Validation des Systèmes d'Information (SI)
Dans le monde des entreprises règlementées et plus particulièrement dans le domaine de la santé, la validation des Systèmes Informatisés représente un enjeu majeur.
Il s’agit en effet pour ces entreprises de répondre aux exigences auxquelles elles doivent se soumettre afin d’être en conformité avec les règlementations en vigueur (21CFR Part 11, Annexe 11 BPF, Annexe 15 BPF, euMDR etc.).
Mais valider c’est aussi, et avant tout, sécuriser et fiabiliser ses systèmes d’information. Cela représente donc un levier de performance important pour les entreprises.
Pourquoi un tel enjeu ? Comment garantir un haut niveau d’assurance de son système ?
Des systèmes informatisés de plus en plus présents
A l’ère de la digitalisation et de l’automatisation des procédés, l’industrie de la santé ne fait pas exception.
En effet, ces dernières années l’utilisation de systèmes informatisés n’a cessé de croitre.
Du logiciel de gestion de la qualité (eQMS) au logiciel assurant la gestion de la production, les systèmes informatisés sont désormais au cœur des activités de ces entreprises et notamment des activités relevant des Bonnes Pratiques de Fabrication (BPF ou GMP).
Si les avantages de la digitalisation ne sont aujourd’hui plus à prouver, remplacer une activité manuelle par une technologie dans le secteur hautement règlementé de la santé ne doit pas impacter l’intégrité des données, la qualité du produit et la sécurité du patient.
« Lorsqu’un système informatisé remplace une opération manuelle, il ne doit pas en résulter une baisse de la qualité du produit, de la maîtrise du processus ou de l’assurance de la qualité. Il ne doit pas non plus en découler une augmentation du risque général lié au processus. »
(Bonnes Pratiques de Fabrication, Annexe 11).
La Qualification et la Validation des Systèmes informatisés (CSV) : Un enjeu majeur
Pour cela, des règlementations ont été définies, elles régissent la mise en place et l’utilisation de ces systèmes informatisés. L’ensemble du cycle de vie du système est concerné.
Nous pouvons notamment citer l’annexe 11 et l’annexe 15 des BPF ou encore le 21 CFR part 11 (Food and Drug Administration, FDA).
Ces exigences indiquent clairement la nécessité de garantir la fiabilité, la sécurité et la cohérence des données.
C’est en qualifiant les infrastructures et en validant les applications que les industriels seront en mesure d’y répondre.
Les exigences citées précédemment décrivent ce qui doit être fait, sans préciser le comment.
Comment garantir la sécurité et la fiabilité des systèmes ?
La validation a longtemps été perçue comme une activité chronophage, dont le but était de produire un maximum de documents lors des différentes phases de Qualification, Qualification d’Installation (QI), Qualification Opérationnelle (QO) et Qualification de Performance (QP).
Plus la documentation de validation était conséquente, plus le système était considéré comme sécurisé.
En réalité, valider c’est avant tout démontrer que les risques sont maitrisés.
Documenter reste une obligation, rédiger un plan de validation (VP), un rapport de validation (VR), des spécifications utilisateurs (URS) etc. mais l’analyse des risques doit être au cœur de la réflexion de la stratégie de validation.
« La gestion du risque doit être appliquée tout au long du cycle de vie du système informatisé, en prenant en compte la sécurité des patients, l’intégrité des données et la qualité du produit. » (Bonnes Pratiques de Fabrication, Annexe 11).
Le « comment » est donc déterminé en fonction de l’analyse de risque.
C’est d’ailleurs avec cette approche que la FDA a documenté la vision : Computer Software Assurance (CSA) versus Computer System Validation (CSV).
Des guides ont été publiés afin d’aider les entreprises dans leur démarche de Validation, tels que le GAMP 5 (Good Automated Manufacturing Practices) ou encore le PIC/S PI 011-3 (publié par la Pharmaceutical Inspection Convention and Pharmaceutical Inspection Coopération Scheme). Ces guides n’ont pas de valeur règlementaire mais ils assurent une conformité aux règlementations en vigueur. Malgré l’utilisation de ces derniers, il peut être parfois difficile pour les entreprises de mettre en place une démarche de validation cohérente et « compliant ».
Evaluer le niveau de testing de son système, construire une méthodologie, une documentation de validation, s’assurer de l’intégrité des données (data integrity) etc. Apsalys compte parmi ses consultants des experts dans le domaine qui seraient ravis de vous accompagner dans vos projets.