Conseils et application : réussir son audit de conformité

Interview : retour d’un auditeur indépendant sur l’exercice de l’audit de conformité

Date de publication
23/09/2025

L’audit de conformité est une étape structurante dans la vie d’un dispositif médical : qu’il s’agisse d’une certification initiale, d’un audit de surveillance ou de recertification, il conditionne l’accès au marché et le maintien du marquage CE. Pourtant, cet exercice peut susciter appréhension et confusion chez les équipes projet. Dans cet article, nous partageons des conseils pratiques pour aborder sereinement un audit de conformité, accompagnés du retour d’expérience d’un auditeur indépendant, qui livre son regard sur les attentes des auditeurs, les erreurs récurrentes à éviter et les bonnes pratiques à adopter pour transformer cette échéance en levier de progrès.

Comprendre les définitions essentielles : ce que les auditeurs évaluent

Avant même de se préparer à un audit, il est important de maîtriser les notions fondamentales qui structurent l’évaluation de conformité. Trois types de constats peuvent être relevés au cours d’un audit. Chacun appelant une réponse et un degré d’action différent.

Non-conformité : il s’agit du non-respect d’une exigence spécifiée, qu’elle soit issue d’un référentiel externe (comme les règlements MDR/IVDR, ISO 13485, ou 21 CFR part 820 pour les États-Unis), ou d’une exigence interne définie dans le propre Système de Management de la Qualité (SMQ) de l’entreprise. Une non-conformité constitue une déviation documentée, qui entraîne des corrections immédiates et peut nécessiter des actions correctives selon son niveau de gravité.
Point sensible : c’est une situation qui, sans enfreindre directement une exigence, présente un risque de dérive. Cela peut concerner un processus fragilisé, un manque de robustesse documentaire ou organisationnelle. Ce type de constat peut appeler à des actions préventives, afin d’éviter qu’il ne se transforme en non-conformité à l’avenir.
Piste d’amélioration / opportunité : il ne s’agit pas d’une obligation mais d’un levier d’optimisation. Ce sont des recommandations basées sur les bonnes pratiques ou l’expérience de l’auditeur. Elles peuvent viser une meilleure traçabilité, une efficacité renforcée ou un pilotage plus précis du SMQ. Ces points relèvent de l’amélioration continue, pilier central de toute démarche qualité structurée.

Les enjeux d’un audit

Un audit de conformité est un outil stratégique pour sécuriser la commercialisation du produit et pour garantir que l’entreprise est prête à répondre aux exigences des autorités compétentes, des clients et des partenaires.

Au-delà de la validation formelle, l’audit représente une opportunité de recul critique sur l’organisation, un moment privilégié pour identifier ce qui fonctionne, ce qui est perfectible, et ce qui peut générer des risques sur le long terme. Il ne s’agit pas d’un examen figé dans le temps, mais d’un processus vivant, qui doit s’inscrire dans une dynamique d’apprentissage et de renforcement continu.

Par ailleurs, chaque audit est spécifique. Il dépend du périmètre audité, du stade de développement du produit, des dispositifs en place, du référentiel applicable, et même du choix de l’Organisme Notifié. Par exemple, certaines exigences peuvent varier selon l’organisme choisi, ou selon la stratégie documentaire de l’entreprise (rationalisation du SMQ, approche modulaire, documentation centralisée ou distribuée…).

Préparer un audit, c’est donc savoir aligner les exigences avec sa réalité opérationnelle : ni trop, ni pas assez. C’est aussi l’occasion de faire de la pédagogie en interne, de renforcer la transversalité entre les équipes, et de s’assurer que les processus documentés sont réellement maîtrisés sur le terrain.

Gérer l’audit le jour J

Rester serein et professionnel :
L’auditeur n’est pas un adversaire. Son rôle est de vérifier la conformité et de garantir la sécurité des dispositifs, dans l’intérêt des patients, des utilisateurs… et de votre entreprise. L’audit est un exercice de dialogue. Il faut poser des questions si besoin.

