NORME 21 CFR PART 11

Entrer en conformité
grâce à sa GMAO
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Entrer en conformité
grâce à sa GMAO
PRÉFACE
Les normes occupent une place de plus importante dans l’économie mondiale et dans
l’industrie. Édictées par des instances étatiques ou supra-étatiques, elles ont vocation à
protéger les consommateurs tant du point de vue de leur santé que de la qualité des
produits qui leur sont proposés.

Pour atteindre cet objectif, les normes s’appliquent à tous les niveaux de la production, y
compris à la maintenance. Les organismes qui contrôlent la conformité à ces normes exigent
des entreprises qu’elles soient en mesure de produire des documents fiables attestant qu’elles
respectent les règles et procédures auxquelles elles sont soumises.

Bien que les échanges internationaux soient de plus en plus nombreux, ces normes restent
souvent rédigées par des organismes nationaux. C’est le cas de la norme 21 CFR Part 11 qui
nous intéresse ici, produite par l’Agence américaine des produits alimentaires et médica-
menteux (FDA, Food and Drug Administration).

Étant donné l’importance considérable du marché américain pour certains secteurs industriels
comme l’industrie pharmaceutique, l’agroalimentaire ou les cosmétiques, la mise en con-
formité avec cette norme est indispensable pour de nombreuses entreprises. Il faut donc en
comprendre à la fois le contenu et les enjeux pour les secteurs concernés.

Il faut ensuite identifier les outils les plus pertinents, voire indispensables, pour se mettre en
conformité. En matière de maintenance, la GMAO a, de ce point de vue, acquis une impor-
tance cruciale notamment grâce aux avancées technologiques considérables qu’elle a con-
nues ces dernières années.

La norme 21 CFR Part 11 est plus qu’une obligation à respecter pour pénétrer le marché
américain. Elle est aussi une opportunité, pour toute entreprise, de s’inscrire dans une
démarche d’amélioration continue qui favorise, in fine, sa productivité et sa compétitivité.

2 COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Entrer en conformité
grâce à sa GMAO

SOMMAIRE
Présentation de la norme 21 CFR Part 11 ....................................................4

Secteurs concernés et enjeux par secteur ............................................... 8

L’industrie agro-alimentaire ............................................................................ 8

L’industrie pharmaceutique ............................................................................ 9

Le secteur des cosmétiques ........................................................................ 9

Quels sont les critères de conformité ? .....................................................10

Les outils de la mise en conformité............................................................... 13

La GMAO, réponse incontournable à ces enjeux................................ 17

Piste d’audit et RGPD : conservation des données ..........................19

3
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Présentation
de la norme
21 CFR part 11
Le CFR est le Code des Réglementations Fédérales (Code of Federal
Regulations), dont le titre 21 édicte les règles qui s’appliquent aux produits
alimentaires, aux médicaments et aux cosmétiques. La norme 21 CFR Part 11
y a été introduite en 1997 par la FDA en réponse à l’informatisation croissante
de l’archivage des documents dans l’industrie pharmaceutique, mais elle
s’impose aujourd’hui à d’autres secteurs d’activité.

Genèse de la norme

Dans les années 1980 et 1990, de nombreuses entreprises américaines ont commencé à intégrer les progrès
informatiques en adoptant des méthodes d’archivage numériques. Cela leur a permis d’économiser du temps
et donc de l’argent, et d’améliorer leur productivité.

La FDA a alors constaté que l’archivage des documents par voie informatique ne proposait pas les mêmes
garanties que les documents papier utilisés jusque-là, notamment en termes de fiabilité, d’authenticité et de
validité.Ce constat lui posait problème, car elle craignait que les entreprises de l’industrie pharmaceutique
n’en profitent pour falsifier des documents et dissimuler ainsi leurs enfreintes aux normes.

Étant donné les graves conséquences potentielles d’éventuelles fraudes sur la santé des consommateurs de
médicaments, de vaccins ou de produits alimentaires, la FDA a ajouté au CFR, en mars 1997, le chapitre “Part
11 - Electronic records ; Electronic signatures”.

