Formation CSV 13/05/2022

Jean-Louis JOUVE
jean-louis.jouve@coetic.com
1

● Première version en 1992

● Tentative de révision en 2008 :
◦ Révision très technique et orienté « moyens »
◦ Beaucoup de commentaires de la part des industriels
◦ Relais passé aux inspecteurs allemands
● Nouvelle version entrant en application Juin 2011 (Europe)

(c) Coetic 13/05/2022 2

(c) COETIC 1
Formation CSV 13/05/2022

● Cette annexe s'applique à toutes les formes de systèmes informatisés

utilisés dans le cadre d'activités relevant des BPF. Un système informatisé
comprend un ensemble de matériels et de logiciels qui remplissent
ensemble certaines fonctionnalités.

(c) Coetic 13/05/2022 3

PI011
4.5 “Computerised
system”, (viz.: the
controlling system
and the
controlled process
in an operating
environment).

(c) Coetic 13/05/2022 4

(c) COETIC 2
Formation CSV 13/05/2022

● Application : Logiciel installé sur une plateforme ou un équipement défini(e)

et fournissant une fonction spécifique.
● Système informatisé sur mesure ou personnalisé: Système informatisé
conçu de manière unique afin de convenir à un processus spécifique.
● Logiciel standard du commerce: Logiciel disponible dans le commerce et
conçu pour être utilisé par un large spectre d'utilisateurs.
● Infrastructure informatique : Ensemble des équipements et logiciels, tels que
des logiciels réseau et des systèmes d'exploitation, permettant le bon
fonctionnement de l'application.

(c) Coetic 13/05/2022 5

● Cycle de vie : Toutes les phases de vie d'un système, de l'expression initiale
des besoins jusqu'à sa mise hors service, et incluant la conception, les
spécifications, la programmation, les tests, l'installation, l'exploitation et la
maintenance.

(c) Coetic 13/05/2022 6

(c) COETIC 3
Formation CSV 13/05/2022

● Détenteur du processus : Personne responsable du processus

opérationnel.
● Détenteur du système : Personne responsable de la disponibilité et
de la maintenance d'un système informatisé, ainsi que de la
sécurité des données conservées par le système.
● Tiers : Entités qui ne sont pas sous la responsabilité directe du
détenteur de l'autorisation de fabrication et/ou d'importation.

(c) Coetic 13/05/2022 7

● Principe : Lorsqu'un système informatisé remplace une opération

manuelle, il ne doit pas en résulter une baisse de la qualité du
produit, de la maîtrise du processus ou de l'assurance de la qualité.
Il ne doit pas non plus en découler une augmentation du risque
général lié au processus.
● La gestion du risque doit être appliquée tout au long du cycle de vie
du système informatisé, en prenant en compte la sécurité des
patients, l'intégrité des données et la qualité du produit. Ainsi, les
décisions relatives à l'étendue de la validation et aux contrôles
d'intégrité des données doivent être basées sur une évaluation
justifiée et documentée des risques liés au système informatisé.

(c) Coetic 13/05/2022 8

(c) COETIC 4
Formation CSV 13/05/2022

(c) Coetic 13/05/2022 9

● 4.1 La documentation et les rapports de validation doivent couvrir

les étapes pertinentes du cycle de vie. Les fabricants doivent être
capables de justifier leurs standards, leurs protocoles, leurs critères
d'acceptation, leurs procédures et leurs enregistrements, sur la base
de leur évaluation du risque.

(c) Coetic 13/05/2022 10

10

(c) COETIC 5
Formation CSV 13/05/2022

● 3.3. La documentation accompagnant les produits standards du commerce

doit être attentivement examinée par les utilisateurs soumis à la
réglementation pharmaceutique, afin de s'assurer qu'ils satisfont aux
exigences attendues.
● 4.4. Les spécifications utilisateurs (« Users Requirements Specifications » -
URS) doivent décrire les fonctions requises du système informatisé et être
basées sur une évaluation documentée du risque et de l'impact BPF. Les
exigences de l'utilisateur doivent être traçables tout au long du cycle de vie.

(c) Coetic 13/05/2022 11

11

● 3.1. Un contrat formel doit être établi dès lors que le fabricant fait appel à un
tiers, tel un fournisseur ou un prestataire de services, qui interviendrait, par
exemple, dans l'approvisionnement, l'installation, la configuration,
l'intégration, la validation, la maintenance (e.g. via un accès à distance), la
modification ou la conservation d'un système informatisé. Il en est de même
pour tous services afférents ou dans le cadre d'un traitement de données. Ce
contrat doit définir clairement les responsabilités de la tierce partie. Les
services informatiques doivent être considérés de manière similaire.

