Bonnes pratiques

pour la validation des

systèmes informatisés
à l’ère du digital
Comment minimiser les risques, réduire
les coûts et éviter les obstacles courants
Sommaire

03 Introduction
04 Effectuez une analyse détaillée du « système ».
05 Établissez une stratégie de validation informatique agile complète.
08 Mettez en place des stratégies pour réduire le coût et la complexité
de la conformité.
09 Élaborez un plan de projet complet.
10 Constituez une équipe efficace.
12 Enregistrez le processus de validation.
13 Auditez tous les fournisseurs tiers.
14 Mettez en place des examens périodiques cohérents.
15 Assurez la formation continue de votre personnel.
16 Récapitulatif

Tricentis 2
Vous devez prendre des mesures importantes pour vous assurer que votre programme de
validation des systèmes informatisés (CSV) est correctement planifié, développé, géré et
contrôlé. Ce document propose une liste de bonnes pratiques qui faciliteront la mise en œuvre
d’un programme de conformité des logiciels efficace et évolutif, pour soutenir vos initiatives
de transformation digitale.

Introduction
Le marché mondial des produits
pharmaceutiques et des dispositifs médicaux
se développe à un rythme effréné, sous
l’effet des fusions, de la mondialisation, des
nouvelles technologies et des processus
réglementaires rationalisés. En conséquence,
de nombreuses entreprises des sciences
de la vie ont de plus en plus de difficultés à
démontrer leur conformité réglementaire, de
la découverte à la commercialisation.
Elles maintiennent un équilibre précaire,
cherchant à développer et à commercialiser
leurs produits rapidement et de manière
rentable, tout en respectant strictement
toutes les exigences de conformité et les
réglementations. Depuis des années, le
processus de validation, notamment la
validation des systèmes informatisés (CSV),
constitue une exigence essentielle pour le
maintien de la conformité.
La CSV vérifie que les systèmes informatisés
et les applications associées fonctionnent
de manière cohérente et produisent des
résultats reproductibles en fonction de leur
utilisation prévue.
Cette validation vise à garantir la sécurité des
patients, la qualité des produits et l’intégrité
des données lors de la fabrication de produits
réglementés.
La CSV n’est pas nécessairement un pro-
cessus complexe, mais elle doit être efficace
dans son exécution et adaptée régulièrement
aux nouvelles technologies et aux nouveaux
risques. Pour cela, de nombreux acteurs
et équipes clés de l’entreprise doivent
communiquer de manière efficace et pro-
active afin de mettre en œuvre, gérer et
documenter les contrôles des risques de
manière cohérente, tout au long du cycle de
vie du système.
Vous devez prendre des mesures importantes
pour vous assurer que votre programme
de validation des systèmes informatisés est
correctement planifié, développé, géré et
contrôlé. Ce document propose une liste de
bonnes pratiques qui faciliteront la mise en
œuvre d’un programme de conformité des
logiciels efficace et évolutif, pour soutenir vos
initiatives de transformation digitale.

Tricentis 3
1. Effectuez une analyse détaillée
du « système ».
Tout programme qualité de la CSV doit commencer par une compréhension
approfondie du cycle de vie global des produits. De l’approvisionnement en
matières premières au certificat d’analyse final, chaque maillon du cycle de
vie des produits collecte et dirige des informations stratégiques (éléments de
données) qui doivent être comprises afin d’évaluer avec précision le risque du
« système » global.

CETTE ÉTAPE VISE DEUX OBJECTIFS :

Permettre à votre entreprise de développer des exigences

utilisateur et fonctionnelles claires qui tiennent compte de
votre environnement opérationnel spécifique.

Permettre à votre entreprise d’analyser en détail les « lacunes

» de ses systèmes actuels, ce qui est superflu ou peu pratique,
ou ce qui est dépassé. De nombreuses entreprises ont déjà
mis en place certaines parties du processus de validation, mais
sans jamais prendre le temps de faire le point sur ce qu’elles
possèdent déjà et ce qui pourrait leur manquer.

