SOS KIT CAPE-EXPERT - MISE EN CONFORMITE DES PROCESSUS EXPLOITANT A L’INTEGRITE DES DONNEES
En préambule, nous tenions à rappeler que l’émergence des nouveaux textes sur l’intégrité des données (Data Integrity) et l’interprétation qui en est faite au travers des inspections par les autorités de tutelles n’occultent en rien les éléments préexistants de la réglementation et particulièrement ceux de l’annexe 11 (Systèmes informatisés) et du chapitre 1 des EU-GMP.
Les 5 grandes étapes d’une mise en place dans son système qualité de l’intégrité des données
1/Engagement de la direction
Comme tout projet stratégique, une prise en compte de la problématique de l’intégrité des données au plus haut niveau de l’organisation est primordiale. Elle se décline par la communication d’une politique qualité, la rédaction d’une procédure globale sur l’intégrité des données et la mise à disposition de moyens humains et financiers.
2/Désignation d’un pilote ou chef de projet
La mise en conformité à l’intégrité des données passe au travers d’une gestion de projet classique avec la désignation d’un chef de projet (appelé aussi Data Stewart) animant un réseau multidisciplinaire. A titre d’exemple, les responsabilités générales suivantes du réseau multidisciplinaire peuvent être considérés :
Les 5 grandes étapes d’une mise en place dans son système qualité de l’intégrité des données
1/Engagement de la direction
Comme tout projet stratégique, une prise en compte de la problématique de l’intégrité des données au plus haut niveau de l’organisation est primordiale. Elle se décline par la communication d’une politique qualité, la rédaction d’une procédure globale sur l’intégrité des données et la mise à disposition de moyens humains et financiers.
2/Désignation d’un pilote ou chef de projet
La mise en conformité à l’intégrité des données passe au travers d’une gestion de projet classique avec la désignation d’un chef de projet (appelé aussi Data Stewart) animant un réseau multidisciplinaire. A titre d’exemple, les responsabilités générales suivantes du réseau multidisciplinaire peuvent être considérés :
Pour définir la stratégie de mise en conformité à l’intégrité des données, le pilote doit :
Pour la mise en place de son plan d’action, il lui appartient de travailler sur les 3 dimensions suivantes et de comprendre pourquoi des transgressions existent (par exemple : procédures incompréhensibles, manque de formation, de temps, pression de l’encadrement pour atteindre les objectifs, etc…).
- Faire un diagnostic de l’état actuel,
- Collecter les données nécessaires,
- Etudier les données recueillies et analyser les écarts par rapport à la situation de conformité.
Pour la mise en place de son plan d’action, il lui appartient de travailler sur les 3 dimensions suivantes et de comprendre pourquoi des transgressions existent (par exemple : procédures incompréhensibles, manque de formation, de temps, pression de l’encadrement pour atteindre les objectifs, etc…).
3/Mise à jour de votre liste de systèmes informatisés GxP (y compris des fichiers Excels) et des cartographies de processus
Le pilote peut déterminer les processus impactés par cette mise en conformité en s’appuyant sur le guide de l’exploitant – voir exemple ci-dessous.
Le pilote peut déterminer les processus impactés par cette mise en conformité en s’appuyant sur le guide de l’exploitant – voir exemple ci-dessous.
Il peut aussi s’appuyer sur la cartographie des processus GxP et sur la liste des systèmes informatisés fournie annuellement à l’ANSM dans l’état des lieux pour évaluer les écarts à la réglementation Data Integrity. Ces documents doivent souvent être complétés car ils ne sont en général pas suffisamment exhaustifs.
4/Analyse de risques
Le scénario de risque pouvant entrainer un impact potentiel sur les fonctionnalités, sur les données ou sur les sources de données est évalué sur l’ensemble des services GxP de l’exploitant à l’aide d’une analyse de risques (ICH Q9).
Classiquement, le score est calculé sur les 3 éléments suivants :
A l’issue des résultats trouvés lors de l’étape de l’analyse de risque, le pilote propose des solutions d’améliorations à sa hiérarchie découlant des étapes réalisées au préalable et une priorisation des actions en fonction des risques identifiés et des moyens financiers nécessaires à la mise en conformité.
A titre d’exemple, les points à évaluer par système/équipement/processus permettant d’appréhender les écarts à l’intégrité des données peuvent être les suivants :
5/Mise en œuvre
La mise en œuvre du plan de conformité passe par les étapes suivantes :
5-1 Mise à jour de la documentation du Sytème de management Qualité
5-2 Formation/Sensibilisation
5-3 Audit
5.4 Plan de remédiation par système/équipement/processus selon les résultats de l’analyse de risques
En conclusion
Les inspecteurs et les auditeurs attendent clairement que cette conformité à l’intégrité des données soit l’expression d’une culture d’entreprise et qu’elle permette de détecter toutes les failles dans les organisations ou dans les systèmes informatisés.
En somme, elle vous amène à vous poser des questions essentielles pour éviter des prises de décisions stratégiques sur des données erronées :
4/Analyse de risques
Le scénario de risque pouvant entrainer un impact potentiel sur les fonctionnalités, sur les données ou sur les sources de données est évalué sur l’ensemble des services GxP de l’exploitant à l’aide d’une analyse de risques (ICH Q9).