(c) Coetic 13/05/2022 12

12

(c) COETIC 6
Formation CSV 13/05/2022

● 3.2. La compétence et la fiabilité d'un fournisseur sont des facteurs essentiels à

prendre en compte lors de la sélection d'un produit ou d'un prestataire de service.
La nécessité d'un audit doit être basée sur une évaluation du risque.
● 3.4. Les informations relatives au système qualité et à l'audit des fournisseurs ou
des développeurs de logiciels ainsi que les systèmes installés doivent être
disponibles, à la demande des inspecteurs de l'agence chargée de l'évaluation de
la conformité aux BPF.
● 4.5. L'utilisateur soumis à la réglementation pharmaceutique doit prendre toutes les
mesures raisonnables permettant de s'assurer que le système informatisé a été
développé conformément à un système approprié de gestion de la qualité. Le
fournisseur doit être évalué de manière adéquate.

(c) Coetic 13/05/2022 13

13

L’efficacité repose sur la compétence des individus

Niveau 1 Initial Crise = processus sacrifiés, délais/coûts non maîtrisés

Principaux processus définis et appliqués (projets)

Niveau 2 Reproductible Processus non définis au niveau de l’organisation

Processus définis au niveau de l’organisation

Niveau 3 Défini Performance quantitative non suivie

Processus mesurés (quantitatif), écarts analysés

Niveau 4 Contrôlé Pas de démarche d’amélioration continue

Démarche d’amélioration continue systématique

Niveau 5 Optimisé Performance constamment améliorée

(c) Coetic 13/05/2022 14

14

(c) COETIC 7
Formation CSV 13/05/2022

● 7.1. Les données doivent être

protégées d'éventuels dommages
par des moyens physiques et
électroniques. L'accessibilité, la
lisibilité et l'exactitude des données
stockées doivent être vérifiées.
L'accès aux données doit être garanti
tout au long de la période de
conservation.
● 7.2. Des sauvegardes régulières des
données pertinentes doivent être
réalisées. L'intégrité et l'exactitude
des données sauvegardées, ainsi
que la capacité à restaurer les
données, doivent être vérifiées
pendant la validation et contrôlées
périodiquement.

(c) Coetic 13/05/2022 15

15

● 12.1. Des moyens physiques et/ou logiques

doivent être mis en place afin de restreindre
l'accès des systèmes informatisés au seul
personnel autorisé. Des méthodes
adéquates pour éviter des accès non
autorisés au système informatisé peuvent
consister en l'utilisation de clés, de badges,
de codes personnels associés à des mots de
passe, de la biométrie, d'accès limités aux
zones où sont situés les équipements
informatiques et les stockages des données.
● 12.2. L'étendue des contrôles de sécurité
dépend de la criticité du système informatisé.

(c) Coetic 13/05/2022 16

16

(c) COETIC 8
Formation CSV 13/05/2022

● 12.3. La création, la modification et l'annulation

des autorisations d'accès doivent être
enregistrées.

(c) Coetic 13/05/2022 17

17

● 16. Les dispositions nécessaires doivent être prises afin d'assurer le

bon fonctionnement des procédés critiques abrités par des
systèmes informatisés ayant subi une panne (par exemple, en
utilisant un mode manuel ou un mode dégradé). Le temps
nécessaire à la mise en place de ce mode dégradé doit être basé
sur une étude des risques et être approprié au système et à l'activité
concernée. Ces modes dégradés doivent être correctement
documentés et testés.

(c) Coetic 13/05/2022 18

18

(c) COETIC 9
Formation CSV 13/05/2022

● 6. Contrôle d'exactitude :Lorsque des données critiques sont introduites

manuellement, il est nécessaire de prévoir un contrôle supplémentaire
pour vérifier leur exactitude. Ce contrôle peut être effectué par un
deuxième opérateur ou par des moyens électroniques validés. La criticité
et les conséquences potentielles de données erronées ou incorrectement
saisies doivent être couvertes par la gestion du risque.
● 12.4. Les systèmes de gestion des données et des documents doivent
être conçus pour enregistrer l'identité des utilisateurs impliqués dans la
saisie, la modification, la confirmation ou la suppression de données, y
compris la date et l'heure.

