Data Integrity, un retour aux sources

J’étais ces derniers jours au congrès A3P, où j’ai eu l’occasion de participer à un atelier autour de la Data Integrity qui rassemblait beaucoup de monde. Depuis que le MHRA (1) puis la FDA (2), ont publié sur ce sujet, celui-ci n’en finit pas de prendre de l’importance. Certains participants s’interrogeaient de savoir s’il ne s’agit pas du dernier sujet à la mode condamné à se vider comme un soufflet.
Rien n’est moins sûr !

Data Integrity, un retour aux Bonnes Pratiques

Revenons en arrière, et examinons le chemin parcouru par les systèmes d’informations dans ces 40 dernières années. Oui, oui, il faut remonter à 40 ans ! Au seuil des années 80 eut lieu un évènement qui a fracturé le monde de l’informatique : l’invention de la Micro-Informatique. Cette invention a permis à tout un chacun de posséder aujourd’hui un PC ou un Mac. Cette innovation, si elle a favorisé l’explosion de « l’informatique pour tous », a favorisé l’émergence du monde du logiciel et de la « soft  industry » : les SAP, Microsoft, Google et autres.
Dans ce concert d’innovations et d’interfaces, on avait un peu oublié le mot « informations » pour se focaliser principalement sur les systèmes. La grande vertu de la démarche sur le Data Integrity aujourd’hui, est de revenir à l’essentiel, c’est-à-dire à l’information !
Et pourtant, les textes étaient là …
Il faut ici rendre hommage aux législateurs, aux textes européens et américains qui avaient déjà montré la voie.
L’annexe 11 des euGxP (3) incite à plusieurs reprises à une protection des données. On retrouve, par exemple, des exigences sur le maintien de la pérennité des données (§ 7.1), les sauvegardes, (§ 7.2), l’audit Trail (§ 9) ou la modification justifiée des données (§ 9 et 10). La traçabilité des modifications depuis la donnée brute est aussi en filigrane (§ 8.2), le grand classique de la protection physique (§ 7.1), la sécurité logique et le contrôle des accès (§ 12.1, 12.2, 12.3), mais aussi le suivi des incidents sur les systèmes ou les données (§ 13), la signature électronique (§ 14), et bien évidemment la continuité (§ 16) et l’archivage (§ 17). Jusqu’au principe du SOD (Segregation of Duty), qui est suggéré (§ 6). Il est aussi demandé qu’un inventaire cartographie les « flux de données » (§ 4.3).
On pourrait effectuer le même exercice sur la base du CFR21 part 11, « electronic records, electronic signatures », et retrouver les mêmes principes avec des variantes.
Alors pourquoi ces nouveaux textes ? Quels besoins avaient le MHRA, puis la plupart des agences derrières pour engager de nouveaux textes ? Qu’est ce qui est nouveau ? Qu’est ce qui change ?

Le nouveau dans la Data Integrity

• La fraude

On le sait, l’origine du mouvement autour de la Data Integrity est la résultante de pratiques de fraude avérées qui ont clairement montré que certaines entreprises pouvaient modifier directement les données lorsque celles-ci ne correspondaient pas à leur souhait.
 

• Systèmes ouverts et flux de données

Pendant de nombreuses années les préoccupations se portaient essentiellement sur la validation des systèmes informatisés et automatisés. On en avait presqu’oublié les données qui vont avec ! Le focus est porté maintenant sur les données. La vision monolithique du système d’informations concentré dans un seul outil fermé et ne communiquant avec rien – en amont comme en aval – est erronée. Même dans le cadre d’une mise en place massive d’un ERP sur un périmètre maximum, on trouvera toujours des connexions avec des équipements de laboratoire, un LIMS, des équipements de production, des outils d’extractions. Les données circulent d’un système à un autre, évoluent, changent. Il faut donc les contrôler, vérifier que la « charge sémantique initiale » ne soit pas altérée.
 

• Maîtrise de la donnée

La préoccupation qui est au cœur de Data Integrity est finalement centrale : « Comment est-il possible de prouver que la donnée, qui est utilisée pour prendre une décision, n’a pas été modifiée ou altérée depuis son origine ? Surtout quand cette décision impacte la sécurité du patient. Ou, si une modification a été effectuée, l’a telle été dans un cadre maîtrisé et justifié ? la traçabilité de cette modification est-elle disponible ?  La valeur de référence est-elle toujours accessible ? ».
 

• Contributions des acteurs

De nouveaux éléments de vigilance contribuent aussi à développer la vision du concept de Data Integrity. Des mots clés comme ALCOA, des pratiques diverses autour de la gestion des dates, la revue des audits trail, tous ces sujets sont maintenant au cœur des préoccupations des acteurs.
 

• L’extension à l’entreprise

Et puis, Data Integrity commence à s’étendre dans toute l’entreprise. Dans un premier temps limité au laboratoire, on parle maintenant des données d’origine industrielle, on parlera bientôt de toutes les données qui sont impliquées de façon directe ou indirecte dans la sécurité du patient ou la qualité du produit.
C’est donc une vague importante qui présente la vertu première de nous ramener à l’essentiel : les données. Et déjà, en ce sens, c’est une avancée majeure. Alors oui, « on en prend probablement pour 10 ans » comme s’en étonnait un participant, et finalement, c’est peut-être bien une bonne chose !

Philippe Charbon, Directeur, Apsalys

Références:

• https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/538871/MHRA_GxP_data_integrity_consultation.pdf
• https://www.fda.gov/downloads/drugs/guidances/ucm495891.pdf
• https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwj_itTpieHXAhVnJ8AKHXJkCfkQFggtMAA&url=http%3A%2F%2Fansm.sante.fr%2Fcontent%2Fdownload%2F48612%2F625114%2Fversion%2F1%2Ffile%2FAnnexe-11_Systemes-Informatises_Mai2013.pdf&usg=AOvVaw01ilZGItQOpVECLWws6H6i