Validation des Systèmes Informatisés

dans les industries réglementées

Les exigences réglementaires sont contraignantes pour les industries de la santé. Elles sont décrites dans différents textes réglementaires comme l’annexe 11 des Bonnes Pratiques de Fabrication de l’Eudralex, le 21 CFR part 11, la monographie N°17 des Bonnes Pratique de Laboratoire OCDE, ou encore dans des normes comme l’ISO 13 485. En cas d’écart, les entreprises manufacturières sont sanctionnées.

La validation apporte la preuve de la conformité des systèmes aux exigences réglementaires. Mais ses bénéfices ne s’arrêtent pas là.  En adoptant des méthodes éprouvées, les industriels renforcent la maitrise de leurs systèmes et l’intégrité des données tout au long du processus qui démontre leur conformité réglementaire. Ces méthodes sont adaptables aux différents niveaux de risques du secteur de la santé.

Pour mieux comprendre les enjeux de la validation des systèmes informatisés et l’impact sur l’efficacité opérationnelle, il est essentiel de considérer non seulement la conformité réglementaire, mais aussi la sécurisation des données et la maîtrise complète des systèmes.

Le système informatisé doit être compris au sens large, c’est à dire comme un ensemble qui comprend une partie logicielle et matérielle (le système informatique) mais également un réseau, des procédures, des utilisateurs, et surtout des données. Ce sont tous ces composants qui sont soumis à l’exercice de la validation.

Les activités de validation sont basées sur les risques liés à l’utilisation du système. L’effort de validation est optimisé grâce à des analyses de criticité et des analyses de risque sur l’ensemble du cycle de vie du système.

Il est attendu que les systèmes informatisés soient validés avant leur mise en service ; on parle de validation prospective. Leur fonctionnement répond à des besoins spécifiés dans le cadre d’une utilisation prévue.

Par ailleurs, l’infrastructure qui supporte l’installation des systèmes informatisés, qu’elle soit en local ou dans le Cloud, doit être maîtrisée, ce qui inclut notamment la réalisation d’audits réguliers pour garantir sa conformité.

Il est indispensable de maintenir disponible une documentation complète et à jour, depuis les spécifications du système, en passant par l’organisation des tests, les protocoles et scripts de tests exécutés jusqu’aux rapports, y compris les enregistrements des modifications.

L’intégrité des données doit être pris en compte dans l’exercice de validation. Les données générées, stockées, traitées, analysées, sauvegardées, archivées et supprimées doivent être sécurisées et protégées par des moyens qui doivent être éprouvés. La validation s’applique à chaque étape du cycle de vie des données.  Pour mieux comprendre la notion de cycle de vie des données, n’hésitez pas à consulter notre article consacré à la Data Integrity.

À cela s’ajoute la nécessité d’assurer la sécurité des accès aux systèmes et aux données, en cohérence avec la structure organisationnelle de l’entreprise, afin de maitriser l’ensemble des actions réalisés avec le système.

Enfin, tout au long de la période d’utilisation du système, Il est également attendu que des revues périodiques soient réalisées en s’appuyant sur un outil intégré tel que l’audit trail qui retrace chaque évènement relatif aux données.

Pour plus de précision, vous pouvez vous référer aux textes réglementaires applicables aux domaines de la santé.

Cela inclut notamment les Bonnes Pratiques de Fabrication (BPF/GMP Europe), les cGMP américaines (21 CFR Part XX) ,l’ISO 13485 (Dispositifs Médicaux), les BPL OCDE (études précliniques et de sécurité) et la norme ISO 15189 (laboratoires de biologie médicale ).

Enfin, des textes complémentaires peuvent être cités, tel que le GAMP 5 (cf article ci-après) ou encore le  GLP Advisory Document on GLP & Cloud Computing (Supplement 1 to Document Number 17) de l’OCDE, qui traite de l’application des principes BPL aux systèmes informatisés, y compris pour les services externalisés (Cloud Computing).

Si un système est utilisé dans le cadre d’études cliniques, il doit être validé selon les principes généraux cités dans le précèdent paragraphe. Certains aspects feront l’objet d’une attention particulière lors de leur validation afin de répondre aux requis des Bonnes Pratiques Cliniques.

L’exhaustivité et l’exactitude des données transmises par le centre d’investigation au promoteur doivent être vérifiées. Des mesures renforcées de chiffrement et de contrôles d’accès assurent la protection et la sécurité des données personnelles des participants.

Toutes les interfaces doivent être sécurisées et les données sources ne doivent pas être altérées au cours de leur transfert à des systèmes tiers, comme ceux qui traitent les données cliniques (CTMS), les cahiers d’observation électroniques (eCRF), les données de laboratoire (LIMS) ou le dossier médical électronique, etc. La capacité à échanger des données de manière sécurisée est cruciale.

Les utilisateurs non experts devront utiliser le système en toute sécurité grâce à une interface conviviale qui détecte les erreurs ou les oublis de saisie.

Enfin, la validation s’assure de la capacité à réaliser des randomisations des groupes de participants et de proposer un système de traçabilité pour les études menées en aveugles.