(c) Coetic 13/05/2022 19

19

● 4.8. Si des données

sont transférées dans
un autre format ou vers
un autre système, la
validation doit
notamment garantir
que la valeur et/ou la
signification des
données ne sont pas
altérées durant le
processus de
migration.
(c) Coetic 13/05/2022 20

20

(c) COETIC 10
Formation CSV 13/05/2022

● 9. Il doit être envisagé, sur la base d'une analyse de risques, l'inclusion au sein du système
informatisé d'un journal (dit « audit trail ») permettant de conserver la trace de toute
modification ou suppression survenue sur les données ayant un impact BPF. Toute
modification ou suppression d'une donnée ayant un impact BPF doit être justifiée et
documentée. L'« audit trail » doit être disponible, convertible dans un format compréhensible
et revu à fréquence régulière.

(c) Coetic 13/05/2022 21

21

● 8.1. Il doit être possible d'obtenir des copies imprimées et claires

des données stockées électroniquement.
8.2. Concernant les données nécessaires à la libération des lots, les
impressions générées doivent pouvoir indiquer si l'une ou plusieurs
d'entre elles ont été modifiées depuis leur saisie initiale.

(c) Coetic 13/05/2022 22

22

(c) COETIC 11
Formation CSV 13/05/2022

● 17. Les données peuvent être archivées.

L'accessibilité, la lisibilité et l'intégrité de ces
données doivent être vérifiées. Si des
modifications significatives du système doivent
être faites (par exemple, un changement
d'équipement informatique ou de logiciel), alors la
capacité à récupérer les données archivées doit
être garantie et testée.

(c) Coetic 13/05/2022 23

23

● 14. Les enregistrements électroniques peuvent être signés électroniquement. Les

signatures électroniques doivent :
◦ a- avoir la même valeur, au sein de l'entreprise, qu'une signature manuscrite ;
◦ b- être définitivement liées aux documents auxquels elles se rapportent ;
◦ c- comprendre l'heure et la date de leur application.
● 15. Lorsqu'un système informatisé est utilisé pour enregistrer la certification et la
libération de lot, il doit être conçu de manière à ce que seules les personnes
qualifiées puissent certifier la libération des lots. De plus, la personne libérant ou
certifiant les lots doit être clairement identifiée et enregistrée. Cette opération doit
être réalisée à l'aide d'une signature électronique.

(c) Coetic 13/05/2022 24

24

(c) COETIC 12
Formation CSV 13/05/2022

● Principe. L'application doit être validée et l'infrastructure

informatique doit être qualifiée.
● 4.6. En ce qui concerne la validation de systèmes informatisés sur
mesure ou personnalisés, un processus doit être mis en place afin
de garantir une évaluation formelle et des retours d'information sur
la qualité et les mesures de performance, et ce, pour toutes les
étapes du cycle de vie du système.

(c) Coetic 13/05/2022 25

25

● 4.7. L'adéquation des méthodes et des scénarii de tests doit être

démontrée. Ainsi, les limites des paramètres du système
(processus) et des données ainsi que le traitement des erreurs,
doivent être particulièrement pris en considération. L'adéquation des
outils automatisés et des environnements de test doit faire l'objet
d'une évaluation documentée.

(c) Coetic 13/05/2022 26

26

(c) COETIC 13
Formation CSV 13/05/2022

● 5. Les systèmes informatisés qui échangent des données

électroniques avec d'autres systèmes doivent disposer de contrôles
intégrés garantissant la sécurité et l'exactitude des entrées et des
traitements des données et ce, afin de minimiser les risques.

(c) Coetic 13/05/2022 27

27

● 10. Toute modification d'un

système informatisé, y
compris relative à sa
configuration, doit être
réalisée de façon maîtrisée et
conformément à une
procédure définie.
● 4.2. La documentation de
validation doit inclure, le cas
échéant, les enregistrements
relatifs à la maîtrise des
changements et les rapports
de toutes les déviations
observées durant le
processus de validation.

(c) Coetic 13/05/2022 28

28

(c) COETIC 14
Formation CSV 13/05/2022

● 11. Les systèmes informatisés doivent périodiquement faire l'objet

d'une évaluation afin de s'assurer qu'ils restent dans un état validé
et conforme aux BPF. Ces évaluations doivent inclure, le cas
échéant, le périmètre de leurs fonctionnalités, les enregistrements
des déviations, les incidents, les problèmes, l'historique des mises à
jour et les rapports de performance, de fiabilité, de sécurité et de
validation.

(c) Coetic 13/05/2022 29

29

● 4.3. Un inventaire à jour de tous les systèmes concernés et leurs

fonctionnalités BPF doit être disponible.
● Pour les systèmes critiques, une description à jour du système
détaillant les dispositions physiques et logiques, les flux de données
et les interfaces avec d'autres systèmes ou processus, les pré-
requis concernant les matériels et les logiciels, ainsi que les
mesures de sécurité, doit être disponible.

