Académique Documents
Professionnel Documents
Culture Documents
Entrer en conformité
grâce à sa GMAO
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Entrer en conformité
grâce à sa GMAO
PRÉFACE
Les normes occupent une place de plus importante dans l’économie mondiale et dans
l’industrie. Édictées par des instances étatiques ou supra-étatiques, elles ont vocation à
protéger les consommateurs tant du point de vue de leur santé que de la qualité des
produits qui leur sont proposés.
Pour atteindre cet objectif, les normes s’appliquent à tous les niveaux de la production, y
compris à la maintenance. Les organismes qui contrôlent la conformité à ces normes exigent
des entreprises qu’elles soient en mesure de produire des documents fiables attestant qu’elles
respectent les règles et procédures auxquelles elles sont soumises.
Bien que les échanges internationaux soient de plus en plus nombreux, ces normes restent
souvent rédigées par des organismes nationaux. C’est le cas de la norme 21 CFR Part 11 qui
nous intéresse ici, produite par l’Agence américaine des produits alimentaires et médica-
menteux (FDA, Food and Drug Administration).
Étant donné l’importance considérable du marché américain pour certains secteurs industriels
comme l’industrie pharmaceutique, l’agroalimentaire ou les cosmétiques, la mise en con-
formité avec cette norme est indispensable pour de nombreuses entreprises. Il faut donc en
comprendre à la fois le contenu et les enjeux pour les secteurs concernés.
Il faut ensuite identifier les outils les plus pertinents, voire indispensables, pour se mettre en
conformité. En matière de maintenance, la GMAO a, de ce point de vue, acquis une impor-
tance cruciale notamment grâce aux avancées technologiques considérables qu’elle a con-
nues ces dernières années.
La norme 21 CFR Part 11 est plus qu’une obligation à respecter pour pénétrer le marché
américain. Elle est aussi une opportunité, pour toute entreprise, de s’inscrire dans une
démarche d’amélioration continue qui favorise, in fine, sa productivité et sa compétitivité.
2 COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Entrer en conformité
grâce à sa GMAO
SOMMAIRE
Présentation de la norme 21 CFR Part 11 ....................................................4
3
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Présentation
de la norme
21 CFR part 11
Le CFR est le Code des Réglementations Fédérales (Code of Federal
Regulations), dont le titre 21 édicte les règles qui s’appliquent aux produits
alimentaires, aux médicaments et aux cosmétiques. La norme 21 CFR Part 11
y a été introduite en 1997 par la FDA en réponse à l’informatisation croissante
de l’archivage des documents dans l’industrie pharmaceutique, mais elle
s’impose aujourd’hui à d’autres secteurs d’activité.
Genèse de la norme
Dans les années 1980 et 1990, de nombreuses entreprises américaines ont commencé à intégrer les progrès
informatiques en adoptant des méthodes d’archivage numériques. Cela leur a permis d’économiser du temps
et donc de l’argent, et d’améliorer leur productivité.
La FDA a alors constaté que l’archivage des documents par voie informatique ne proposait pas les mêmes
garanties que les documents papier utilisés jusque-là, notamment en termes de fiabilité, d’authenticité et de
validité.Ce constat lui posait problème, car elle craignait que les entreprises de l’industrie pharmaceutique
n’en profitent pour falsifier des documents et dissimuler ainsi leurs enfreintes aux normes.
Étant donné les graves conséquences potentielles d’éventuelles fraudes sur la santé des consommateurs de
médicaments, de vaccins ou de produits alimentaires, la FDA a ajouté au CFR, en mars 1997, le chapitre “Part
11 - Electronic records ; Electronic signatures”.
Objectifs
4
4
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
L’agence fédérale a donc imposé aux entreprises de mettre en place des contrôles permettant de certifier la
validité, l’authenticité et la fiabilité du traitement de leurs données et documents numériques.
Son but était, de fait, d’étendre ainsi aux documents numériques les procédures de certifications existant
jusqu’alors pour les documents papier, à travers les écritures et signatures manuscrites, pour lesquelles les
tentatives de falsification étaient plus facilement repérables.