Objectifs

Avec cette nouvelle norme, la FDA avait pour objectif de garantir :

• la validité des documents électroniques ;
• l’authenticité des signatures électroniques ;
• la fiabilité des documents et signatures électroniques.

4
4
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

L’agence fédérale a donc imposé aux entreprises de mettre en place des contrôles permettant de certifier la
validité, l’authenticité et la fiabilité du traitement de leurs données et documents numériques.
Son but était, de fait, d’étendre ainsi aux documents numériques les procédures de certifications existant
jusqu’alors pour les documents papier, à travers les écritures et signatures manuscrites, pour lesquelles les
tentatives de falsification étaient plus facilement repérables.

Les enjeux de la conformité

Se mettre en conformité avec la norme 21 CFR Part 11 est bien sûr un impératif pour toutes les entreprises
des secteurs concernés qui souhaitent pénétrer le marché américain. Mais c’est aussi l’occasion d’améliorer
ses process, notamment en matière de maintenance, et de limiter le nombre d’incidents de production et leur
durée, notamment ceux qui sont dus à des problèmes de sécurité informatique ou sanitaire. La mise en con-
formité permet donc également de gagner en productivité.
Elle s’inscrit dans un processus global d’amélioration continue qui se traduit par :
• la fin de l’utilisation de documents papier, afin de réduire les erreurs de saisie, grâce à un processus de
dématérialisation ;
• l’adoption d’une traçabilité informatique ascendante et descendante, pour faciliter la recherche d’informa-
tions ;
• l’informatisation des dossiers et la gestion des flux documentaires.

LE DÉFI DE LA CONFORMITÉ : ATTENTES DES ENTREPRISES

DONT

Des entreprises sont dans l’attente

En attendent beaucoup plus
de publications informatives de la
part des organismes régulateurs
au cours des prochaines années.
Source : Costs of Compliance 2016 (Thomson Reuters, 2016)

COMPANY
5
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Historique de la norme
21 CFR part 11
ÉDITION ET RÉVISIONS

COMPANY
6
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

“La norme 21 CFR Part 11 est plus

qu’une obligation à respecter pour
pénétrer le marché américain. Elle
est aussi une opportunité, pour
toute entreprise, de s’inscrire dans
une démarche d’amélioration
continue qui favorise, in fine, sa
productivité et sa compétitivité.”

7
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Enjeux pour les

secteurs concernés
par la norme
Le chapitre 21 du CFR s’applique à trois grands secteurs industriels qui ont un poids
important dans l’économie française : l’industrie agro-alimentaire, l’industrie pharma-
ceutique et les cosmétiques. Chacun d’entre eux est confronté à des enjeux spécifiques
face aux obligations réglementaires.

L’industrie agro-alimentaire

L’agro-alimentaire est un secteur d’activité prépondérant en France.

Très concurrentiel, il est soumis à une forte compétition mais aussi à des normes strictes qui pèsent à la fois
sur la production des denrées alimentaires et sur leurs conditions de conservation et les délais de livraison,
en raison de leur caractère périssable et, parfois, du nécessaire respect de la chaîne du froid.

De plus, la traçabilité est un enjeu particulièrement fort dans ce secteur qui fait intervenir un grand nombre de
fournisseurs différents.

La maintenance des machines utilisées dans ce type d’activité industrielle doit donc intégrer ces contraintes :
• en respectant les normes sanitaires en vigueur, notamment en termes d’hygiène, de sécurité et de traça-
bilité des
produits ;
• en limitant autant que possible les arrêts de production, dont l’impact est plus important qu’ailleurs ;
• en limitant les risques de non-conformité des produits ;
• en fournissant toutes les informations nécessaires pour garantir le respect des normes.

Le respect des critères édictés en matière d’archivage et de signature des documents par la norme 21 CFR
Part 11 est donc particulièrement important pour permettre, par exemple, d’identifier l’origine d’une non-con-
formité, dont les conséquences sur la santé des consommateurs est potentiellement considérable.