Classiquement, le score est calculé sur les 3 éléments suivants :
- La gravité du risque (S) : L’estimation de la gravité en fonction de l’impact santé patient et réglementaire
- L’occurrence (P) : La probabilité de la défaillance est déterminée en fonction des contrôles attendus mesurés
- La détectabilité (D) : L’estimation de la probabilité de détection
A l’issue des résultats trouvés lors de l’étape de l’analyse de risque, le pilote propose des solutions d’améliorations à sa hiérarchie découlant des étapes réalisées au préalable et une priorisation des actions en fonction des risques identifiés et des moyens financiers nécessaires à la mise en conformité.
A titre d’exemple, les points à évaluer par système/équipement/processus permettant d’appréhender les écarts à l’intégrité des données peuvent être les suivants :
- Type de donnée (papier, électronique, hybride),
- Présence ou absence d’une signature électronique (21 CFR PART 11)
- Système Documentaire (Existe t-ils une procédure Gestion des accès ? Revue d’audit trail ? Gestion des incidents ? Gestion des changes ? Archivage ? Back-up/restore ? Gestion des configurations ? Bonnes Pratiques Documentaires ? etc…)
- Criticité GxP pour prioriser vos actions correctives
- Présence ou Absence d’un système d’horodatage
- Système informatisé validé (oui/non, date de la dernière validation, version installée)
- Revue périodique (oui/non, date, le système est-il maintenu à l’état validé ? Est-ce que les exigences data integrity ont été vérifiées lors de la validation du système informatisé ?)
- Gestion des accès (oui/non, fréquence de renouvellement des mots de passe, complexité des mots de passe, Sont-ils individuels ? Est-ce que l’administration du système est réalisée par le personnel qui l’utilise ? Est-ce que les accès sont supprimées lors du changement de service ou le départ d’un collaborateur ? Limitez-vous le nombre de profils administrateur ? Est-ce qu’un administrateur peut supprimer des données ? Gestion des rôles est-elle adaptée au système ? etc…)
- Archivage (interne/externe, Contrat ? Back-up /Restore ? Testé ? Par qui ? A quelle fréquence ? Gestion des accès physique au local d’archivage ou au data center ? etc…)
- Audit trail (oui/non, Revue oui/non, Fréquence, Formalisation, etc…)
- Formation du personnel aux Bonnes Pratiques Documentaires, Validation des systèmes informatisés, Data Integrity (oui/non, Qui ? Quelle fréquence ? Comment ?)
- Plan de continuité (DRP/BCP) (Existe-t-il ? Est-il testé ? Est-il à jour ?)
- Postes informatiques (Sont-ils sécurisés ?)
- Etc…
5/Mise en œuvre
La mise en œuvre du plan de conformité passe par les étapes suivantes :
5-1 Mise à jour de la documentation du Sytème de management Qualité
- Rédaction de nouvelles procédures et mise à jour de certaines
- Intégration des exigences Data Integrity dès la conception des systèmes d’informations ((URS, Analyse de Risques Fonctionnelle, Tests spécifiques, Contrats)
- Intégration des exigences Data Integrity lors des revues périodiques des systèmes informatisés
- Gestion des fournisseurs /prestataires
5-2 Formation/Sensibilisation
- Signer une charte informatique
- Faciliter la remontée des écarts
- Expliquer les textes réglementaires
- Se rendre périodiquement sur le terrain pour renforcer la confiance, la transparence, l’éthique
5-3 Audit
- Intégrer les exigences à l’intégrité des données dans les check-lists d’audits
- Auditer les prestataires IT et fournisseurs de solutions dans la liste des sites externes à auditer si cela n’est pas déjà fait
- Penser à auditer aussi votre DSI pour vérifier que les processus sont en conformité avec l’Annexe 11 GMP et les concepts d’intégrité des données
- Intégrer les réglementations relatives à l’intégrité des données dans les contrats de vos prestataires et fournisseurs
- Mettre en place des revues d’audit trail administratif et opérationnel
- Etc..
5.4 Plan de remédiation par système/équipement/processus selon les résultats de l’analyse de risques
- Partager ce plan d’action avec les services impactés
- Identifier un responsable par action et un délai d’implémentation
- Identifier les actions nécessitant un investissement financier (achat d’un nouveau système d’information, sous-traitance, etc…)
- Contrôler sa mise en œuvre
En conclusion
Les inspecteurs et les auditeurs attendent clairement que cette conformité à l’intégrité des données soit l’expression d’une culture d’entreprise et qu’elle permette de détecter toutes les failles dans les organisations ou dans les systèmes informatisés.
En somme, elle vous amène à vous poser des questions essentielles pour éviter des prises de décisions stratégiques sur des données erronées :
- Comment puis je prouver que les données GxP qui sont au centre de mes décisions pharmaceutique, n’ont pas été modifiées ou altérées depuis leurs origines ? Surtout quand elles ont un fort impact sur la santé du patient
- Comment puis-je prouver que les modifications de données ont été effectuées dans un cadre maitrisé ?
- Comment puis-je prouver qu’il n’y a pas eu d’erreurs lors de la réplication ou lors du transfert de données ?
- Comment puis-je prouver que je n’ai pas perdu des données lors du stockage ou de l’archivage ?
- Etc…