​ISO 14971 — Gestion des risques pour les dispositifs médicaux

Le processus de gestion des risques selon l'ISO 14971

• Analyse des risques : identification des utilisations prévues et prévisibles erronées, identification des caractéristiques de sécurité, identification des dangers et situations dangereuses.

• Évaluation des risques : estimation de la probabilité d'occurrence du dommage et de sa sévérité, décision sur l'acceptabilité du risque.

• Maîtrise des risques : réduction des risques par ordre de priorité — conception intrinsèque sûre, puis mesures de protection, puis information de sécurité.

• Évaluation des risques résiduels : vérification que les risques résiduels sont acceptables, évaluation du rapport bénéfice/risque global.

• Surveillance post-production : collecte et revue des informations post-marché pour mettre à jour l'analyse des risques en continu.

 

ISO 14971 et MDR : une exigence structurante

Le Règlement MDR 2017/745 consacre la gestion des risques comme principe fondamental (Annexe I — Exigences Générales de Sécurité et de Performance). L'ISO 14971 est la norme harmonisée permettant de présumer la conformité à ces exigences générales de sécurité.

Le dossier technique MDR doit inclure le dossier de gestion des risques complet : le plan de gestion des risques, le rapport d'analyse des risques, les preuves de maîtrise des risques et le rapport de gestion des risques synthétisant le jugement sur l'acceptabilité du rapport bénéfice/risque.

Un point clé de la version 2019 (ISO 14971:2019, en vigueur) : l'intégration explicite de la gestion des risques liés aux logiciels (en lien avec IEC 62304) et le renforcement des exigences sur l'évaluation du rapport bénéfice/risque global — qui doit désormais intégrer les bénéfices médicaux attendus face aux risques résiduels.

 

Les pièges classiques de la gestion des risques ISO 14971

Erreur n°1 : traiter la gestion des risques comme un exercice documentaire post-développement. L'ISO 14971 exige une intégration au processus de conception — les décisions de conception doivent être guidées par les résultats de l'analyse des risques, pas l'inverse.

Erreur n°2 : sous-estimer les risques liés à l'utilisation prévisible erronée (use error). L'ISO 14971 exige l'analyse des utilisations erronées prévisibles — pas uniquement les usages prévus. Pour les dispositifs en contact avec des patients non professionnels de santé, cet aspect est particulièrement critique et souvent traité superficiellement.

Erreur n°3 : ne pas maintenir le dossier de gestion des risques à jour après la mise sur le marché. La surveillance post-production est une exigence ISO 14971 : les données terrain (incidents, réclamations, données de littérature) doivent alimenter régulièrement la revue de l'analyse des risques.

 

Questions fréquentes sur l'ISO 14971

​

La gestion des risques ISO 14971 s'applique-t-elle aux logiciels médicaux (SaMD) ?

Oui, pleinement. Pour les logiciels médicaux, l'ISO 14971 se coordonne avec l'IEC 62304 (cycle de vie des logiciels médicaux) et la norme IEC 62366-1 (ingénierie de l'utilisabilité). L'analyse des risques logiciels couvre les risques liés aux anomalies du logiciel lui-même, aux interfaces et aux erreurs d'utilisation.

​

Quelle est la différence entre l'ISO 14971:2007 et l'ISO 14971:2019 ?

La version 2019 a renforcé plusieurs points : meilleure intégration de la surveillance post-production dans le processus de gestion des risques, exigences plus explicites sur l'évaluation du rapport bénéfice/risque global, alignement renforcé avec les exigences MDR/IVDR, et clarifications sur la gestion des risques dans la chaîne d'approvisionnement.

​

Faut-il quantifier les risques (probabilité numérique) dans le dossier ISO 14971 ?

Non. L'ISO 14971 n'impose pas de quantification probabiliste. Elle exige une estimation de la probabilité et de la sévérité, qui peut être qualitative (niveaux : négligeable, marginal, critique, catastrophique) ou semi-quantitative. L'important est que la méthode d'estimation soit documentée, justifiée et appliquée de manière cohérente.

​

Qui dans l'entreprise est responsable de la gestion des risques ISO 14971 ?

L'ISO 14971 ne désigne pas un responsable unique. En pratique, la gestion des risques est pilotée par le service QARA, avec une participation active des équipes R&D, Ingénierie et Affaires Cliniques. La direction doit approuver les politiques de risque et valider les jugements d'acceptabilité du risque global.

​

ISO 14971 et FMEA : quel lien ?

La FMEA (Failure Mode and Effects Analysis) est un outil d'analyse de risques, pas une norme. L'ISO 14971 ne prescrit pas l'utilisation de la FMEA mais c'est une méthode couramment utilisée pour structurer l'analyse des risques — particulièrement pour les risques de défaillance du produit ou du process de fabrication (PFMEA). D'autres méthodes (FTA, HAZOP) peuvent être utilisées en complément.