8
8
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
L’industrie pharmaceutique
Les normes qui s’appliquent à la production de
médicaments sont sans doute les plus strictes du
secteur industriel. Si la traçabilité des substances
utilisées dans la production est généralement plus
simple à garantir que dans l’agroalimentaire, les
normes d’hygiène pèsent encore plus qu’ailleurs
sur la maintenance des équipements qui intervi-
ennent dans la production. Leur strict respect doit
pouvoir être établi et garanti à tout moment pour
satisfaire aux exigences de la FDA.
Les procédures de maintenance, en particulier,
sont un enjeu majeur : après chaque intervention,
des tests doivent ainsi être réalisés et documentés
avant la remise en service de l’équipement con-
cerné. Différents services (utilisateur, maintenance,
qualité) sont impliqués en cas d’une quelconque
modification de la machine, et leurs rapports
d’intervention doivent être vérifiés, approuvés et
conservés.
LA FRANCE ET L’INDUSTRIE COSMÉTIQUE
24 MILLIARD
D’EUROS de
C.A. en 2018
9
Enfin, dans l’industrie pharmaceutique plus que
dans d’autres secteurs, la stricte conformité aux
normes ne doit pas être un frein à l’innovation,
condition sine qua non de la compétitivité.
Le secteur des cosmétiques
L’industrie des cosmétiques a pour particularité
d’être soumise à des règles presque aussi strictes
que celles pesant sur la production de médica-
ments, tout en faisant intervenir un grand nombre
de PME dans la production. De plus, ce secteur
est, en France, en grande partie tourné vers l’ex-
portation, notamment à destination du marché
nord-américain.
La conformité aux règles de la FDA y est donc à la
fois indispensable et complexe à mettre en œu-
vre pour des entreprises de petite taille, souvent
familiales. Pour respecter les normes tout en
restant compétitives, celles-ci ont donc un intérêt
particulier à se doter d’outils efficaces, flexibles
et adaptés aux enjeux spécifiques de leur secteur
d’activité.
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Quels sont les

critères de la mise
en conformité ?
Pour obtenir la validation de la FDA, il est impératif de soumettre à l’agence américaine
les rapports et résultats de tests démontrant que les systèmes et logiciels utilisés dans
la production sont authentiques, fiables et valides, selon les critères énoncés par la
partie 11 du Titre 21 du CFR.

Contrôle des systèmes fermés

L’article 11.10 détaille les critères concernant le
contrôle des systèmes fermés. Ceux-ci sont définis
par la FDA comme des environnements com-
portant des systèmes contrôlés par le personnel
chargé de la gestion des documents électron-
iques. Ils doivent faire l’objet de plusieurs dis-
positifs de contrôle afin de préserver l’intégrité et
l’authenticité des données.
Les contrôles exigés doivent prendre la forme de :
• pistes d’audit ;
• validation des systèmes ;
• contrôle des systèmes opérationnels ;
• contrôle des appareils ;
• contrôle des autorisations ;
• programme de sécurité ;
• procédures de contrôle des modifications.
De plus, chaque entreprise a l’obligation de mettre
en place des règles écrites envers les personnes
qui soumettent leur signature électronique. Celles-
ci doivent notamment mentionner que chaque
signataire a la responsabilité de limiter le risque de
fraude.
Enfin, la FDA exige que des copies complètes
et exactes des documents utilisés puissent être
présentées.
Contrôle des systèmes ouverts
Les systèmes ouverts sont, pour la FDA, des envi-
ronnements comportant des systèmes contrôlés
par un tiers ne participant pas à la gestion des
documents électroniques. Ils doivent être dotés de
dispositifs de contrôle visant, là aussi, à préserver
l’intégrité et l’authenticité des informations.

10
10
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Ces dispositifs sont :

• le chiffrement ;
• les normes relatives aux signatures électroniques ;
• les pistes d’audit ;
• le contrôle des systèmes opérationnels ;
• la validation des systèmes ;
• le contrôle des appareils ;
• le contrôle des autorisations ;
• un programme de sécurité ;
• des procédures de contrôle des changements et
modifications.
Là encore, la FDA impose l’instauration de règles écrites
engageant la responsabilité de chaque signataire, et la
mise à disposition de documents électroniques complets
et exacts pour vérification et reproduction.