Gérer la communication interne pendant l’audit
La gestion interne de l’audit est aussi déterminante que les documents présentés. Assurez-vous que les interlocuteurs mobilisés sont bien préparés : ils doivent connaître leurs processus, savoir où trouver les preuves de conformité, et être capables d’expliquer leurs pratiques avec clarté.

Il est conseillé de désigner un pilote de la communication qui accompagne l’auditeur tout au long de la journée, prend note des remarques, coordonne les réponses et relaie les demandes d’informations complémentaires. Cela évite les confusions ou les incohérences entre les intervenants.

Réagir aux non-conformités pendant l’audit :
Si l’auditeur identifie une non-conformité pendant la journée, tout n’est pas figé. La phase d’échange en direct est souvent une opportunité pour clarifier un malentendu, contextualiser un écart, ou fournir une preuve complémentaire qui n’avait pas été identifiée immédiatement.

Une attitude ouverte, respectueuse mais proactive peut permettre d’éviter qu’un point sensible ne se transforme en non-conformité. Restez dans une posture factuelle : ni défensive, ni désinvolte.

Traiter les constats après l’audit
Une fois le rapport d’audit reçu, prenez le temps de l’analyser en profondeur. Comment les non-conformités sont-elles formulées ? Quels critères de conformité sont invoqués ? Parfois, une reformulation ambiguë peut être levée en sollicitant un échange complémentaire avec l’auditeur ou en apportant des éléments nouveaux qui permettront de reclasser le constat.

La rédaction des réponses est une étape stratégique. Il faut démontrer :

Une compréhension claire de la problématique,
Une analyse des causes profonde (pas seulement le symptôme),
Des actions correctives ou préventives proportionnées,
Une mise en œuvre réaliste, avec des preuves et un plan de suivi.
Évitez deux écueils fréquents :
Minimiser l’enjeu ou proposer des réponses superficielles.
Créer des “usines à gaz” irréalistes ou disproportionnées, qui fragiliseront votre organisation au lieu de la renforcer.

L’objectif est de montrer votre capacité à piloter la qualité de manière responsable, rigoureuse et agile, en phase avec la culture d’amélioration continue attendue dans le secteur des dispositifs médicaux.

Interview : retour de Laurent Nobilé, un de nos homologues, auditeur indépendant, sur l’exercice de l’audit de conformité

Contexte de l’audit

Pourquoi considérez-vous l’audit comme un “exercice structurant” pour une entreprise de dispositifs médicaux ?

LN : Parce que cela apporte un regard extérieur sur l’organisation, le système, les pratiques, le produit. C’est aussi par cette étape que l’on valide tout ce qui précède en corrigeant plus ou moins le tir en fonction des résultats de l’audit.

Pouvez-vous présenter brièvement les principales parties prenantes qui interviennent dans ce processus (organisme notifié, auditeur, équipe du fabricant) et leur rôle respectif ?

LN : L’organisme notifié engage sa responsabilité sur les certificats qu’il délivre et les produits qu’il autorise à mettre sur le marché ou non. Il doit être sûr de lui par rapport ce qu’il valide.

L’auditeur peut être employé par l’organisme notifié comme externe mandaté par lui. Il doit suivre les directives de son ON mais conserve une part de libre-arbitre. Il engage aussi sa responsabilité sur ses prises de positions. Il n’a pas le droit de délivrer de conseils. Il doit suivre ses grilles d’évaluations, couvrir tout le périmètre d’audit défini et respecter le plan d’audit. Il doit avoir confiance dans ce qu’il valide, mais avant tout s’appuyer sur des preuves.

Le fabricant et ses équipes doivent rendre compte de leur travail, expliquer et justifier leurs approches, être ouverts aux remarques et transparents dans les échanges, sans forcément « donner le bâton pour se faire battre ».

Comprendre les termes clés et définitions essentielles

Comment distinguez-vous une non-conformité “mineure” d’une non-conformité “majeure” ?

