Enjeux de
validation des systèmes informatisés
Les enjeux de validation des systèmes informatisés (SI)
Dans le secteur des sciences de la vie, la transformation numérique et l’adoption croissante des technologies informatisées ont changé la manière de concevoir, produire, tester et distribuer des produits. Les systèmes informatisés (SI) sont omniprésents : gestion de la production, gestion documentaire, suivi des essais pré cliniques et cliniques, gestion analytique, systèmes connectés… Tous ces éléments sont devenus critiques pour assurer la qualité des produits pharmaceutiques, biotechnologiques ou de dispositifs médicaux.
Cependant, cette dépendance croissante aux SI met en avant un enjeu majeur : garantir et démontrer la maitrise de l’utilisation et de la gestion de ces systèmes informatisés, en incluant l’intégrité des données.
Le processus pour y parvenir est la Validation des systèmes informatisés (VSI), essentielle pour garantir leur conformité aux exigences de qualité, réglementaires et sécuritaires.
Lorsqu’elle présente des défauts d’exécution, les conséquences peuvent être sévères : avertissements réglementaires (warning letters et lettres de mise en demeure), pertes commerciales et, surtout, impact sur la santé des patients.
Rappel des obligations réglementaires
Dans les sciences de la vie, les systèmes informatisés utilisés pour générer, enregistrer, manipuler, traiter, transférer et stocker des données critiques doivent obligatoirement être conformes aux réglementations générales et spécifiques.
Les exigences réglementaires communes à tous ces textes seront d’avoir identifié les systèmes informatisés critiques de l’entreprise et d’avoir mis en œuvre l’ensemble du processus de validation initial et périodique, avec un niveau d’effort basé sur le niveau de risques. (Cf le détail dans le chapitre « Les exigences règlementaires relatives à la validation des systèmes informatisés »). La validation doit donc démontrer que les risques sont maitrisés.
Les textes réglementaires peuvent varier selon les régions géographiques et le secteur d’activité spécifique. Les variations étant généralement sur le niveau de détail, ou bien sur les méthodologies mises en œuvre, alors que les objectifs à atteindre restent les mêmes.
Présentation de textes réglementaires selon les régions de distribution du produit Europe / USA et les domaines d’activités
| Systèmes informatisés et données utilisées / Domaines | Europe (UE) | USA |
|---|---|---|
| Études précliniques / Laboratoires R&D (produits chimiques et Pharmaceutiques dans des études in vitro et in vivo) | – GLP OCDE (BPL) (Bonnes Pratiques de Laboratoire) – Directives 2004/9/CE et 2004/10/CE |
– 21 CFR Part 58 (Good Laboratory Practices – GLP) |
| Études cliniques / Laboratoires R&D (produits d’investigation – cadre études cliniques) | – BPC (Bonnes Pratiques Cliniques, régi par ICH E6) – Règlement UE n° 536/2014 entré en vigueur en Janvier 2022 |
– ICH E6 (GCP) (Good Clinical Practices) – 21 CFR Part 50 (Protection sujets) – 21 CFR Part 56 (IRB) |
| Production de médicaments et de principes actifs (cadre des produits pour études cliniques et produits commercialisés) | – GMP Europe (Part I : BPF / Part II : BPF substances actives / Part III : ICQ09 et ICHQ10 / Part IV : BPF pour MTI) | – 21 CFR Part 210-211 (Current Good Manufacturing Practices – cGMP) – ICH Q7 * (Good Manufacturing Practices for Active Pharmaceutical Ingredients) |
| Distribution de médicaments et produits (cadre des produits pour études cliniques et produits commercialisés) | – GDP (Good Distribution Practices – EU Guidelines 2013/C343/01) | – Les USA ne possèdent pas un équivalent réglementaire strict pour la distribution. Voir le 21 CFR part 210-211 |
| Production de dispositifs médicaux | – Réglementation européenne : Règlements (UE) 2017/745 (MDR) et 2017/746 (IVDR) – ISO 13485 : 2016 *(Gestion de la qualité pour DM) |
– 21 CFR Part 820 (Quality System Regulation – QSR) – 21 CFR Part 800 et suivants (règles sur DM) |
| Laboratoires d’analyses médicales | – ISO 15189 : 2022 * (Accréditation des laboratoires de biologie médicale – norme internationale) | – CLIA (Clinical Laboratory Improvement Amendments – loi US pour laboratoires) |
| Exigences transversales ** (systèmes Informatisés et gestion des données) | – Annexe 11 des GMP européennes – Règles sur la gestion des Systèmes Informatisés et l’infrastructure informatique dans le cadre des BPF. – Annexe 15 : Qualification / Validation – IA Act Règlement Européen sur l’Intelligence Artificielle : 1er cadre législatif au monde encadrant le développement, la mise sur le marché et l’utilisation des systèmes d’IA entré en vigueur au 1er Aout 2024 (pour mise en place progressive). |
– 21 CFR Part 11 (Electronic Records/Electronic Signatures – règles sur les enregistrements et signatures électroniques) pour tous les domaines |
* Il est à noter que tous les textes cités ne sont pas nécessairement « réglementaires » au sens strict (c’est-à-dire juridiquement opposables). Certains d’entre eux sont des lignes directrices (guidelines) ou normes qui, bien qu’étant des références industrielles de bonne pratique et souvent suivies dans le cadre des inspections, n’ont pas de caractère strictement obligatoire, sauf si elles sont intégrées dans des réglementations locales ou contractuelles. Exemple ici de l’ISO 15189 : 2022 qui est opposable en France depuis son intégration au journal officiel.