De même, des bonnes pratiques été mises au point pour la fabrication de médicaments et de dispositifs médicaux. Les requis de ces bonnes pratiques seront vérifiés lors de la validation des systèmes informatisés utilisés en fabrication.

Chaque système relatif à la production ou au contrôle qualité doit être validé pour s’assurer que chaque donnée constitutive du dossier de lot est exacte. Les données critiques, en particulier celles qui sont liées à la libération des lots sont protégées et sécurisées.

La validation doit affirmer la capacité du système à tracer toutes les actions pertinentes pour permettre des audits internes et externes. Les rapports qui utilisent ces données sont disponibles et exploitables à tout moment.

Enfin, tout système impliqué dans la fabrication doitg pouvoir s’interfacer avec d’autres systèmes de l’entreprise, comme les ERP, de manière fluide et sécurisée. L’intégrité des données ne doit pas être altérée lors de ces échanges.

Les requis réglementaires propres à la distribution de médicament ou de dispositifs médicaux sont vérifiés lors de la validation de chaque système utilisé dans ce domaine.

Le rappel des lots en cas d’écart de qualité du produit mettant en jeu la sécurité des patients exige la traçabilité complète des produits jusqu’à leur livraison. Cette exigence est vérifiée pendant le processus de validation, ainsi que les requis en termes de gestion des réclamations.

Dans certains cas, le fabricant doit également respecter des exigences propres à l’acheminement des produits, comme l’optimisation des itinéraires de livraisons ou les conditions de transports.

Par ailleurs, la validation s’assurera du suivi en temps réel des niveaux de stock, tout en prenant en compte les dates de péremption des produits. De plus, la gestion des retours doit être maîtrisée, facilitant ainsi la réintégration ou l’élimination des produits concernés de manière conforme et sécurisée.

Les Bonnes Pratiques de Laboratoires apportent des exigences spécifiques à vérifier lors de la validation des systèmes. Il faut noter que les équipements analytiques sont considérés comme des systèmes informatisés dès lors qu’ils sont pilotés par un logiciel embarqué ou installé sur un poste de travail relié à l’instrument.

La validation vérifie bien sur la sécurité et la protection des données de l’étude contre toute altération ou perte, mais elle veille aussi à prouver la capacité du système à les conserver pendant la durée prévue légale. On parle de durée de rétention.

La traçabilité complète des opérations effectuées sur les données constitue également un point de vigilance majeur. Chaque action réalisée doit être documentée avec des justifications associées afin de garantir une transparence totale et faciliter les audits.

Par ailleurs, l’exactitude des données acquises par des équipements sous contrôle métrologique et transmises via des interfaces sécurisées doit être vérifiée, garantissant ainsi la fiabilité des résultats obtenus.

Enfin, les systèmes doivent être en mesure d’échanger des données de manière sécurisée entre le système de gestion de l’information du laboratoire (LIMS ou LIS) et les sponsors ou clients. Cette capacité d’interopérabilité assure une communication fluide et sécurisée des informations, tout en répondant aux attentes des parties prenantes dans le respect des exigences réglementaires

Les experts VSI d’Efor réalisent les activités de validation de vos systèmes informatisés en toute indépendance. Nous appliquons une méthodologie qui intègre des analyses de risques et de criticité, adaptée aux dernières évolutions réglementaires et technologiques. Cette démarche éprouvée mise en œuvre par nos d’experts démontre la conformité de vos systèmes informatisés.

Efor vous accompagne sur l’ensemble du cycle de vie des systèmes par des missions d’assistance à maitrise d’ouvrage, de conseil, d’audit ou d’assistance technique. Selon vos besoins, nous pouvons prendre en charge l’ensemble ou une partie de vos activités de validation, en nous intégrant à votre système de management Qualité ou en vous fournissant des Template et méthodes.

Contexte

Dans le cadre du développement de nouvelles activités de fabrication et de distribution de nouveaux produits pharmaceutiques (vaccins, tests de diagnostic rapide, etc.) et de l’accroissement des activités Laboratoire (médicales et alimentaires/environnementaux), un industriel a dématérialisé la gestion de son système Qualité.

La société Efor a réalisé la validation de ce système pour son usage prévu chez le client :

• Gestion électronique des documents
• Gestion des processus Qualité
• Gestion des Affaires Réglementaires

Sous les contraintes suivantes

• Projet multisite, environnement international
• Refonte de systèmes digitaux et manuels dans la nouvelle application
• La documentation des protocoles et des rapports utilise les modèles du client
• Intégration d’un logiciel par une société tierce
• Livraison en deux lots, d’abord la GED, puis les processus avec les Affaires Règlementaires

Validation du système de Gestion de la Qualité

La stratégie de validation a été fondée sur :

• Une analyse de risques basée sur les spécifications utilisateurs et les descriptions fonctionnelles,
• Une spécification de configuration incluant la matrice de sécurité des accès,
• Des protocoles et tests de QI/QO/QP
• Un rapport de validation

La première phase d’Organisation – Préparation permet de livrer :

• Spécification des besoins utilisateurs URS
• Spécifications de configuration
• Analyse de risque
• Qualification du fournisseur
• Les protocoles de tests

La phase suivante permet de réaliser les tests et de rédiger les rapports.