LN : Les organismes notifiés ont leurs critères pour classer une non-conformité en mineure ou majeure.

Typiquement les non-conformités majeures sont celles ayant un impact potentiel ou avéré sur le patient, sur la performance et la sécurité du produit, mais aussi des non-conformités mineures qui sont récurrentes, ou encore des non-conformités réglementaires.

Les non-conformités mineures sont les autres, ou avec des éléments qui viennent minorer les risques associés à une non-conformité majeure.

Quelle est la différence entre une non-conformité spécifiée et un point d’amélioration ?

LN : Non-conformité : non-respect d’une exigence spécifiée (21CFR part 820), ce qui est obligatoire par rapport à des réglementations ou normes applicables, ou par rapport à des exigences définies dans son propre SMQ.

Opportunité/piste/point d’amélioration : ce qui relève plus des bonnes pratiques, de l’amélioration continue, de l’efficacité, non obligatoire sur le principe.

À quel moment peut-on parler de “risque de non-conformité” et pourquoi est-ce important de le considérer en amont ?

LN : Qui dit « non-conformité » dit « trop tard », l’incident est survenu ou la faille est dans le système, ce qui veut aussi dire qu’un incident peut être survenu sans avoir été détecté. Traiter un risque de non-conformité c’est colmater une brèche ou une faiblesse dans la coque avant qu’il n’y ait une voie d’eau et qu’il faille écoper.

En quoi est-il utile de faire la distinction entre les obligations réglementaires strictes et les “bonnes pratiques” non obligatoires ?

LN : Cette distinction vise avant tout à rationaliser un SMQ. On peut toujours en faire plus, mais les ressources n’étant jamais infinies, surtout dans certaines structures, il faut prioriser. Mais les bonnes pratiques restent indispensables car dans la pratique précisément, les obligations réglementaires ne suffisent pas à avoir l’assurance de la qualité. Les bonnes pratiques c’est aussi le bon sens, l’opérationnel, le concret de la vie d’un SMQ.

Les enjeux d’un audit

En quoi l’audit favorise-t-il l’amélioration continue d’un Système de Management de la Qualité (SMQ) ?

LN : Parce que l’on conçoit un SMQ selon une logique, une vision et une interprétation des exigences revendiquées qui nous sont propres. On le conçoit et on le fait fonctionner aussi avec les moyens dont on dispose. L’audit apporte avant tout le regard externe et normalement objectif de l’auditeur, qui a néanmoins ses propres interprétations des textes ou celles établies par l’organisation qu’il représente (Organisme Notifié). L’audit permet également de révéler un potentiel manque de ressources. Pour ces raisons, il favorise l’amélioration d’un SMQ.

Quels sont les principaux risques pour une entreprise qui ne prendrait pas l’audit au sérieux ?

LN : Le risque principal est la sanction, pas de certification ou pas de marquage CE, donc pas de commercialisation du produit et pas de profit. L’audit par un Organisme Notifié est un examen qu’il faut réussir, au-delà d’être structurant et un facteur d’amélioration.

Pouvez-vous partager des exemples de statistiques ou de tendances sur le nombre moyen de non-conformités retrouvées lors d’audits ?

LN : C’est très variable. Le zéro non-conformité n’est pas un mythe, le 15 ou 20 non-conformités n’est pas forcément rédhibitoire. Cela dépend déjà de la durée de l’audit, statistiquement on a 4 fois plus de risques de non-conformités en 4 jours plutôt qu’en un seul. De la même manière, un SMQ récent peut être davantage sujet à amélioration qu’un SMQ ayant tourné pendant plusieurs années, mais il aura en parallèle généré moins d’enregistrements, donc moins de risques de non-conformités.

Pourquoi insistez-vous sur l’unicité de chaque audit et le fait qu’il soit propre à chaque entreprise ?