Formation au système

Pour garantir le bon fonctionnement des systèmes de contrôles, la FDA exige que toutes les personnes con-
cevant, utilisant ou maintenant le système de signatures électroniques et de gestion des documents suivent
une formation à son utilisation et à sa mise en œuvre.

Signatures éléctroniques

De nombreux critères de la norme 21 Part 11 concernent les signatures électroniques. D’une manière
générale, l’identité d’une personne doit être vérifiée par l’entreprise avant de l’autoriser à utiliser sa signature
électronique. Par ailleurs, chaque collaborateur de l’entreprise doit présenter un certificat attestant que sa
signature électronique est équivalente à sa signature manuscrite. Les entreprises ne peuvent pas, elles, réuti-
liser ou réattribuer une signature numérique, qui est la propriété exclusive du signataire initial.

Toutes les signatures électroniques doivent inclure des informations exclusives à chaque document, telles
que la date et l’heure de la signature. Elles doivent aussi mentionner le nom du signataire et l’objet de la sig-
nature (vérification, approbation, responsabilité, etc.).
De plus, chaque signature manuscrite ou électronique doit être associée au document sur lequel elle est ap-
posée, afin d’éviter une reproduction sur un autre document.

Contrôle des signatures éléctroniques

La FDA impose l’utilisation de plusieurs dispositifs de contrôle des signatures électroniques, afin d’en garan-
tir la fiabilité, de prévenir toute fraude et de garantir l’authenticité des documents signés. Ainsi, l’utilisation de
deux éléments d’identification est requise, par exemple un identifiant et un mot de passe.

Par ailleurs, l’accès à une signature doit requérir l’intervention de deux parties, pour limiter les risques de
fraude. Les signatures utilisant la biométrie, dont la fiabilité est en principe garantie, ne sont, elles, pas
soumises à ces contrôles.

11
11
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Contrôle des identifiants et des mots de passe

La FDA impose à l’entreprise de contrôler que les identifiants et mots de passe utilisés pour garantir la validité
des signatures soient :
• une combinaison unique et propre à chaque signataire ;
• régulièrement vérifiés, rappelés ou modifiés ;

Elle exige également que les appareils utilisant ou générant des signatures électroniques soient régulière-
ment testés.
En cas de perte, de vol ou de compromission d’identifiants ou de mots de passe, l’entreprise doit suivre une
procédure de désactivation et de remplacement temporaire ou permanent de ceux-ci intégrant des contrôles
adaptés et rigoureux.

Enfin, chaque entreprise doit mettre en place des mécanismes de sécurité des transactions afin de prévenir,
d’identifier et de signaler très rapidement aux responsables de la sécurité et à la hiérarchie indiquée toute
utilisation non autorisée d’identifiants ou de mots de passe.

