3 éléments fondamentaux : contrôles, validation et archivage

Outre la fourniture de systèmes de surveillance et de validation, nous nous plongeons souvent dans les problèmes rencontrés par nos clients lorsqu'ils interprètent les réglementations et les directives. Nous recevons de nombreuses questions concernant la norme 21 CFR Part 11 et l'Annexe 11. Dans cet article, nous proposons une présentation des points fondamentaux des deux « Elevens », notamment : contrôles, validation et archivage du système.

Il est important de noter que la Partie 11 est une exigence aux États-Unis, alors que l'Annexe 11 est une directive dans l'Union européenne.

La Partie 11 et l'Annexe 11 comprennent les éléments suivants :

• Validation
• Copies lisibles en clair
• Protection et conservation des enregistrements
• Audit trails
• Accès limité aux utilisateurs autorisés uniquement
• Contrôles de l'autorité
• Contrôles de l'appareil
• Formation
• Procédures écrites
• Documentation du système

Un coup d'œil à la liste montre que chaque élément fait partie d'une méthode de contrôle du fonctionnement et des sorties d'un système.

Dans la réglementation 21 CFR Part 11, « Points à contrôler pour les systèmes fermés » signifie :
(b) « Capacité de générer des copies précises et complètes des enregistrements aussi bien sous une forme lisible en clair que sous une forme électronique adaptées à l'inspection, à la revue et à la copie par l'agence. »

Le fait qu'il existe une réglementation spécifique concernant les copies lisibles en clair montre combien la technologie a évolué. Aujourd'hui, il serait difficile d'imaginer un système convivial ne permettant pas d'imprimer des documents et des données.

Pour la plupart des systèmes de surveillance, les enregistrements présentant un intérêt sont les valeurs de surveillance historiques réelles. Et la création d'une copie lisible en clair signifie que les données historiques et les journaux d'événements peuvent être imprimés dans un format sécurisé.

Dans la réglementation 21 CFR Part 11 (e) « Section 11.10 - Points à contrôler pour les systèmes fermés », nous lisons :

« Utilisation d'audit trails sécurisés, générés par ordinateur et horodatés pour l'enregistrement indépendant de la date et de l'heure des entrées et des actions créant, modifiant ou supprimant des enregistrements électroniques. Les modifications apportées aux enregistrements ne doivent pas occulter l'information précédemment enregistrée. Une telle documentation d'audit trail doit être sauvegardée pour une période au moins aussi longue que celle exigée pour l'enregistrement électronique concerné et doit être tenue à la disposition de l'agence pour revue et copie. »

En ce qui concerne vos applications de surveillance environnementale, cela signifie simplement que, pour que vos enregistrements soient conformes, les enregistrements électroniques (données et événements) ne doivent pas pouvoir être modifiés ou supprimés manuellement.

De plus, l'audit trail de votre système doit pouvoir saisir les modifications apportées aux métadonnées (calendriers et modèles de rapport) et aux données de configuration sans masquer les entrées précédentes. Si votre système n'autorise aucun changement des valeurs une fois enregistrées, il est conforme aux sections de la Partie 11 et de l'Annexe 11.

En tant que système fermé, votre système de surveillance doit limiter l'accès aux « personnes autorisées » uniquement. Il s'agit de l'article (d) dans la Section 11.10 de la Partie 11. Généralement, cela signifie que toute personne ayant accès au système doit avoir un nom d'utilisateur et un mot de passe distincts. Souvent, un système s’intégrera à l'authentification de votre SE pour tirer parti des outils de gestion des mots de passe préexistant généralement utilisés

En ce qui concerne la validation, la Partie 11 expose la nécessité de la validation dans le premier article de la Section 11.10 : « Points à contrôler pour les systèmes fermés » :

(a) « Validation des systèmes afin de garantir la précision, la fiabilité, la performance visée et sa persistance, et la capacité à distinguer les enregistrements non valides ou altérés. »

Dans l'Annexe 11, la section « Phase de projet » couvre la validation en huit points brefs et directs :

• Utilisation de l'évaluation des risques pour justifier les normes, les protocoles, les critères d'acceptation, les procédures et les enregistrements
• Utilisation de la pratique de documentation du contrôle des changements correcte pour les écarts du rapport
• Conservation d'un inventaire de vos systèmes informatisés avec des descriptions, interfaces, processus, logiciels et matériels
• Utilisation de l'évaluation des risques pour évaluer l'impact des BPF sur les exigences et les spécifications de l'utilisateur
• Audit des systèmes de gestion de la qualité des fournisseurs
• Validation des systèmes informatisés couvrant le cycle de vie complet du système
• Essai du document
• Validation des transferts de données

Nous constatons que l'Annexe 11 est plus explicite concernant les recommandations de validation.

Pour les systèmes Vaisala, nous fournissons un ensemble de protocoles IQOQ et, si le client le souhaite, nous l'exécutons également.

La protection et la conservation des enregistrements, comme décrit dans la Section 11.10 de la Partie 11 (c), signifie que quelles que soient les données produites par votre système, elles ne peuvent pas être altérées. De plus, pour répondre à l'exigence de « récupération immédiate sur toute la durée de conservation des enregistrements », vos données doivent être archivées de manière à être facilement accessibles, afin de ne pas faire attendre les demandeurs.

Si vous stockez vos données de manière permanente dans votre base de données, la base de données doit être conçue de manière à ce que la performance du système ne soit pas dégradée avec le développement au fil du temps de la base de données. La manière dont vous répondez aux exigences de la norme 21 CFR Part 11 peut être liée à la conception de votre système aussi bien qu'aux politiques d'administration de votre système concernant l'archivage.

Dans l'Annexe 11, sous « Stockage des données », il est recommandé de sécuriser le stockage des données et de les sauvegarder physiquement et électroniquement, et de vérifier régulièrement leur accessibilité, lisibilité et précision. L'Annexe 11 mentionne également la nécessité de valider les capacités de restauration des données de votre système.

La Partie 11 et l'Annexe 11 ont été introduites pour répondre aux différences clés entre les systèmes informatisés et manuels, et rendre les enregistrements électroniques équivalents aux enregistrements papier comme preuve de l'exécution du processus de qualité. Aujourd'hui, la plupart des systèmes de surveillance environnementale utilisés dans les entreprises conformes GxP sont intrinsèquement alignés sur les exigences des « Elevens ». Cependant, le risque ne vient pas des systèmes eux-mêmes mais de la manière dont ils sont mis en œuvre et entretenus.

Même si votre système de surveillance comporte probablement des manuels et CD utilisateur et administrateur facilement intégrables à votre système de gestion des documents, les procédures de contrôle de la documentation restent votre responsabilité. Aussi performant que votre système de surveillance puisse être (et si vous avez un système Vaisala, c'est encore mieux !), seules les procédures de votre système qualité vous permettent de rester conforme à la Partie 11/Annexe 11.

Nous n'avons pas abordé les signatures électroniques car il s'agit d'une fonction du logiciel spécialisé. Un logiciel d'entreprise spécialisé existe pour la mise en place de signatures électroniques dans un système de gestion des documents électroniques (EDMS). Pour la solution de surveillance de Vaisala, nous utilisons un système « hybride », ce qui signifie qu'il utilise les enregistrements combinés avec les signatures manuelles, où les sorties PDF peuvent être importées dans l'EDMS.

Voici un livre blanc : « La conformité du système de surveillance continue de Vaisala avec les exigences de la réglementation 21 CFR Part 11 et de l'Annexe 11 ». Reportez-vous à notre base de connaissances pour plus de documents réglementaires et de notes d'application.