Tricentis 4
2. Établissez une stratégie de validation
informatique agile complète.
De nombreuses entreprises continuent à s’appuyer sur des stratégies de validation
développées au début des années 2000, époque où la documentation papier, le cycle de
développement des logiciels en cascade et des ensembles de données assez statiques
étaient enregistrés. Aujourd’hui, la quantité massive de données capturées nécessite
un processus de validation informatique agile et contrôlé qui permet les changements,
l’automatisation et une approche pragmatique.

Une stratégie de CSV étendue et intégrée doit présenter trois caracté-ristiques clés.

BASÉE SUR LES RISQUES

Vous devez évaluer et déterminer tous les facteurs de risque en termes

de sécurité, de données, de qualité, de sûreté, d’efficacité et de propriété
intellectuelle. Cela inclut tous les éléments du système, notamment le matériel
informatique et les logiciels, les équipements connexes et les composants
réseau, ainsi que l’environnement des systèmes d’exploitation. Vous
déterminez ainsi ce qui est pratique et réalisable pour les éléments critiques
du système qui affectent l’assurance qualité et la conformité réglementaire.
Il est essentiel de s’assurer que des processus appropriés de réduction des
risques sont mis en place, faute de quoi aucune donnée concrète ne permettra
de prendre des décisions avisées pour équilibrer les coûts et les risques (afin
de minimiser les deux), pour l’entreprise et ses produits.

Tricentis 5
 BASÉE SUR LES SYSTÈMES

L’interrelation des processus et procédures organisationnels, et la conformité

au sein de chaque système, ont un impact direct sur la production et la
conformité globales du produit. En définissant clairement les entrées et
les sorties d’un système, il est possible de déterminer une relation directe
ou indirecte avec les résultats. Seuls les résultats en rapport direct avec la
qualité nécessitent l’analyse la plus rigoureuse. Cette approche permet de
déterminer ce qui est pratique et réalisable pour les éléments critiques du
système, de se concentrer sur les données qui affectent l’assurance qualité,
la réglementation, la sécurité, la confidentialité, la conformité, etc. Elle permet
également de minimiser les efforts et l’analyse rigoureuse des entrées ou
des sorties qui ne sont pas directement liées à la qualité, l’efficacité et/ou la
sécurité.

BASÉE SUR LES DONNÉES

On ne saurait trop insister ici sur l’intégrité et le contrôle des données. Il est
essentiel de comprendre et de mapper tous les flux de données, les processus
métier qui utilisent les données et les points de transfert de données vers
d’autres systèmes ou composants réseau. La compréhension de l’utilisation
prévue des données et de leurs relations avec d’autres points de données
est indispensable pour en garantir la qualité tout au long de leur cycle de vie.

Tricentis 6
 Nos conseils clés
Un grand nombre de limites propres à la validation classique,
basée sur des documents papier, subsiste après le passage
aux documents électroniques. De nombreuses entreprises
des sciences de la vie utilisent encore un processus basé
sur des documents, mais celui-ci devient de plus en plus
coûteux et difficile à gérer dans le paysage des technologies
et méthodologies modernes. Toutefois, les entreprises qui
anticipent l’avenir commencent à s’affranchir de la structure
des documents statiques. Une approche digitale de la
REMARQUE :
validation, axée sur les données, décompose l’information
en éléments plus granulaires qui sont gérés et contrôlés de toutes les données recueillies
manière transparente tout au long du cycle de validation, dans le cadre des pratiques cGxP
y compris les approbations requises contenant des méta-
doivent être conservées pendant
données destinées à la vérification.
toute la durée du modèle de
Les avantages sont nombreux : informations et accès en
conservation des données et
temps réel, workflows configurables et reproductibles, et
reporting et analyses complets. Lorsque vous décidez de sont soumises à un audit si les
l’approche stratégique à adopter pour votre entreprise, tenez organismes de réglementation
compte de ces deux processus différents.
en font la demande.

Tricentis 7
3. Mettez en place des stratégies
pour réduire le coût et la complexité
de la conformité.
Cela peut sembler évident, mais nous avons à maintes reprises constaté que des projets
particulièrement complexes, surchargés de processus inutiles, devenaient un immense
fardeau pour les ressources. La solution ? Faites simple, tout en vous assurant que votre
processus est bien défini, bien géré et bien enregistré.