En attendent beaucoup plus

12
12
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11
Les outils de
la mise en
conformité
Étant donné sa complexité et la rigueur de ses critères, la mise en conformité avec la
norme 21 CFR Part 11 ne peut s’improviser. Elle ne peut être que le fruit d’une stratégie
basée sur l’utilisation de méthodes et d’outils appropriés.
La GMAO
En matière de maintenance, la GMAO est l’outil ab-
solument incontournable pour respecter la norme
21 CFR Part 11.
Le terme GMAO, pour Gestion de la Maintenance
Assistée par Ordinateur, désigne le fait d’utiliser un
logiciel spécifiquement conçu pour gérer toutes
les opérations de maintenance et les activités
connexes (comme le stock de pièces détachées
par exemple) plutôt que des documents papier ou
un tableur de type Excel pour tenir l’inventaire des
interventions réalisées.
Un logiciel de GMAO est donc un programme in-
formatique qui permet de faciliter et de rationaliser
la maintenance des équipements au sein d’une
entreprise.
Il dispose généralement des fonctions suivantes :
• gestion des équipements (inventaire, localisa-
tion…) ;
• gestion des interventions de maintenance (de-
mandes et rapports d’interventions) ;
13
13
• organisation de la mise en sécurité des installa-
tions avant les interventions ;
• gestion des stocks de pièces détachées (in-
ventaire, achats, etc.) ;
• gestion des équipes de maintenance (planning,
répartition des tâches) ;
• gestion des coûts liés à la maintenance ;
• indicateurs clés de performance.
Par rapport à la “méthode Excel”, encore utilisée
par de nombreuses entreprises pour gérer la main-
tenance de leurs machines, l’adoption d’un logiciel
de GMAO présente de nombreux avantages, et
permet surtout, s’il est performant et adapté, de
se mettre plus facilement en conformité avec la
norme 21 CFR Part 11.
Ainsi, les solutions récentes de GMAO peuvent,
contrairement à un tableur, fournir des enregis-
trements et des signatures électroniques respect-
ant les critères de la FDA.
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Elles disposent de fonctions avancées grâce auxquelles il est possible de gérer des signatures électron-
iques, notamment à travers différents niveaux d’approbation, ou d’avoir accès à l’enregistrement de toutes les
actions de maintenance réalisées. De plus, tous les rapports d’intervention, les modifications apportées aux
machines et les révisions sont consultables et traçables.

Les logiciels MES

Un logiciel MES (Manufacturing Execution System)
est un programme informatique de pilotage de la
production qui collecte en temps réel les données
de production d’une usine et les analyse du point
de vue de la qualité, de la traçabilité, de l’ordon-
nancement et de la maintenance.
Son rôle est de superviser les machines et leurs
opérateurs en fournissant une traçabilité complète
des informations de fabrication. Il est également
chargé de transmettre les bonnes informations au
bon moment, aussi bien aux opérateurs (instruc-
tions de travail, avancement des ordres de fabrica-
tion) qu’aux machines.
Tout comme pour la GMAO, l’adoption d’un lociel
MES est le corollaire de la mise en conformité
avec la norme 21 CFR Part 11.
Elle permet en effet de supprimer les documents
papier concernant la production, de bénéfici-
er d’une traçabilité informatique ascendante et
descendante, de gérer les flux documentaires et
de gagner ainsi du temps dans la remontée des
problèmes grâce aux automatisations et indexa-
tions documentaires.

14
14
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Les pistes d’audit

Les pistes d’audit sont l’une des principales exigences con-

crètes de la norme de la FDA. Une piste d’audit, ou audit
trail, est un enregistrement chronologique dont le but est
de sauvegarder l’ensemble des actions effectuées sur un
fichier ou un dossier numérique. En fournissant une preuve
documentaire des activités ayant pu affecter une opéra-
tion, une procédure ou un événement, elle permet à toute
instance de contrôle extérieure à l’entreprise de suivre et
de contrôler toutes les interventions qui ont eu lieu sur un
document.

Une piste d’audit fournit les informations suivantes :

• création, modification ou suppression de tout document
électronique ;
• date et heure de chaque intervention sur le document ;
• apposition ou retrait de signatures électroniques.

Par ailleurs, pour être en conformité avec les critères

imposés par la FDA, une entreprise doit pouvoir prou-
ver qu’elle ne peut pas modifier les pistes d’audit ni les
remplacer. Elle doit également prouver qu’elle conserve
les pistes d’audit pendant toute la durée de vie des doc-
uments : à tout fichier numérique doit être associée une
piste d’audit.
Bien sûr, étant donné le nombre de documents numéri-
ques circulant au sein d’une entreprise, il est fortement
recommandé d’automatiser les pistes d’audit. Mais pour
cela, il est indispensable de disposer d’outils permettant
de respecter les critères de la norme 21 CFR Part 11 et de
se prémunir contre toute perte de données.

C’est pourquoi en matière de maintenance, toute solution

de GMAO doit, pour être conforme à la norme, fournir une
authentification à deux facteurs et des procédures de con-
nexion SSO ou SAML ainsi qu’une procédure d’audit trail
complète.