Se mettre en conformité avec la norme 21 CFR Part 11 est bien sûr un impératif pour toutes les entreprises
des secteurs concernés qui souhaitent pénétrer le marché américain. Mais c’est aussi l’occasion d’améliorer
ses process, notamment en matière de maintenance, et de limiter le nombre d’incidents de production et leur
durée, notamment ceux qui sont dus à des problèmes de sécurité informatique ou sanitaire. La mise en con-
formité permet donc également de gagner en productivité.
Elle s’inscrit dans un processus global d’amélioration continue qui se traduit par :
• la fin de l’utilisation de documents papier, afin de réduire les erreurs de saisie, grâce à un processus de
dématérialisation ;
• l’adoption d’une traçabilité informatique ascendante et descendante, pour faciliter la recherche d’informa-
tions ;
• l’informatisation des dossiers et la gestion des flux documentaires.
DONT
COMPANY
5
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Historique de la norme
21 CFR part 11
ÉDITION ET RÉVISIONS
COMPANY
6
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
7
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
L’industrie agro-alimentaire
De plus, la traçabilité est un enjeu particulièrement fort dans ce secteur qui fait intervenir un grand nombre de
fournisseurs différents.
La maintenance des machines utilisées dans ce type d’activité industrielle doit donc intégrer ces contraintes :
• en respectant les normes sanitaires en vigueur, notamment en termes d’hygiène, de sécurité et de traça-
bilité des
produits ;
• en limitant autant que possible les arrêts de production, dont l’impact est plus important qu’ailleurs ;
• en limitant les risques de non-conformité des produits ;
• en fournissant toutes les informations nécessaires pour garantir le respect des normes.
Le respect des critères édictés en matière d’archivage et de signature des documents par la norme 21 CFR
Part 11 est donc particulièrement important pour permettre, par exemple, d’identifier l’origine d’une non-con-
formité, dont les conséquences sur la santé des consommateurs est potentiellement considérable.
8
8
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
24 MILLIARD
D’EUROS de
C.A. en 2018
COMPANY
9
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
L’article 11.10 détaille les critères concernant le De plus, chaque entreprise a l’obligation de mettre
contrôle des systèmes fermés. Ceux-ci sont définis en place des règles écrites envers les personnes
par la FDA comme des environnements com- qui soumettent leur signature électronique. Celles-
portant des systèmes contrôlés par le personnel ci doivent notamment mentionner que chaque
chargé de la gestion des documents électron- signataire a la responsabilité de limiter le risque de
iques. Ils doivent faire l’objet de plusieurs dis- fraude.
positifs de contrôle afin de préserver l’intégrité et Enfin, la FDA exige que des copies complètes
l’authenticité des données. et exactes des documents utilisés puissent être
présentées.
Les contrôles exigés doivent prendre la forme de :
• pistes d’audit ; Contrôle des systèmes ouverts
• validation des systèmes ;
• contrôle des systèmes opérationnels ; Les systèmes ouverts sont, pour la FDA, des envi-
• contrôle des appareils ; ronnements comportant des systèmes contrôlés
• contrôle des autorisations ; par un tiers ne participant pas à la gestion des
• programme de sécurité ; documents électroniques. Ils doivent être dotés de
• procédures de contrôle des modifications. dispositifs de contrôle visant, là aussi, à préserver
l’intégrité et l’authenticité des informations.
10
10
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Formation au système
Pour garantir le bon fonctionnement des systèmes de contrôles, la FDA exige que toutes les personnes con-
cevant, utilisant ou maintenant le système de signatures électroniques et de gestion des documents suivent
une formation à son utilisation et à sa mise en œuvre.
Signatures éléctroniques
De nombreux critères de la norme 21 Part 11 concernent les signatures électroniques. D’une manière
générale, l’identité d’une personne doit être vérifiée par l’entreprise avant de l’autoriser à utiliser sa signature
électronique. Par ailleurs, chaque collaborateur de l’entreprise doit présenter un certificat attestant que sa
signature électronique est équivalente à sa signature manuscrite. Les entreprises ne peuvent pas, elles, réuti-
liser ou réattribuer une signature numérique, qui est la propriété exclusive du signataire initial.