(c) Coetic 13/05/2022 30

30

(c) COETIC 15
Formation CSV 13/05/2022

● 13. Tous les incidents, non pas seulement ceux liés aux défaillances
du système et aux erreurs de données, doivent être rapportés et
évalués. L'origine d'un incident critique doit être identifiée et
constituer la base d'actions correctives et préventives.

(c) Coetic 13/05/2022 31

31

● 2. Une coopération étroite doit exister entre l'ensemble des

personnels impliqués, tels que le détenteur du processus,
le détenteur du système, les personnes qualifiées et le
service informatique. Afin d'effectuer les tâches qui lui sont
imparties, le personnel doit bénéficier des qualifications et
niveaux d'accès appropriés et ses responsabilités doivent
être clairement définies.

(c) Coetic 13/05/2022 32

32

(c) COETIC 16
Formation CSV 13/05/2022

● La documentation constitue une partie essentielle du

Système d’Assurance Qualité et est la clé pour un
fonctionnement conforme aux exigences GMP.
● La documentation peut exister sous différentes formes :
◦ Papier,
◦ Electronique = Electronic Record (ER)
◦ Photographique
● Les exigences s’appliquent à tous les médias possibles.

(c) Coetic 13/05/2022 33

33

● Il existe deux types de documentation :

◦ Instructions (directives, exigences)
◦ Enregistrements/rapports
● Analogie avec la notion de Master et Batch record (US GMP)
● Des moyens de maîtrise appropriés doivent être mis en œuvre pour
garantir l’exactitude, l’intégrité, la disponibilité et la lisibilité des
documents.

(c) Coetic 13/05/2022 34

34

(c) COETIC 17
Formation CSV 13/05/2022

● Les enregistrements doivent être faits ou terminés au moment où l’action

est effectuée et de telle façon que toutes les activités significatives
relatives à la production des médicaments soient tracées
● Toute modification faite sur un enregistrement doit être signée et datée ;
la modification doit permettre la lecture de l’information originelle. Le cas
échéant, le motif de cette modification doit être enregistré…

(c) Coetic 13/05/2022 35

35

Jean-Louis JOUVE
jean-louis.jouve@coetic.com

36

(c) COETIC 18
Formation CSV 13/05/2022

(a) Les équipements automatiques, mécaniques ou électroniques ou d'autres types

d'équipements, y compris les ordinateurs, ou les systèmes connexes qui rempliront une
fonction de manière satisfaisante, peuvent être utilisés dans la fabrication, le traitement, le
conditionnement et la détention d'un produit pharmaceutique. Si ces équipements sont
utilisés de cette manière, ils doivent être régulièrement calibrés, inspectés ou vérifiés selon
un programme écrit conçu pour assurer une performance adéquate. Des registres écrits de
ces contrôles et inspections de calibrage doivent être conservés.

Étalonnage et vérification des

équipements
Carnet de bord requis

(c) Coetic 13/05/2022 37

37

b) Des contrôles appropriés doivent être exercés sur les systèmes informatiques ou connexes
pour garantir que les modifications des enregistrements maîtres de production et de contrôle ou
d'autres enregistrements ne sont apportées que par du personnel autorisé. L'exactitude des
entrées et des sorties de l'ordinateur ou du système connexe de formules ou d'autres
enregistrements ou données est vérifiée. Le degré et la fréquence de la vérification des
entrées/sorties sont fonction de la complexité et de la fiabilité de l'ordinateur ou du système
connexe. Un dossier de sauvegarde des données saisies dans l'ordinateur ou le système
connexe est conservé, sauf lorsque certaines données, telles que les données des calculs
effectués dans le cadre des analyses de laboratoire, sont éliminées par l'informatisation ou
d'autres processus automatisés. Dans de tels cas, un enregistrement écrit du programme est
conservé, ainsi que les données de validation appropriées. Il convient de conserver des copies
papier ou des systèmes de remplacement, tels que des duplicatas, des bandes ou des
microfilms, conçus pour garantir que les données de sauvegarde sont exactes et complètes et
qu'elles sont à l'abri de toute altération, effacement par inadvertance ou perte.
 Accès sécurisé au système = modification des enregistrements de
fichiers maîtres
 Contrôle d’exactitude
 Vérification des calculs
 Sauvegarde des données brutes
 Intégrité des données

(c) Coetic 13/05/2022 38

38

(c) COETIC 19
Formation CSV 13/05/2022

(c) Ces équipements automatisés utilisés pour l'exécution des opérations visées aux articles
211.101(c) ou (d), 211.103, 211.182, ou 211.188(b)(11) peuvent satisfaire aux exigences incluses
dans ces articles concernant l'exécution d'une opération par une personne et la vérification par
une autre personne si ces équipements sont utilisés conformément au présent article, et une
personne vérifie que les équipements ont correctement exécuté l'opération.