** En termes de Règles sur la gestion et la validation des systèmes informatisés et des données associées, une différence d’approche peut aussi être constatée : Totalement transversale pour les US avec un texte applicable à la thématiques Electronic Records/ Electronic signature quel que soit le domaine d’activités ; ou des textes spécifiques aux systèmes informatisés par domaines pour l’Europe.
Présentation de guidelines selon les domaines d’activités et leur applicabilité
Pour aider la mise en application des requis réglementaires, on peut citer quelques Guides spécifiques aux systèmes informatisés et aux données :
| Texte / Document | Type de document / Portée / Applicabilité | Opposabilité / Utilisation |
|---|---|---|
| GAMP 5 – Second Edition – A Risk-Based Approach to Compliant GxP Computerized Systems | Guide technique (ISPE) / International / domaine pharmaceutique et plus | Non opposable, mais largement adopté comme référentiel d’audit pour la validation SI dans les environnements GxP. |
| ISO / TR 80002-1 (2009) – Partie 1 Guidance on the application of ISO 14971 to medical device software | Document de recommandation Technique (ISO) / International / domaine DM pour la validation des logiciels qui sont des dispositifs médicaux | Non opposable, fournit des orientations pour l’application des exigences contenues dans l’ISO 14971:2007, Dispositifs médicaux – Application de la gestion des risques aux dispositifs médicaux, en ce qui concerne les logiciels des dispositifs médicaux, en s’appuyant sur la norme IEC 62304:2006, Logiciels de dispositifs médicaux – Processus du cycle de vie des logiciels. |
| ISO / TR 80002-2 (2017) – Partie 2 Validation des logiciels pour les systèmes de qualité des dispositifs médicaux | Document de recommandation Technique (ISO) / International / domaine DM pour la validation des SI qualité (ERP / GED …) utilisés en contexte DM | Non opposable, mais utilisé pour démontrer la conformité des logiciels dans un contexte réglementé (DM). Il positionne l’exercice de validation au sein de l’ensemble des tests réalisés sur un système informatisé. |
| OCDE N°17 – Application of GLP Principles to Computerised Systems (2016) No 17 Supplement 1: Advisory Document on GLP & Cloud Computing (2023) |
Documents de consensus OCDE / International – États membres / domaine BPL | Non opposables. Documents d’orientation/harmonisation qui s’adaptent sur des cas pratiques spécifiques pour l’application des BPL. La version de 2016 a été revue pour intégrer les notions sur l’intégrité des données lors de la sortie des textes spécifiques DI et le supplément de 2023 pour aborder les points spécifiques aux systèmes gérés dans le Cloud. |
| EU GMP Q&A on Computerized System Validation (CSV) (2023) | FAQ (EMA) / Régional (Europe) / domaine pharmaceutique | Non opposable, mais clarifie l’application des Annexes GMP, notamment l’Annexe 11 dans l’UE. |
| FDA CSA (Draft Guide) – Computer Software Assurance for Production and Quality Systems (2022) | Guide technique (FDA) / Local (USA) | Non opposable car encore en phase de projet (évolution future du CSV pour les inspections FDA). |
| FDA Considerations for the Use of Artificial Intelligence To Support Regulatory Decision-Making for Drug and Biological Products (Janvier 2025) | Guide technique (FDA) | Non opposable car encore en phase de commentaires. |
Et l’ensemble des tests sur l’intégrité des données pour application des principes ALCOA+ (Attributable, Legible, Contemporaneous, Original, Accurate, plus les extensions comme Complete, Consistent, Enduring et Available).