C’est le cas de Mobility Work, qui conserve une trace de

toutes les actions effectuées sur les documents en lien
avec la maintenance, et ce pendant 10 ans. En cas de con-
trôle externe, les administrateurs autorisés par l’entreprise
peuvent donc obtenir sous 72 heures la piste d’audit de
l’ensemble de ces documents.

15
15
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

“Étant donné sa complexité et la

rigueur de ses critères, la mise en
conformité avec la norme 21 CFR
Part 11 ne peut s’improviser. Elle
ne peut être que le fruit d’une
stratégie basée sur l’utilisation de
méthodes et d’outils appropriés.

En matière de maintenance, la
GMAO est l’outil absolument
incontournable pour respecter la
norme 21 CFR Part 11.”

COMPANY
16
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

La solution
incontournable:
la GMAO
On l’a vu, les critères édictés par la norme de la FDA portant sur l’archivage
numérique et les signatures électroniques sont particulièrement stricts. La
maintenance est un domaine pleinement concerné par ces règles. C’est
pourquoi recourir à une solution de GMAO adaptée à celles-ci est aujourd’hui
indispensable pour toute entreprise qui souhaite se mettre en conformité.

Garantir la traçabilité de l’information surviennent souvent lors du dépannage d’équipe-

Grâce à une bonne GMAO, la traçabilité de toute
information concernant la maintenance est ga-
rantie. En effet, toutes les interventions, tous les
rapports et toutes les validations et signatures sont
enregistrés. Il est dès lors possible de trouver à
tout moment n’importe quelle information concer-
nant la maintenance des machines.
De plus, des rapports peuvent être générés pour
obtenir une vision d’ensemble, par exemple sur
toutes les opérations de maintenance effectuées
sur une machine au cours d’une période donnée,
ou sur l’évolution du stock d’un certain type de
pièces détachées. Il est même possible, on l’a vu,
d’obtenir rapidement une piste d’audit pour attest-
er de la bonne traçabilité de l’information
Gestion des consignes de sécurité
Le personnel de maintenance est particulière-
ment exposé aux risques d’accidents du travail, qui
ments mal entretenus ou défectueux. La sécurité
est donc un enjeu particulièrement fort pour cette
activité.
Pour y répondre, il est nécessaire que les con-
signes de sécurité soient parfaitement claires et
transmises aux personnes concernées, et que des
processus de sécurité stricts soient établis.
L’adoption d’une GMAO est incontournable pour
répondre efficacement à ces exigences, car elle
permet :
• d’établir un plan de prévention afin de respecter
les normes de sécurité ;
• de centraliser toutes les informations liées
aux équipements, pour que les opérateurs de
maintenance puissent y accéder facilement et
rapidement ;
• de mettre en place un planning de mainte-
nance documenté ;
• de faciliter la communication interne, ce qui
permet d’améliorer à la fois la prévention des
risques et la productivité du service de
maintenance.

17
17
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

“En cas de contrôle externe, les administrateurs

autorisés par l’entreprise peuvent donc obtenir sous 72
heures la piste d’audit de l’ensemble de ces documents.”

Enfin, en rendant possible la mise en place d’une stratégie de maintenance prédictive, un logiciel de GMAO
performant contribue à l’amélioration globale des conditions de sécurité.

Gestion des stocks Sécurité des données

En améliorant le suivi des interventions de main-
tenance et en permettant l’élaboration d’une
stratégie de maintenance efficace, la GMAO fa-
vorise une gestion des stocks optimisée et simpli-
fiée. Grâce aux tableaux de bord, les équipes ont à
tout moment accès aux informations nécessaires
pour gérer les stocks de pièces détachées au plus
près des besoins présents et futurs et en tenant
compte des délais de livraison et des conditions
de stockage.
Les ruptures d’approvisionnement et le surstock-
age sont ainsi beaucoup plus faciles à éviter.
De plus, une GMAO telle que Mobility Work peut
être synchronisée avec un ERP (Entreprise Res-
source Planning ou Progiciel de gestion intégré),
un outil utilisé par de nombreuses entreprises
pour gérer leurs stocks mais souvent compliqué à
manier pour les personnels.
Les critères imposés par la norme 21 CFR Part
11 impliquent de mettre en place des process
permettant de garantir la totale sécurité des
données. Cela passe notamment par une gestion
stricte et avancée des accès et droits utilisa-
teurs, un journal des connexions et la définition
de schémas hiérarchiques précis pour l’approba-
tion de certaines données sensibles.
Un logiciel de GMAO tel que Mobility Work per-
met d’instaurer ce type de process.
Par exemple, l’accès à chaque type de données
peut être paramétré avec précision, pour chaque
machine, chaque groupe d’équipement ou chaque
document. L’accès peut être défini individuelle-
ment ou pour un ensemble de personnes, comme
un service, une usine entière ou même un groupe
industriel.