Nos conseils clés

Consolidez vos processus d’achat. Assez souvent, différents secteurs
d’une même organisation ont le même besoin. En raison de la structure
organisationnelle et de l’allocation des fonds, ils achètent les mêmes
solutions, soit dans des divisions différentes, soit dans la même division
mais située dans des lieux géographiques différents.

Consolidez et/ou intégrez les fonctions de gestion de projet avec votre

approche de CSV. Souvent, le bureau de gestion de projet ne comprend
pas dans le détail les besoins des utilisateurs d’une division et prend les
décisions pour une stratégie de « plan » (au lieu d’une stratégie de validation)
sans consulter les principales parties prenantes de la conformité et/ou de
la validation. Ou le bureau de gestion de projet lui-même a des livrables
de gestion de projet supplémentaires qui sont des livrables de validation
redondants (déjà requis).

Tricentis 8
4. Élaborez un plan de projet
complet.
Un plan directeur de la CSV complet devrait inclure les éléments clés suivants :

1. Portée du projet

2. Inventaire complet de tous les systèmes GxP

3. Approche de test, avec développement de

scénarios, évaluations des risques, cas et scripts

4. Matrice de traçabilité des exigences, qui relie

exigences, conception et éléments de test

5. Équipe de test et responsabilités

6. Acceptation du système et publication (y

compris les signatures électroniques)

7. Archivage des données pour garantir la sécurité,

l’intégrité et la conformité

Tricentis 9
5. Constituez une équipe efficace.

Votre équipe doit être composée de toutes les parties prenantes

clés :

Entreprise/Utilisateur. La personne qui possède et/ou utilise les

données. Dans les cas où les données sont transitoires ou intégrées à
d’autres systèmes, plusieurs entreprises ou utilisateurs devraient être
incorporés dans l’équipe.

Membres de l’équipe technique. Cette vaste catégorie doit au moins

être représentée par un collectif qui comprend l’ensemble du processus
d’intégrité des données. Il peut s’agir d’experts en infrastructure, en base
de données, en services Web et/ou en déploiement, en sécurité, en
applications spécifiques et, éventuellement, en migration de données.

Les membres de l’équipe chargée de la qualité ou de la conformité et

ceux de l’équipe chargée de la validation ou des tests ne seront pas les
mêmes. Dans de nombreuses entreprises, les collaborateurs ayant une
expérience de la CSV et une connaissance des directives réglementaires
et de la conformité sont également experts des procédures de validation
et des technologies. Cependant, il est préférable d’avoir une séparation
au niveau de l’application pour garantir que les stratégies de validation et
de test mises en œuvre sont optimales, avec une surveillance exercée par
une seconde partie.

Tricentis 10
 Chefs de projet. Ils doivent non seulement être experts des activités
PMP, mais aussi avoir une bonne connaissance des besoins techniques
et de conformité de la solution afin de maintenir l’équilibre de l’équipe.
Une transparence totale favorise la collaboration et la communication
au sein de l’équipe. Les livrables et les risques associés au calendrier
et/ou à la solution doivent être communiqués de manière proactive à
tous les niveaux de l’organisation afin de pouvoir ajuster et déplacer les
dépendances si nécessaire.

La plupart des entreprises ne peuvent

pas se permettre d’affecter au projet

une personne de chaque groupe ou

service technique. L’expert technique

qui représente la fonction dans

l’équipe DOIT avoir accès aux sous-

groupes techniques et les utiliser

au cours du processus, afin que les

meilleures solutions soient adaptées

à l’organisation.

Tricentis 11
6. Enregistrez le processus de validation.

Il s’agit notamment de garder à jour les informations concernant les

différents systèmes et la manière dont leur validité est maintenue tout au
long de leur cycle de vie. Les spécifications de conception et de configuration
des systèmes doivent également inclure des pistes d’audits assistées
par ordinateur, sécurisées et protégées, afin de suivre les modifications
apportées à ces systèmes. Il est important que les enregistrements soient
suffisamment détaillés pour répondre aux exigences de tous les organismes
de réglementation.