Enjeu N°1 – Garantir la santé des patients
Comme vu dans l’article consacré aux risques liés aux systèmes d’informations, toute altération, perte ou falsification de données peut provoquer divers types de conséquences, comme des produits non conformes mis sur le marché et délivrés aux patients, des produits personnalisés correctement fabriqués mais délivrés à un autre patient, des erreurs de diagnostiques, l’impossibilité de justifier des choix lors d’audits et d’inspections réglementaires, ou encore fuite de données confidentielles.
Ces données peuvent être des spécifications Produits ou des données de référence et donc influer directement sur la qualité du produit fabriqué ; ou influer sur les résultats d’essais cliniques ou pré-cliniques, de tests de contrôle qualité ou des distributions. Elles peuvent être aussi des données d’enregistrement et participer à la traçabilité du processus mis en œuvre ou à la justification d’actions réalisées.
Toutes ces données sont traitées par des systèmes informatisés plus ou moins complexes, à déployer, à gérer et à utiliser de façon maitrisée au sein ou à l’extérieur de l’entreprise.
Ce qui est donc en jeu ici, est bien de garantir la santé des patients via le processus de Validation des systèmes informatisés qui gèrent ces données critiques.
La santé des patients et les informations des autorités réglementaires
Illustration pour la catégorie des Dispositifs Médicaux : Si on consulte la page sur les « Informations de sécurité » de l’ANSM par exemple, on peut constater que le sujet de la maitrise des logiciels est particulièrement présent.
Ainsi on peut comptabiliser 15 à 20 % de fiches d’information (sur les données fin 2024 / début 2025), où le défaut constaté présentant des risques pour la santé du patient nécessite une montée de version de logiciel pour résoudre le problème. Ce qui signifie que l’exercice de validation n’a pas été correctement conduit pour identifier et corriger les défauts avant la mise en service et l’utilisation du logiciel.
Enjeu N°2 – Les coûts induits par les non-conformités
La validation des systèmes informatisés est parfois perçue comme un investissement coûteux. Cependant, ne pas effectuer rigoureusement cette étape peut avoir des conséquences financières encore plus graves.
Ces coûts peuvent être liés à des amendes de la part des autorités, liés aux rappels de produits, et aux pertes de marché lors de découvertes de défaillances ou de fraudes. Mais aussi tout simplement des surcoûts inhérents à des défauts de gestion de projets de validation lors de l’implémentation d’un nouveau système d’information.
Une validation robuste des systèmes est donc une véritable maîtrise des coûts à long terme.
Les coûts induits par des défaut de validation des systèmes informatisés
Illustration via quelques exemples issues d’informations publiques ou de projets menées par nos équipes, sans données confidentielles.
Suite à contrôle interne
Une entreprise européenne a dû rappeler un lot entier de dispositifs médicaux en raison de tests incorrectement exécutés dans un logiciel de contrôle qualité non validé. Avec pour conséquences un rappel massif de produits (coût N°1 matériel et logistique), une suspension temporaire de l’autorisation CE (coût N°2 sur baisse des ventes et distributions) et un investissement tardif en validation, multiplié par deux pour répondre aux exigences non respectées (coût N°3 de mise en place du processus de validation en urgence).
Suite à inspection
En 2024, une entreprise pharmaceutique basée en Inde a reçu une Warning Letter de la FDA à la suite d’un non-respect des principes de gestion des audit trails et une absence de contrôle des accès dans leurs systèmes informatisés de laboratoire. Ces manquements ont entraîné un retard d’approbation de nouveaux produits ainsi qu’un embargo temporaire sur l’importation de leurs médicaments aux États-Unis, avec des pertes estimées à plusieurs millions de dollars.