La dernière phase a été l’articulation VSI & démarrage en production avec l’ensemble des actions et vérifications à réaliser pour la mise en production de l’application. Elle a été autorisée par un certificat d’acceptation.

Le rapport final a permis de formaliser la fin du projet de validation du système suite à la surveillance active et de confirmer l’état validé du système

Contexte et contraintes

Ce projet portait sur le remplacement d’un système de gestion de production développé en interne, par un ERP standard du marché ; pour un industriel de la santé soumis aux exigences des Bonnes Pratiques de Fabrication (GMP). Une migration des données critiques depuis l’ancien système a également été réalisée, nécessitant des contrôles rigoureux pour garantir leur intégrité.

Les objectifs étaient multiples : moderniser un système de gestion de l’information vieillissant, réduire le nombre d’interfaces et d’applications spécifiques et améliorer la sécurité et l’intégrité des données.

Les principales contraintes identifiées incluaient :

• La gestion des exigences réglementaires : Intégration des requis GMP et des attentes des autorités réglementaires.
• La coordination multi-acteurs : Collaboration entre les équipes internes (client) et externes (prestataires).
• La volumétrie documentaire : Gestion et traçabilité de nombreux documents critiques dans un environnement structuré, en utilisant un système de gestion des tests.
• Les délais serrés : Nécessité de respecter un planning rigoureux pour éviter des retards impactant la mise en production, en profitant d’un des deux arrêts techniques annuels.

Ce projet a impliqué une volumétrie conséquente : 17 applications impactées, 91 documents de spécifications fonctionnelles, 25 acteurs côté client et 18 prestataires (dont 12 intégrateurs/développeurs et 6 consultants Efor en validation et organisation). La durée totale du projet s’est étendue sur un peu plus de 2 ans, avec la production de 280 livrables.

Validation : étapes clés et séquençage

Le projet a été structuré en plusieurs étapes pour garantir une validation robuste et conforme aux exigences GMP.

1. Audit intégrateur et revue du cahier des charges : Dès le début du projet, un audit de l’intégrateur a été réalisé afin d’évaluer ses capacités à répondre aux exigences spécifiques du secteur pharmaceutique. Cette étape a permis d’identifier les points critiques et d’ajuster le cahier des charges et l’organisation des prestations.
2. Relecture des spécifications fonctionnelles de l’ERP et des interfaces applicatives : Les spécifications fonctionnelles (91 documents) ont été relues et approuvées (Délégation Assurance Qualité par le client). Une attention particulière a été apportée aux impacts sur les systèmes interfacés et aux formats de données.
3. Matrice de traçabilité URS/FS : Une matrice de traçabilité a été mise en place sous un outil de gestion des documents de validation et des tests, permettant de lier les exigences utilisateurs (URS) aux spécifications fonctionnelles (FS). Cet outil a assuré une traçabilité complète et a facilité les revues documentaires dans le cadre de la revue de conception.
4. Organisation et animation des séances d’analyse de risques : Des séances d’analyse de risques ont été organisées et animées avec les parties prenantes. Ces ateliers ont permis d’identifier les risques critiques pour la sécurité des patients, la qualité des produits et l’intégrité des données, et de définir les mesures de mitigation appropriées.
5. Accompagnement à la validation : L’accompagnement à la validation a inclus plusieurs activités :

• Rédaction et relecture des livrables de validation : Protocoles, rapports et autres documents critiques.
• Gestion des tests : Pilotage et suivi par un Test Manager. Utilisation d’un système de gestion des tests pour planifier et exécuter les tests fonctionnels et de qualification, et documenter les écarts.

6. Accompagnement au démarrage et suivi en production : Un accompagnement à la migration des données et aux formations des utilisateurs finaux a été réalisé pour assurer une transition fluide vers la production. Un suivi post-démarrage a également été mis en place pour surveiller les performances du système et garantir sa conformité continue.

Outils 

Différents outils ont été mobilisés pour faciliter la gestion du projet et la validation, un SharePoint pour centralisation et partage de divers type de documents, un Système de gestion des tests pour la rédaction des cas de test, la planification et l’exécution des tests avec l’enregistrement des preuves de tests, et des outils de Management visuel pour le suivi des tâches et des jalons.

Conclusion

Ce projet de validation d’un ERP dans une industrie de la santé a démontré l’importance d’une approche structurée et collaborative pour répondre aux exigences réglementaires et opérationnelles. Grâce à une méthodologie rigoureuse et à l’implication des parties prenantes, les objectifs ont été atteints dans les délais impartis, avec un total de 280 livrables produits. Cette expérience illustre la complexité et les défis des projets de validation dans un environnement GMP, tout en mettant en avant les bonnes pratiques pour garantir la qualité et la conformité.