Toutes les signatures électroniques doivent inclure des informations exclusives à chaque document, telles
que la date et l’heure de la signature. Elles doivent aussi mentionner le nom du signataire et l’objet de la sig-
nature (vérification, approbation, responsabilité, etc.).
De plus, chaque signature manuscrite ou électronique doit être associée au document sur lequel elle est ap-
posée, afin d’éviter une reproduction sur un autre document.
La FDA impose l’utilisation de plusieurs dispositifs de contrôle des signatures électroniques, afin d’en garan-
tir la fiabilité, de prévenir toute fraude et de garantir l’authenticité des documents signés. Ainsi, l’utilisation de
deux éléments d’identification est requise, par exemple un identifiant et un mot de passe.
Par ailleurs, l’accès à une signature doit requérir l’intervention de deux parties, pour limiter les risques de
fraude. Les signatures utilisant la biométrie, dont la fiabilité est en principe garantie, ne sont, elles, pas
soumises à ces contrôles.
11
11
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
La FDA impose à l’entreprise de contrôler que les identifiants et mots de passe utilisés pour garantir la validité
des signatures soient :
• une combinaison unique et propre à chaque signataire ;
• régulièrement vérifiés, rappelés ou modifiés ;
Elle exige également que les appareils utilisant ou générant des signatures électroniques soient régulière-
ment testés.
En cas de perte, de vol ou de compromission d’identifiants ou de mots de passe, l’entreprise doit suivre une
procédure de désactivation et de remplacement temporaire ou permanent de ceux-ci intégrant des contrôles
adaptés et rigoureux.
Enfin, chaque entreprise doit mettre en place des mécanismes de sécurité des transactions afin de prévenir,
d’identifier et de signaler très rapidement aux responsables de la sécurité et à la hiérarchie indiquée toute
utilisation non autorisée d’identifiants ou de mots de passe.
12
12
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Les outils de
la mise en
conformité
Étant donné sa complexité et la rigueur de ses critères, la mise en conformité avec la
norme 21 CFR Part 11 ne peut s’improviser. Elle ne peut être que le fruit d’une stratégie
basée sur l’utilisation de méthodes et d’outils appropriés.
La GMAO
En matière de maintenance, la GMAO est l’outil ab- • organisation de la mise en sécurité des installa-
solument incontournable pour respecter la norme tions avant les interventions ;
21 CFR Part 11. • gestion des stocks de pièces détachées (in-
Le terme GMAO, pour Gestion de la Maintenance ventaire, achats, etc.) ;
Assistée par Ordinateur, désigne le fait d’utiliser un • gestion des équipes de maintenance (planning,
logiciel spécifiquement conçu pour gérer toutes répartition des tâches) ;
les opérations de maintenance et les activités • gestion des coûts liés à la maintenance ;
connexes (comme le stock de pièces détachées • indicateurs clés de performance.
par exemple) plutôt que des documents papier ou
un tableur de type Excel pour tenir l’inventaire des Par rapport à la “méthode Excel”, encore utilisée
interventions réalisées. par de nombreuses entreprises pour gérer la main-
tenance de leurs machines, l’adoption d’un logiciel
Un logiciel de GMAO est donc un programme in- de GMAO présente de nombreux avantages, et
formatique qui permet de faciliter et de rationaliser permet surtout, s’il est performant et adapté, de
la maintenance des équipements au sein d’une se mettre plus facilement en conformité avec la
entreprise. norme 21 CFR Part 11.
Il dispose généralement des fonctions suivantes : Ainsi, les solutions récentes de GMAO peuvent,
• gestion des équipements (inventaire, localisa- contrairement à un tableur, fournir des enregis-
tion…) ; trements et des signatures électroniques respect-
• gestion des interventions de maintenance (de- ant les critères de la FDA.
mandes et rapports d’interventions) ;
13
13
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Elles disposent de fonctions avancées grâce auxquelles il est possible de gérer des signatures électron-
iques, notamment à travers différents niveaux d’approbation, ou d’avoir accès à l’enregistrement de toutes les
actions de maintenance réalisées. De plus, tous les rapports d’intervention, les modifications apportées aux
machines et les révisions sont consultables et traçables.