Pendant un projet d’implémentation
En cours de la phase de tests réalisée sur un système de gestion de données de référence, il a été mis en évidence que plusieurs exigences réglementaires n’avaient pas été prises en compte lors du développement et de la configuration du système et a conduit à l’invalidation des choix de configuration réalisés. L’analyse des causes a relevé une méthodologie de validation inappropriée par rapport au type de système d’information à déployer et à l’organisation en place, conjuguée à une résistance au changement de certains acteurs.
La reprise du projet avec des retouches de programmation du logiciel, la mobilisation et formation de nouveaux acteurs internes et externes, la réitération des phases de tests et le décalage de déploiement du système avec un retard de 18 mois n’a pas seulement doublé les couts. Un effet boule de neige s’est produit alors avec des impacts indirects sur les aspects de maintenance des systèmes, conduisant à un cout initial multiplié par quatre.
Enjeu N°3 – Gérer la conformité dans des environnements technologiques complexes
Avec l’adoption croissante de technologies comme le Cloud, l’intelligence artificielle (IA) et les systèmes connectés, les stratégies de validation doivent s’adapter et être décrites dans les procédures.
Conformité des systèmes gérés dans le Cloud
Les systèmes gérés dans le Cloud, identifiés comme Infrastructure as a service (IaaS) ou Plateform as a service (PaaS) ou encore Software as a service (SaaS) présentent quelques requis réglementaires renforcés, notamment en matière de rôles et responsabilités entre l’utilisateur (le client) et le fournisseur de services.
La réalisation d’une analyse de risque prenant en compte la spécificité des systèmes Cloud doit être réalisée avant de se diriger vers ce type de délégation de gestion et permet de justifier le choix.
Un élément clé sera également d’établir un contrat de service détaillé (SLA) permettant de définir les obligations de toutes les parties concernées avec un niveau de détail évolutif en fonction du service fourni.
Aussi, l’organisation des activités de validation doit être définie, afin de prendre en compte les risques spécifiques liés à l’hébergement et à la gestion externalisée, avec un contrôle constant des mises à jour régulières effectuées par le fournisseur pour éviter toute dérive réglementaire.
Enfin, la réalisation d’audit préalable et régulier de son fournisseur de service est attendue afin de s’assurer de la conformité des installations et des pratiques de gestion du fournisseur vis-à-vis de l’intégrité des data centers, des protocoles de sécurité mis en œuvre et des points définis au contrat.
Conformité des systèmes intégrant de l’Intelligence Artificielle (IA)
Les systèmes utilisant l’IA posent des défis en termes de traçabilité des résultats et de transparence comme identifié par le règlement Européen sur l’intelligence artificielle.
Les systèmes intégrant de l’intelligence artificielle doivent être validés selon les mêmes principes de bases mais avec des éléments spécifiques. Ainsi, l’analyse de criticité initiale sur la base de quatre types de risques (Inacceptable / Elevé / Limité / minimal) permettra de définir le niveau d’exigences à atteindre.
L’analyse de risque réalisée sur les spécifications techniques et fonctionnelles devra intégrer la notion de biais. Les algorithmes d’IA pouvant être biaisés en raison des données sur lesquelles ils ont été formés, des requis supplémentaires sont donc à suivre. Ainsi, les jeux de données de tests doivent être indépendant des jeux de données ayant servi à l’apprentissage ou à la construction du modèle et doivent démontrer leur diversité et représentativité. Et il doit être défini le niveau d’acceptabilité des résultats en fonction de l’analyse de risque réalisée.
Les modifications, que ce soit du modèle lui-même, des algorithmes ou des jeux de données utilisées pour l’entrainement du modèle doivent être sous contrôle et s’intégrer dans le processus de validation continue, afin de garantir une traçabilité complète.
Enfin, les pratiques de cybersécurité éprouvées doivent être combinées à des contrôles spécifiques aux technologies de l’IA mise en œuvre en fonction de l’analyse de risque réalisée.
Conformité des systèmes connectés
Avec l’adoption croissante des objets connectés et des technologies IoT (Internet des objets) dans les sciences de la vie, la validation des systèmes connectés présente également des points de vigilances spécifiques. Ainsi la conformité réglementaire requiert une maitrise complète des flux de données via des réseaux externes et de la sécurité.
