Valider les solutions Cloud & SaaS sous contraintes GxP : Responsabilité partagée, qualification fournisseur et conformité continue
16/07/2026
Les solutions Cloud offrent de nombreux avantages aux entreprises qui veulent plus de flexibilité et d’innovation dans leur système d’information. Si les fabricants du secteur de la santé les adoptent de plus en plus, elles se doivent d’être particulièrement attentives à l’impact de cette décision sur l’exigence de conformité réglementaire.
Historiquement, la validation GxP des systèmes informatisés a été un frein à la transformation digitale, faute de temps et/ou de ressources. En effet toute modification sur un système déjà validé/infrastructure qualifiée entrainait la réalisation de tâches de revalidation ou requalification. La simple modification d’une seule application « on premise » pouvait ainsi entrainer des semaines de travail. Dans ce cas, l’entreprise prenait seule la décision de déclencher le changement en tenant compte de la charge afférente à la validation.
Avec les solutions Cloud, la demande de modification peut venir soit de l’opérateur informatique soit du donneur d’ordre, ce qui induit de fait un modèle de responsabilité partagée. Pour garantir la conformité aux exigences GxP, la maîtrise de ce modèle est impérative, maitrise qui passe par un choix judicieux du prestataire.
La décision d’externaliser le système d’information n’est donc pas sans conséquence. Cependant en appliquant les recommandations des instances régulatrices, les industriels peuvent attendre de ce modèle une plus grande flexibilité tout en conservant une conformité continue et la maitrise du risque produit et patient.
1. Trois grands modes d’externalisation
Avec les solutions Cloud, des activités sont transférées de l’entreprise vers le fournisseur selon un mode d’externalisation croissante des couches du système d’information.
Le premier type de délégation, nommé Infrastructure as a Service (IaaS) désigne le modèle où le fournisseur met à disposition le socle des éléments d’infrastructure et de sécurité. L’entreprise cliente loue ces ressources et les gère, mais sans acheter ni maintenir le matériel. C’est le fournisseur qui a la responsabilité d’assurer la disponibilité des serveurs physiques ou logique, du stockage, des réseaux ainsi que la sécurisation de l’infrastructure. Le client prend en charge le système d’exploitation, la couche middleware, les applications, la configuration et la sécurité logicielle. Il est à noter que quel que soit le contrat qui lie le fournisseur à l’industriel, les données appartiennent exclusivement au client.
Le deuxième type est nommé Platform as a Service (PaaS). En plus de l’infrastructure, le fournisseur met à la disposition de son client le système d’exploitation, des solutions de développement, des bases de données et des outils de gestion d’applications. L’entreprise peut ainsi déployer et maintenir ses propres applications sans assumer l’administration système. Elle se concentre sur les briques applicatives et les données métier. Le fournisseur prend en charge la gestion de l’infrastructure, des systèmes d’exploitation, des bases de données et du middleware.
Le dernier type d’externalisation, le plus intégré est aussi peut être le plus connu, c’est le Software as a Service (SaaS). Toutes les couches du système d’information sont prises en charge par le fournisseur. Le client loue ses logiciels et y accède via Internet. L’environnement applicatif est prêt à l’emploi, à l’exception de quelques points de paramétrage client si besoin. L’installation, la mise à jour et la gestion des incidents sont opérées par le fournisseur. Le client peut uniquement agir sur la configuration de son espace utilisateur.

2. Le modèle des responsabilités partagées pour la conformité réglementaire des solutions externalisées
Les missions du fournisseur et celles du client sur les environnements soumis à des exigences GxP sont bien distinctes. Le fournisseur Cloud assure la sécurité physique et logique du matériel, la disponibilité des centres de données et des infrastructures. Tous les éléments qui supportent la couche applicative sont sous sa responsabilité. Il est également chargé de la maintenance et la sécurité des locaux.
À l’inverse, son client reste responsable de tout ce qui concerne l’usage métier, soit le paramétrage des applications, leur configuration logique et la gestion des accès utilisateurs. C’est à lui de garantir que les applications restent conformes aux règlements GxP, de tracer les modifications, de s’assurer de l’intégrité des données et de fournir les preuves de conformité. Or, la validation des briques applicatives implique la maitrise de l’infrastructure. On ne peut concevoir un service métier conforme qui soit basé sur une infrastructure non maitrisée, non conforme. C’est donc bien l’entreprise réglementée qui maintient la validation des systèmes informatisés de manière globale. Comme le rappelle AWS (2026) « le client garde le contrôle de la classification des données et de la conformité GxP. Le fournisseur gère, mais ne valide pas, la conformité infrastructurelle » [1].