18
18
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

La transparence

Qu’impose le RGPD ? Tout dispositif numérique (site internet, logiciel,

Le RGPD (Règlement Général sur la Pro-
tection des Données) est un règlement de
l’Union européenne qui constitue le texte
de référence en matière de protection des
données personnelles. Il s’articule autour
de trois grands principes.
etc.) qui gère des données personnelles doit
indiquer clairement pourquoi il collecte ces
données, comment elles sont utilisées, combi-
en de temps elles sont conservées et les tiers
qui y ont accès. Ces informations doivent être
présentées sous une forme compréhensible,
et le consentement de l’utilisateur doit être un
acte positif.

Piste d’audit, RGPD La conservation de toutes les

données à des vues de traçabilité

et sécurité des données et pour constituer des pistes

d’audit pose la question de la
conformité au RGPD, en vigueur

Le droit des utilisateurs La responsabilité des entreprises

Chaque utilisateur dispose d’un droit Le RGPD instaure la responsabilité de

d’accès aux données le concernant. De
plus, il peut exercer un droit à l’oubli et
un droit à l’effacement, et demander un
déréférencement aux moteurs de re-
cherche ou la portabilité de ses données,
chaque entreprise sur les données qu’elle
collecte, ce qui inclut celles qu’elle trans-
met à des sous-traitants. Elle doit être
en mesure de prouver qu’elle a mis en
place tous les moyens nécessaires pour
protéger ces données et déterminer ce
qu’il est pertinent de collecter ou non. En
cas de violation des données, par exem-
ple lors d’un piratage, l’entreprise doit le
signaler aux utilisateurs et aux autorités
compétentes sous 72 heures.

COMPANY
19
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Traitement des
données par
Mobility Work
Mobility Work collecte des données auprès de ses utilisateurs à la fois pour leur permettre
d’être en conformité avec la norme 21 CFR Part 11, pour les aider à améliorer leur
stratégie de maintenance et pour leur offrir les bénéfices d’une véritable communauté de
maintenance. Nous sommes donc particulièrement attentifs à la sécurité de vos données
et au respect des droits des utilisateurs tels que définis par le RGPD.

Une utilisation des données transparente et respectueuse des droits des utilisateurs

Notre politique de gestion des données est totalement transparente et consultable ici. Par ailleurs, conformé-
ment au RGPD, toutes les données des utilisateurs sont effacées dès qu’ils suppriment leur compte (sauf
dispositions particulières : facturation, réquisition, etc.).

Des données sécurisées

Nous utilisons les serveurs d’AWS (Amazon Web Service) pour stocker les données. AWS est une entreprise
reconnue, qui fournit par exemple Netflix ou Spotify et dispose de très nombreux certificats en matière de
sécurité, qui bénéficient aussi bien à Mobility Work qu’à ses utilisateurs.
Par ailleurs, deux niveaux de sécurité sont appliqués aux données collectées. D’une part, toutes les requêtes
des utilisateurs sont filtrées par Cloudflare, un service spécialisé dans la sécurisation de sites. D’autre part,
l’infrastructure de notre logiciel est située sur des serveurs privés, ce qui empêche tout scan de vulnérabilité,
la méthode la plus fréquemment employée lors d’intrusions malveillantes.