La validation devra démontrer que ces systèmes garantissent que les données transmises via des connexions réseau restent conformes aux principes de l‘intégrité des données, sans perte au cours des transmissions, avec des dispositifs de chiffrement et de signature électronique pour garantir l’authenticité des échanges et l’efficacité des mécanismes de contrôle pour éviter tout piratage ou intrusion. Elle doit prendre en compte également la notion de données personnelles sécurisées.
La aussi, la surveillance continue et audit des systèmes connectés devra permettre la conformité à long terme des mises à jour et correctifs apportés dans un environnement potentiellement changeant.
Comment garantir la sécurité et la fiabilité des systèmes ?
Dès le développement des applications, la compréhension des utilisations potentielles du système et de ses environnements, conjuguée à la connaissance de la technologie mise en œuvre est indispensable.
Une approche basée sur l’identification des risques et leur évaluation permet de réaliser les choix les plus adaptés, de mettre en œuvre une configuration répondant aux besoins utilisateurs et de définir les tests de vérification et qualification adéquats. Le transfert de connaissance, la définition des rôles et responsabilités et la notion d’évolution permanente doivent être intégré dans la stratégie de validation des systèmes.
Construire une méthodologie de validation pour maîtriser les risques
Une méthodologie de validation robuste repose sur :
- Des analyses de criticité et analyse de risque initiale et périodique pour identifier les fonctionnalités et données critiques du système, prioriser les efforts de validation selon leur impact, basée sur les spécifications fonctionnelles et techniques détaillées du système et revues au fil des changements.
- Une revue de conception pour s’assurer de l’adéquation aux besoins dès que le système doit être configuré ou présente un élément spécifique.
- Des tests rigoureux et documentés couvrant toutes les phases du cycle de vie du système : Qualification d’Installation (QI), Qualification Opérationnelle (QO) et Qualification de Performance (QP) en compléments des tests de vérification réalisés lors du développement.
- Un outil de gestion et de traçabilité des anomalies détectées et des mesures de correction réalisées pour garantir la maitrise de la gestion de configuration logicielle et des versions.
- Des revues périodiques incluant des revues d’audit trail, pour garantir l’absence de régression ou d’impact négatifs au fil du temps et des changements logiciels ou de données ou d’environnement.
Les meilleures pratiques incluent également une collaboration rapprochée entre les équipes projet, qualité, validation et IT pour éviter les silos organisationnels. La planification des activités de validation doit être intégrée dans le planning Projet, afin de pouvoir intégrer la validation au plus tôt.
Éditer en continu les documents de validation de systèmes informatisés
Les systèmes évoluent, donc la validation doit être un exercice continu et non ponctuel.
Cela implique :
- La mise à jour des protocoles et procédures opérationnelles afin d’intégrer les nouvelles exigences réglementaires ou technologiques.
- La tenue à jour de l’ensemble des protocoles et fiches de tests de validation à chaque mise à jour du système (nouvelle version, patchs, nouveaux logiciels ajoutés, nouvel environnement d’utilisation, modification de données de référence …) au regard des impacts de ces mises à jour sur les risques identifiés.
- La vérification régulière des pistes d’audit et des changements effectués dans les systèmes pour garantir le respect des procédures qualité mises en place.
Bon à savoir : Une piste d’audit incomplète ou négligée est l’un des points les plus fréquemment relevés dans les inspections réglementaires.
Efor Group vous accompagne
Chez Efor Group, nous comprenons les défis complexes auxquels les entreprises pharmaceutiques, cosmétiques, biotechnologiques et de dispositifs médicaux doivent faire face pour garantir la validation de leurs systèmes informatisés.
Nos services incluent :
- Des experts en validation SI conformes aux principaux standards internationaux
- La réalisation de plan de remédiation suite à audits ou inspections
- Du conseil en stratégie et pilotage de validation pour la maitrise des couts,
- Un accompagnement complet et du support dans vos projets en environnement technologiques complexes, dans la mise en place de méthodologie de validation, pour identifier et prioriser les risques critiques, rédiger les documents de validation et assurer leur mise à jour continue.
Conclusion : Les systèmes informatisés jouent un rôle clé dans les sciences de la vie, et leur validation est incontournable pour assurer la sécurité des patients, le respect des exigences réglementaires et la pérennité de votre activité. Efor Group est là pour vous guider ou vous accompagner à chaque étape, en fonction de vos besoins.
Pour compléter votre compréhension, consultez également notre page sur la méthode agile pour la validation des systèmes informatisés.