Un logiciel MES (Manufacturing Execution System) Tout comme pour la GMAO, l’adoption d’un lociel
est un programme informatique de pilotage de la MES est le corollaire de la mise en conformité
production qui collecte en temps réel les données avec la norme 21 CFR Part 11.
de production d’une usine et les analyse du point
de vue de la qualité, de la traçabilité, de l’ordon- Elle permet en effet de supprimer les documents
nancement et de la maintenance. papier concernant la production, de bénéfici-
er d’une traçabilité informatique ascendante et
Son rôle est de superviser les machines et leurs descendante, de gérer les flux documentaires et
opérateurs en fournissant une traçabilité complète de gagner ainsi du temps dans la remontée des
des informations de fabrication. Il est également problèmes grâce aux automatisations et indexa-
chargé de transmettre les bonnes informations au tions documentaires.
bon moment, aussi bien aux opérateurs (instruc-
tions de travail, avancement des ordres de fabrica-
tion) qu’aux machines.
14
14
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
15
15
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
En matière de maintenance, la
GMAO est l’outil absolument
incontournable pour respecter la
norme 21 CFR Part 11.”
COMPANY
16
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
La solution
incontournable:
la GMAO
On l’a vu, les critères édictés par la norme de la FDA portant sur l’archivage
numérique et les signatures électroniques sont particulièrement stricts. La
maintenance est un domaine pleinement concerné par ces règles. C’est
pourquoi recourir à une solution de GMAO adaptée à celles-ci est aujourd’hui
indispensable pour toute entreprise qui souhaite se mettre en conformité.
17
17
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Enfin, en rendant possible la mise en place d’une stratégie de maintenance prédictive, un logiciel de GMAO
performant contribue à l’amélioration globale des conditions de sécurité.
En améliorant le suivi des interventions de main- Les critères imposés par la norme 21 CFR Part
tenance et en permettant l’élaboration d’une 11 impliquent de mettre en place des process
stratégie de maintenance efficace, la GMAO fa- permettant de garantir la totale sécurité des
vorise une gestion des stocks optimisée et simpli- données. Cela passe notamment par une gestion
fiée. Grâce aux tableaux de bord, les équipes ont à stricte et avancée des accès et droits utilisa-
tout moment accès aux informations nécessaires teurs, un journal des connexions et la définition
pour gérer les stocks de pièces détachées au plus de schémas hiérarchiques précis pour l’approba-
près des besoins présents et futurs et en tenant tion de certaines données sensibles.
compte des délais de livraison et des conditions Un logiciel de GMAO tel que Mobility Work per-
de stockage. met d’instaurer ce type de process.
Les ruptures d’approvisionnement et le surstock-
age sont ainsi beaucoup plus faciles à éviter. Par exemple, l’accès à chaque type de données
De plus, une GMAO telle que Mobility Work peut peut être paramétré avec précision, pour chaque
être synchronisée avec un ERP (Entreprise Res- machine, chaque groupe d’équipement ou chaque
source Planning ou Progiciel de gestion intégré), document. L’accès peut être défini individuelle-
un outil utilisé par de nombreuses entreprises ment ou pour un ensemble de personnes, comme
pour gérer leurs stocks mais souvent compliqué à un service, une usine entière ou même un groupe
manier pour les personnels. industriel.
18
18
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
La transparence
COMPANY
19
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Traitement des
données par
Mobility Work
Mobility Work collecte des données auprès de ses utilisateurs à la fois pour leur permettre
d’être en conformité avec la norme 21 CFR Part 11, pour les aider à améliorer leur
stratégie de maintenance et pour leur offrir les bénéfices d’une véritable communauté de
maintenance. Nous sommes donc particulièrement attentifs à la sécurité de vos données
et au respect des droits des utilisateurs tels que définis par le RGPD.
Une utilisation des données transparente et respectueuse des droits des utilisateurs
Notre politique de gestion des données est totalement transparente et consultable ici. Par ailleurs, conformé-
ment au RGPD, toutes les données des utilisateurs sont effacées dès qu’ils suppriment leur compte (sauf
dispositions particulières : facturation, réquisition, etc.).