Du partage des rôles peuvent naitre des ambigüités pouvant compromettre la conformité. Le contrat doit donc permettre la maitrise de ce risque avec des clauses précises. Par exemple, les mises à jour décidées par le fournisseur dans le but de renforcer la sécurité peuvent modifier des configurations ou des interfaces critiques. En réponse, l’entreprise doit dérouler des analyses d’impact et des tests rapides. Si elle n’est pas prévenue à temps et ne peut tester cette modification, il y a un risque que le système ne soit plus conforme aux exigences réglementaires GxP. Le modèle de responsabilité partagée exige donc que le fournisseur et le client coopèrent étroitement. Le premier doit informer le second suivant un délai convenu et lui fournir toutes les notes techniques nécessaires à la validation. La possibilité de demander un report des mises à jour doit être discutée au préalable.
Selon l’agence européenne du médicament (EMA, European Medicines Agency), « Les responsabilités entre le fournisseur de services cloud (CSP, Cloud Service Provider) et l’entreprise réglementée doivent être définies contractuellement, idéalement dans un accord qualité formel, couvrant la propriété des données, l’accès aux journaux d’audit et aux rapports, la réponse aux incidents, les procédures de sauvegarde et de restauration, ainsi que les exigences de notification. Toute zone grise ou contrôle partagé doit être explicitement décrit dans l’annexe qualité » [2].
Comme la conformité, la cybersécurité relève de la responsabilité partagée du fournisseur et de l’entreprise réglementée. L’entreprise doit s’assurer que les mises à jour nécessaires sont déployées, que son personnel soit formé aux risques de cybersécurité, et que ses prestataires informatiques rendent compte de ses actions dans ce domaine.
3. La qualification des fournisseurs Cloud/SaaS
Les échanges entre l’entreprise et son fournisseur Cloud ont un fort impact sur la conformité, donc sur la qualité produit, la sécurité du patient, l’intégrité des données et la continuité de l’activité. Si la qualification fournisseur est une exigence réglementaire déjà mise en œuvre par toutes les entreprises du secteur de la santé, elle est d’autant plus décisive quand il s’agit d’un service Cloud/ Saas. L’annexe 11 des Bonnes Pratiques de Fabrication (BPF) de l’Union européenne souligne son importance :« Lorsqu’un fournisseur ou un prestataire apporte un service, il convient qu’il y ait un contrat écrit qui définisse les responsabilités du fournisseur ou du prestataire. Ce contrat doit comporter la déclaration que le fournisseur ou le prestataire se conforme aux exigences des BPF ou à toute autre exigence réglementaire applicable. Il convient que le titulaire de l’autorisation conserve la responsabilité du système informatisé, y compris les données introduites ou générées. » [3].
La qualification initiale d’un fournisseur est basée sur un audit et un questionnaire détaillé. L’audit, mené par l’entreprise réglementée conformément à sa stratégie a pour but de vérifier les certifications du fournisseur ainsi que la robustesse de son fonctionnement opérationnel. Le questionnaire détaillé vise à donner une image aussi complète que possible des pratiques du fournisseur et de son système de la qualité avec des points spécifiques sur la sécurité, la continuité d’activité, la gestion des incidents et de la gestion des modifications. Il s’agit du volet opérationnel de la qualification.
L’un des critères clés pour le choix du fournisseur est sa compétence sectorielle. Un fournisseur sans expérience de conformité GxP devra spécialiser ses services pour le secteur de la santé. S’il n’a pas anticipé les coûts afférents, la qualité des services pourra s’en trouver altérée. Il doit aussi être en mesure de fournir toute la documentation – des logs aux rapports d’incident – susceptible d’être demandée dans le cadre d’inspections. En cas de défaut, c’est l’entreprise réglementée, et elle seule, qui subira les conséquences.
Une fois le fournisseur choisi et le contrat signé, l’entreprise réglementée doit prévoir une revue des contrats et de ses annexes à chaque évolution de l’offre ou du contexte réglementaire. Les revues systématiques d’impact des changements permettent de garantir que les environnements Cloud restent bien conformes aux exigences GxP. Une demande régulière de rapport qualité attestera du maintien dans le temps des certifications et des dispositifs de contrôle.
4. Assurer un état continu de conformité
Une fois que l’entreprise réglementée travaille en Cloud/Saas avec un contrat solide et un partenaire fiable, quels sont les moyens pour elle de parvenir à maintenir ses systèmes informatisés dans un état conforme ?
