explicitement les sources surveillées et justifiez leur pertinence par rapport à vos marchés et vos classes de dispositifs. Un tableau « source → fréquence → responsable » est un excellent point de départ.

2. Un registre horodaté

Chaque évolution identifiée doit être consignée avec sa date, sa source, son résumé, sa criticité et l'action décidée. C'est ce registre, horodaté, qui constitue la preuve versable au SMQ.

3. Une traçabilité de l'analyse d'impact

Pour les évolutions critiques, démontrez le lien avec une action concrète : révision d'une procédure, mise à jour du dossier technique, du plan de PMS/PMCF ou de l'analyse de risque.

Automatiser la preuve de veille

Constituer et maintenir cette traçabilité à la main représente 6 à 10 heures par mois — un temps rarement valorisé, et fragile.

VeilleMed QARA surveille en continu 18 sources officielles (ANSM, EMA, FDA, MDCG, RAPS…), analyse et classe chaque publication par criticité, et génère un export PDF horodaté directement versable à votre SMQ comme preuve de surveillance continue — exactement ce qu'un auditeur ISO 13485 attend.

Pour aller plus loin sur le sujet, consultez aussi notre guide Préparer un audit ISO 13485.

Démarrez votre essai gratuit 14 jours et générez votre première preuve de veille en quelques minutes.

Cet article est fourni à titre informatif et ne constitue pas un conseil réglementaire ou qualité.