Pesée
Calcul du rendement
Calibrage des équipements, nettoyage
Dossier de lot (production et contrôle)

(c) Coetic 13/05/2022 39

39

(c) Coetic 13/05/2022 40

40

(c) COETIC 20
Formation CSV 13/05/2022

21 CFR Part 11 : published in 1997, revised in 2014

Guide FDA « Part 11 Electronic Records, Electronic Signatures - Scope & Application » :
◦ Draft issued in Feb 2003
◦ Final version released in September 2003
This latest guide represents the actual position of FDA on ERES.

(c) Coetic 13/05/2022 41

41

 «Under the narrow interpretation of the scope of part 11, with

respect to records required to be maintained under predicate rules
or submitted to FDA, when persons choose to use records in
electronic format in place of paper format, part 11 would apply. On
the other hand, when persons use computers to generate paper
printouts of electronic records, and those paper records meet all the
requirements of the applicable predicate rules and persons rely on
the paper records to perform their regulated activities, FDA would
generally not consider persons to be "using electronic records in lieu
of paper records" under §§ 11.2(a) and 11.2(b). In these instances,
the use of computer systems in the generation of paper records
would not trigger part 11. »

(c) Coetic 13/05/2022 42

42

(c) COETIC 21
Formation CSV 13/05/2022

 “The printed chromatogram would also not be considered an “exact and complete” copy of the
electronic raw data used to create the chromatogram, as required by 21 CFR 211.68. The
chromatogram does not generally include, for example, the injection sequence, instrument
method, integration method, or the audit trail, of which all were used to create the chromatogram
or are associated with its validity. Therefore, the printed chromatograms used in drug
manufacturing and testing do not satisfy the predicate rule requirements in 21 CFR Part 211. The
electronic records created by the computerized laboratory systems must be maintained under
these requirements.
 We recognize that there are cases where it could be appropriate for the printed chromatogram to
be used within laboratories for the review of test results. Similarly, it also may be acceptable to
provide the printed chromatogram during a regulatory inspection or for application review
purposes. However, the electronic record must be maintained and readily available for review by,
for example, QC/QA personnel or the FDA investigator.
In summary, decisions on how to maintain records for computerized systems should be based on
predicate rule requirements. We recommend that these decisions be supported by a sound risk
assessment. ”
 http://www.fda.gov/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/ucm124787.ht
m#3

(c) Coetic 13/05/2022 43

43

Définition 21 CFR Part 11 :

■ 11.3(b)(8) “The scripted name or legal mark of an individual handwritten by that individual and
executed or adopted with the present intention to authenticate a writing in a permanent form.
The act of signing with a writing or marking instrument such as a pen or stylus is preserved.”

Le nom ou l’inscription légale écrite manuellement par lequel un individu manifeste son
intention d’authentifier un écrit de manière permanente.

(c) Coetic 13/05/2022 44

44

(c) COETIC 22
Formation CSV 13/05/2022

Jean-Louis JOUVE
jean-louis.jouve@coetic.com

45

The extent to which all data are complete, consistent and

accurate throughout the data lifecycle.
Data integrity arrangements must ensure that the accuracy, completeness, content and
meaning of data is retained throughout the data lifecycle.
Data must be ALCOA:
A - attributable to the person [or source/system] generating the data
L – legible and permanent
C – contemporaneous
O – original record (or ‘true copy’)
A - accurate ALCOA+ adds Complete, Consistent, Enduring, Available

Source : MHRA / FDA

MHRA - Data Integrity Definitions and Guidance ; Revision 1.1 - March 2015
FDA - Data Integrity and Compliance With CGMP - Guidance for Industry; April 2016
Add-on from GIC eCompliance

(c) Coetic 13/05/2022 46

46

(c) COETIC 23
Formation CSV 13/05/2022

Human Electronic

(electronic or paper)
All phases in the life of the Record
data (including raw data) from If the

initial generation and Modify recording

Store
process is
validated
recording through processing,
use, data retention, archive / Verify
retrieval and destruction.
Source : MHRA Process, Use
Data Integrity Definitions and Guidance ;
Revision 1.1 - March 2015 Archive /
Retrieve

Destroy

(c) Coetic 13/05/2022 47

47

48

(c) COETIC 24