Nous utilisons les serveurs d’AWS (Amazon Web Service) pour stocker les données. AWS est une entreprise
reconnue, qui fournit par exemple Netflix ou Spotify et dispose de très nombreux certificats en matière de
sécurité, qui bénéficient aussi bien à Mobility Work qu’à ses utilisateurs.
Par ailleurs, deux niveaux de sécurité sont appliqués aux données collectées. D’une part, toutes les requêtes
des utilisateurs sont filtrées par Cloudflare, un service spécialisé dans la sécurisation de sites. D’autre part,
l’infrastructure de notre logiciel est située sur des serveurs privés, ce qui empêche tout scan de vulnérabilité,
la méthode la plus fréquemment employée lors d’intrusions malveillantes.
Enfin, toutes les données des utilisateurs sont encryptées dès qu’ils se connectent à l’application, grâce à
l’encryption in transit. Elles le sont également lorsqu’elles sont stockées sur le serveur AWS, grâce à l’encryp-
tion at rest. Ces données sont ainsi protégées de toute intervention durant la communication entre les deux
entités. Pour renforcer cette protection, les clés de chiffrement sont régulièrement modifiées par nos équipes
de développeurs, et l’accès à la configuration de l’application par des services externes est lui aussi chiffré et
restreint.
20
20
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Il est utile de préciser que même les logs (des sortes de journaux de bord des connexions qui servent au
développement de l’application) sont cryptés et protégés comme les données clients, ce qui rend impossible
pour un utilisateur malveillant d’y accéder ou de les modifier.
Notre volonté de protéger les données de nos utilisateurs s’étend jusqu’à nos procédures internes de travail.
Ainsi, nos équipes de développeurs accèdent à l’infrastructure et aux environnement du logiciel de façon
sécurisée à travers un VPN. De plus, toutes les opérations réalisées par les équipes techniques sont enregis-
trées sur des journaux de bord afin de garantir un suivi et de contrôler de mauvaises manipulations éventu-
elles.
Pour améliorer l’environnement de production, par exemple lorsqu’un bug est signalé, nos développeurs
travaillent sur un environnement de démo pour apporter les correctifs nécessaires sans accéder aux infor-
mations privées des utilisateurs. D’une manière générale, l’accès à ces données personnelles est protégé y
compris en interne, et il n’est pas ouvert aux employés de l’entreprise.
21
21
COMPANY
LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Entrer en conformité
grâce à sa GMAO
CONCLUSION
La norme 21 CFR Part 11 de la FDA américaine fixe des règles strictes en matière de traçabil-
ité, d’authenticité et de fiabilité des documents et signatures électroniques générés et utilisés
par les entreprises des secteurs pharmaceutique, agroalimentaire et cosmétique. Se mettre en
conformité avec ces règles implique de repenser et de réorganiser tous les processus de vali-
dation et d’archivage.
Mais ce passage obligé peut être plus qu’un poids pour l’entreprise et ses salariés. En choisis-
sant des outils intégrant intelligemment les nouvelles technologies et adaptés aux enjeux
de la norme 21 CFR Part 11, il est possible de saisir l’occasion de la mise en conformité pour
s’engager pleinement dans une transition numérique plus que jamais indispensable. Les
entreprises qui souhaitent lancer ce processus peuvent d’ailleurs bénéficier d’aides publiques
à la transformation numérique.
22
22
COMPANY
Lénaïc Sourget, auteur
Rédacteur SEO polyvalent trilingue, Lénaïc Sourget est l’un
des principaux animateurs du blog de Mobility Work, première
plateforme de gestion de maintenance communautaire, pour
lequel il rédige aussi bien des articles de fond sur la mainte-
nance que des revues de presse sur l’actualité du secteur.
Bibliographie
https://en.wikipedia.org/wiki/Title_21_of_the_Code_of_Federal_Regulations
https://ecfr.federalregister.gov/current/title-21/chapter-I/subchapter-A/part-11
https://www.cnil.fr/fr/comprendre-le-rgpd
https://www.mobility-work.com/fr/blog/securite-des-donnees-gmao
http://www.sigmaxer.fr/box/Maintenance_Pharmaceutique.pdf
+33 09 51 56 88 35
contact@mobility-work.com
www.mobility-work.com/fr
23
23
COMPANY