Enfin, toutes les données des utilisateurs sont encryptées dès qu’ils se connectent à l’application, grâce à
l’encryption in transit. Elles le sont également lorsqu’elles sont stockées sur le serveur AWS, grâce à l’encryp-
tion at rest. Ces données sont ainsi protégées de toute intervention durant la communication entre les deux
entités. Pour renforcer cette protection, les clés de chiffrement sont régulièrement modifiées par nos équipes
de développeurs, et l’accès à la configuration de l’application par des services externes est lui aussi chiffré et
restreint.

20
20
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Il est utile de préciser que même les logs (des sortes de journaux de bord des connexions qui servent au
développement de l’application) sont cryptés et protégés comme les données clients, ce qui rend impossible
pour un utilisateur malveillant d’y accéder ou de les modifier.

Des procédures de protection poussées

Notre volonté de protéger les données de nos utilisateurs s’étend jusqu’à nos procédures internes de travail.
Ainsi, nos équipes de développeurs accèdent à l’infrastructure et aux environnement du logiciel de façon

sécurisée à travers un VPN. De plus, toutes les opérations réalisées par les équipes techniques sont enregis-
trées sur des journaux de bord afin de garantir un suivi et de contrôler de mauvaises manipulations éventu-
elles.

Pour améliorer l’environnement de production, par exemple lorsqu’un bug est signalé, nos développeurs
travaillent sur un environnement de démo pour apporter les correctifs nécessaires sans accéder aux infor-
mations privées des utilisateurs. D’une manière générale, l’accès à ces données personnelles est protégé y
compris en interne, et il n’est pas ouvert aux employés de l’entreprise.

21
21
COMPANY
 LIVRE BLANC MAINTENANCE - NORME 21 CFR PART 11

Entrer en conformité
grâce à sa GMAO
CONCLUSION
La norme 21 CFR Part 11 de la FDA américaine fixe des règles strictes en matière de traçabil-
ité, d’authenticité et de fiabilité des documents et signatures électroniques générés et utilisés
par les entreprises des secteurs pharmaceutique, agroalimentaire et cosmétique. Se mettre en
conformité avec ces règles implique de repenser et de réorganiser tous les processus de vali-
dation et d’archivage.

Mais ce passage obligé peut être plus qu’un poids pour l’entreprise et ses salariés. En choisis-
sant des outils intégrant intelligemment les nouvelles technologies et adaptés aux enjeux
de la norme 21 CFR Part 11, il est possible de saisir l’occasion de la mise en conformité pour
s’engager pleinement dans une transition numérique plus que jamais indispensable. Les
entreprises qui souhaitent lancer ce processus peuvent d’ailleurs bénéficier d’aides publiques
à la transformation numérique.

Dans le domaine de la maintenance en particulier, adopter une GMAO de nouvelle génération

permet de s’inscrire dans une démarche globale d’amélioration continue de la qualité en in-
tégrant les principes et outils de l’industrie 4.0. Respecter la norme imposée par la FDA n’est
alors plus seulement une contrainte mais aussi une opportunité de se tourner vers l’avenir
et de rendre ses usines plus fiables et plus productives.

22
22
COMPANY
 Lénaïc Sourget, auteur
Rédacteur SEO polyvalent trilingue, Lénaïc Sourget est l’un
des principaux animateurs du blog de Mobility Work, première
plateforme de gestion de maintenance communautaire, pour
lequel il rédige aussi bien des articles de fond sur la mainte-
nance que des revues de presse sur l’actualité du secteur.

Bibliographie

https://en.wikipedia.org/wiki/Title_21_of_the_Code_of_Federal_Regulations
https://ecfr.federalregister.gov/current/title-21/chapter-I/subchapter-A/part-11
https://www.cnil.fr/fr/comprendre-le-rgpd
https://www.mobility-work.com/fr/blog/securite-des-donnees-gmao
http://www.sigmaxer.fr/box/Maintenance_Pharmaceutique.pdf

+33 09 51 56 88 35
contact@mobility-work.com

www.mobility-work.com/fr

ESSAYER L’APPLICATION VOIR LA DÉMO

23
23
COMPANY