LN : Malgré tous les efforts d’objectivité d’un auditeur, il y aura forcément une part de variabilité d’interprétation. Un audit, c’est un SMQ ou dossier technique particulier évalué par un auditeur particulier. Sans compter qu’à la base, chaque typologie de fabricant et donc de SMQ et chaque typologie de dispositif médical est propre, pour des exigences réglementaires et normatives se voulant universelles.

Pour autant, si les auditeurs suivent bien une démarche systématique selon par exemple une grille d’évaluation, ils sont censés détecter globalement les mêmes non-conformités. D’où une des utilités des audits internes qui permettent d’avoir un coup d’avance sur l’audit de l’organisme notifié.

Déroulement type d’un audit

Comment se déroule la phase de pré-audit et de planification ? Qu’est-ce qui doit être anticipé en priorité ?

LN : Que tout le monde soit sur le pont, que chacun se sente concerné. Que les dossiers soient le plus à jour possible.

Il s’agit d’avoir bien identifié ses points faibles et les arguments associés pour se «défendre» et d’avoir préparé des exemples d’application à montrer à l’auditeur.

Pouvez-vous décrire les différentes étapes “Jour J” (réunion d’ouverture, entretiens, échantillonnage documentaire, présentation des constats) ?

LN : La réunion d’ouverture, au-delà de son formalisme pour énoncer le contexte et les objectifs de l’audit et d’effectuer la présentation des parties prenantes, doit instaurer un climat cordial et détendu. Il convient que toutes les personnes clés concernées par l’audit et au moins un représentant de la direction soient présents.
L’auditeur déroule son audit suivant le plan établi même si des adaptations restent toujours possibles.

Il convient de laisser chaque collaborateur rendre compte directement de ses activités à l’auditeur, mais de lui apporter le soutien nécessaire en tant que responsable de service ou responsable qualité.

L’auditeur viendra piocher les éléments de preuve dont il a besoin pour valider que chaque processus est conforme aux critères de l’audit.

Au fil de l’audit l’auditeur pourra énoncer les points problématiques, sans les qualifier précisément (non-conformité, majeure ou mineure, piste d’amélioration…) ou n’en fera la restitution qu’à la fin de chaque journée d’audit.

En fin d’audit, l’auditeur prendra un temps seul au calme pour reprendre ses notes et préparer la réunion de clôture.

Que se passe-t-il lors de la réunion de clôture ? Quel est le niveau de détail attendu dans la présentation des constats ?

LN : Lors de la réunion de clôture, l’auditeur effectue un bilan global de l’audit et énumère l’ensemble de ses constats d’audit (non-conformités, remarques, points positifs éventuellement). Comme à la réunion d’ouverture, il convient que toutes les personnes clés concernées par l’audit et au moins un représentant de la direction soient présents.

Comment se déroule un audit ISO13485 ?

Pour comprendre le déroulement d'un audit spécifique au Sytème de Management de la Qualité, consultez la fiche mémo dédiée

Consulter

Clés pratiques pour bien se préparer et anticiper

Comment recommandez-vous d’organiser les audits internes pour qu’ils soient vraiment profitables ?

LN : Il faut aborder les audits internes avec la plus grande ouverture, tout mettre sur la table, pour sécuriser ou désamorcer tout ce qui peut l’être avant les audits de certification. Que chaque pilote de processus participe et soit directement interrogé par l’auditeur, pour se mettre en situation et se familiariser avec l’exercice. Prendre aussi des notes de toutes les remarques de l’auditeur, indépendamment du rapport qu’il établira, car il n’y aura nécessairement pas tous les échanges.

Quels sont les exemples d’erreurs courantes et rapidement solutionnables auxquels vous avez déjà été confrontés ?

LN : Un document n’est pas signé, il manque une date, une partie n’est pas complétée. Ce ne peut être que des oublis, mais ça peut aussi créer un doute légitime chez l’auditeur. Un « contrôle qualité » des documents clés de l’année écoulée avant l’audit (fiches de réclamations clients, non-conformités, CAPA, change control…) est toujours utile.