Les principes de conformité continue sont énoncés par l’ISPE (International Society for Pharmaceutical Engineering) :
« La conformité continue dans les environnements cloud GxP exige que le prestataire de services comme l’entreprise réglementée maintiennent une connaissance actualisée des réglementations en évolution et réalisent des évaluations et revues continues, fondées sur le risque, des contrôles techniques, de la gestion du changement et des réponses aux incidents » [4].
Le premier pilier est bien sûr la documentation. Chaque demande de modification technique ou fonctionnelle, qu’elle soit imposée par le fournisseur ou initiée par l’entreprise est tracée dans un Document de demande de changement (CRD, Change Request Document). La CRD décrit le changement, justifie sa nécessité et évalue son impact sur l’ensemble des domaines concernés. La documentation de validation réalisée après chaque changement est conservée pour être toujours disponible. Dans la configuration Cloud/Saas, seule une gestion rigoureuse permet de garantir la traçabilité exigée par les inspections réglementaires.
Les audits réguliers constituent le deuxième pilier. Ils peuvent être réalisés par le service qualité de l’entreprise ou par des cabinets spécialisés. Leurs objectifs sont de vérifier à un instant donné l’état de conformité des systèmes, vérifier le système de management de la qualité et vérifier des points fonctionnels précis comme la sécurisation des données, la pertinence des droits et rôles utilisateurs. Les audits permettent à l’entreprise de vérifier la cohérence entre la situation réelle, la documentation et les requis réglementaires. Ce qui est décrit dans la documentation de validation doit correspondre à ce qui est en production.
5. Digitaliser pour plus de performance
Pour gagner en efficacité, les références internationales, telles que l’ISPE, recommandent l’utilisation d’outils digitaux pour automatiser des contrôles récurrents, trop lourds pour être gérés manuellement. Grâce à des scripts ou des outils de gestion du cycle de vie, il est possible de programmer des tests réguliers pour vérifier l’intégrité des données, la configuration logicielle, les accès et rôles utilisateurs ainsi que les règles de sécurité. Toute anomalie détectée peut alors être immédiatement signalée, ce qui réduit le temps d’exposition à un risque de non-conformité [4].
6. Conclusion
La validation des solutions Cloud /SaaS en contexte GxP est une décision stratégique qui impose une approche globale. Elle mobilise le fournisseur Cloud en plus des services métier, Qualité et IT dans les taches de validation.
L’entreprise doit en premier lieu maîtriser le modèle de responsabilité partagée, c’est la condition sine qua non d’un pilotage contractuel et opérationnel efficace. Ensuite, elle doit veiller à la qualification du fournisseur Cloud et à la qualité de ses prestations. Sous ces deux conditions, la conformité change de nature ; d’un état elle devient un processus. Ce processus s’appuie sur des audits réguliers, l’automatisation de la surveillance, des tests et la collaboration active de tous les acteurs de la validation, qu’ils soient internes comme les services métier, la Qualité et l’IT ou externes comme le fournisseur Cloud.
Les entreprises qui parviennent à instituer une gouvernance partagée, réactive et transparente entre tous les intervenants sécurisent leur transformation digitale tout en restant conformes face aux autorités réglementaires.
Besoin d’aide ?
Vous cherchez un partenaire de confiance pour réussir la transition de vos applications réglementées vers le Cloud ? Efor vous accompagne avec les prestations suivantes :
- Qualification et audit de vos fournisseurs Cloud/SaaS ;
- Validation GxP de bout en bout pour les environnements IaaS, PaaS et SaaS pour l’infrastructure et les applications ;
- Automatisation et suivi de la conformité continue ;
- Gouvernance et préparation aux inspections.
Contactez-nous dès maintenant pour sécuriser votre transformation digitale : solutionprojectdelivery@efor-group.com.
Liste de références
- Amazon Web Services (AWS) (2026). GxP Compliance on AWS: The Shared Responsibility Model. AWS Whitepaper. Disponible sur : https://aws.amazon.com/compliance/gxp/
- ISPE (2022). GAMP® Good Practice Guide: Enabling Innovation – Critical Thinking, Risk-Based Approaches, and the Agile Methodology. International Society for Pharmaceutical Engineering.
- Commission Européenne (2011). Annexe 11 des Bonnes Pratiques de Fabrication – Systèmes informatisés. EMA/INS/GMP/Annex11. Disponible sur : https://health.ec.europa.eu/system/files/2016-11/gmp_annex11_fr_0.pdf
- International Society for Pharmaceutical Engineering (ISPE). Continuous Compliance Monitoring in Cloud GxP Environments. ISPE GAMP® Guidance; 2025.
Le groupe
Nos engagements RSE
Conscients de notre responsabilité sociale et environnementale, nous agissons chaque jour pour faire avancer la société.
Nos actualités
Suivez toutes nos infos santé