Aussi des actions planifiées qui n’ont pas été réalisées. Si le temps manque, au moins justifier du retard ou replanifier les actions.

Quels conseils donneriez-vous aux équipes pour bien gérer leurs documents et assurer une traçabilité solide ?

LN : Il n’y a pas de secret, un bon référencement et un bon classement. D’où l’importance de la procédure de gestion des documents et des enregistrements et une architecture réfléchie des dossiers informatiques. Etre à la fois simple mais précis. Faire aussi des références croisées entre les documents qui sont liés. Assurer l’intégrité de chaque dossier, par exemple le dossier d’une réclamation client doit contenir la fiche de gestion de l’événement mais aussi une copie des différents échanges et les rapports ou autres documents émis et collectés dans le cadre du traitement de cette réclamation.

Quels sont vos conseils pour répondre efficacement aux non-conformités, pendant et après l’audit ?

LN : Il faut comprendre les intentions de l’auditeur, le sens de chaque mot de la non-conformité qu’il a rédigée. Et en parallèle les intentions de l’exigence réglementaire non satisfaite, et le sens de chaque mot aussi.

Une non-conformité est-elle synonyme d’échec ? Que diriez-vous à un fabricant qui se demande si cela est irrémédiable ?

LN : Certaines non-conformités sont impossibles à anticiper, parce que l’on ne peut pas penser à tout, parce que personne n’est infaillible, et parce que l’auditeur peut avoir une approche ou une interprétation d’une exigence qui est différente. Ça fait partie de la vie du fabricant. Il ne faut pas non plus perdre la notion de maîtrise de son système, une non-conformité dont on avait conscience, mais que l’on n’a pas pu traiter avant l’audit, est plutôt due à un défaut de ressource qu’à un défaut de compétence.

Conclusion

Quels sont, selon vous, les trois principaux points à retenir de cette session sur l’audit ?

LN :

- Dédramatiser, les audits font partie de la vie des fabricants et les non-conformités ne sont pas des constats d’échecs. Un auditeur a priori strict durant l’audit ne le sera pas forcément dans son rapport, et il faut aussi comprendre qu’il a des responsabilités. Un bilan comptable de non-conformités n’a pas beaucoup de sens, il vaut mieux s’attacher aux criticités et aux récurrences.
- Considérer l’audit comme un processus large dont l’audit en lui-même n’est qu’une étape. Un audit commence dès sa préparation et se termine dès que les réponses aux non-conformités sont validées. Les actions résultantes ne sont que des éléments d’entrée parmi d’autre de l’amélioration continue d’un système qualité ou d’un produit.
- Avoir confiance dans son travail et dans ses équipes ou collègues, toujours rester constructifs et ne pas chercher de coupables.

L’audit ne doit pas être perçu comme un obstacle, mais comme un levier d’amélioration continue.

L’organisme notifié et l’entreprise poursuivent le même objectif : garantir la sécurité, la qualité et la conformité des dispositifs médicaux mis sur le marché.
C’est dans ce dialogue constructif que se construit la confiance… et l’excellence réglementaire.

Être accompagné

Pour vous préparer la certification, nous intervenons aussi bien dans la conception que la rédaction et mise en place de votre SMQ et Documentation Technique. Nous vous préparons à l'audit final de conformité en réalisant un audit interne dans votre entreprise.

Comment cela se déroule concrètement ?

Revue préliminaire et établissement d’un plan d’audit
Audit des activités de l’entreprise par rapport au référentiel établi (Manuel Qualité, cartographie des processus, gestion des risques, gestion documentaire, surveillance de performance, etc.)
Rédaction et remise d’un rapport détaillé
Élaboration d’un plan d’action correctif

Réaliser un audit interne de préparation

Pour vous préparer sereinement à votre audit de conformité, nos équipes vous accompagne sur le terrain

Nous contacter

Cet article est diffusé à titre informatif et ne constitue pas une référence normative ou règlementaire.