Nos conseils clés

Quelles données pertinentes capturer pour la validation (dans quel
système) ? Où ? Quand ? Qui enregistre et qui approuve ? Toutes ces
questions font souvent débat. Le plus important est que tout cela soit
fait… en même temps ! Il ne s’agit PAS de rechercher la perfection. Les
managers doivent s’assurer que les éléments essentiels sont présents et
que de véritables experts métier prennent part au processus d’examen et
d’approbation. Une fois qu’un processus cohérent et solide est en place, il
est beaucoup plus facile d’apporter des améliorations en continu.

Tricentis 12
7. Auditez tous les fournisseurs tiers.

Vous devez évaluer, et enregistrer, tous les systèmes de qualité et ceux fournis par les
fournisseurs, y compris les systèmes informatisés qu’ils gèrent et tous leurs composants.
Cette évaluation peut inclure un audit sur site des installations du fournisseur afin d’évaluer
les procédures, pratiques et enregistrements de contrôle du cycle de vie de son système.

Votre entreprise ou tout fabricant de produits réglementés par la FDA est responsable, en
dernier ressort, de l’intégrité des données qui attestent de la sécurité et de l’efficacité du
produit. Cela peut inclure un fournisseur ou un prestataire de services tiers, en fonction des
contrats passés avec ces organisations.

Nos conseils clés

Les accords qualité/fournisseur, en plus de vos accords de service standard
gérés par le fournisseur, peuvent minimiser la confusion et la responsabilité en
cas de problème. Un accord sur la qualité définit clairement les responsabilités
du fournisseur et celles de l’entreprise. Cela ne s’applique pas uniquement
aux solutions SaaS ; de nombreuses autres solutions qui nécessitent une
configuration devraient adopter une approche proactive des accords avec les
vendeurs/fournisseurs.

De nombreux sous-traitants ou responsables des achats connaissent encore mal

les besoins complexes des logiciels/données qui sont fournis à l’entreprise. Le
mappage global des données du « système » peut les aider à s’assurer que les
meilleures protections sont inscrites dans le contrat dès le départ.

Tricentis 13
8. Mettez en place des examens
périodiques cohérents.

Il est essentiel d’effectuer au minimum un examen approfondi

chaque année pour s’assurer que tous les systèmes restent
conformes aux bonnes pratiques malgré l’évolution des
technologies, des personnes et des autres processus. Autre
impératif : votre entreprise doit rester informée des dernières
pratiques en matière de données et de l’utilisation réelle qui
en est faite par les utilisateurs métier, afin de s’assurer que les
bonnes politiques et procédures sont en place.

Malheureusement, les examens périodiques sont la première

chose qui est mise de côté dans les entreprises, car le personnel
est souvent submergé par d’autres échéances plus pressantes.
Les examens internes sont essentiels pour modifier la culture
de l’entreprise et maintenir la conformité. Ils doivent constituer
une priorité à tous les niveaux.

Tricentis 14
9. Assurez la formation continue
de votre personnel.

De notre point de vue, la formation est l’un des points les plus
importants du processus de CSV.

Plus de 90 % des erreurs sont humaines. La formation continue est

souvent négligée par la direction. Pourtant, elle permettrait de résoudre
facilement les problèmes les plus courants de la CSV.

Nos conseils clés

Avec les arrivées et les départs réguliers de consultants et/ou
d’employés impliqués dans ces projets, la formation constitue
un véritable défi. Des équipes dédiées sont nécessaires pour
faire face à la demande croissante de formations sur la
conformité, et s’assurer que le temps requis est alloué.

Tricentis 15
 Récapitulatif

Ce court livre blanc ne nous permet pas d’aborder tous les éléments
de la validation des systèmes informatisés. Nous espérons
néanmoins que ces bonnes pratiques vous seront utiles. Alors que
les réglementations du secteur et les entreprises des sciences de la
vie continuent d’évoluer, le processus de validation doit suivre une
approche de transformation agile pour rester à jour et conforme.

La clé est d’avoir les bonnes personnes, les bons processus et la bonne
technologie en place pour relever ces défis. Une base et un framework
de CSV solides peuvent protéger votre entreprise et ses actifs, tout en lui
donnant une longueur d’avance sur la concurrence.

Tricentis est là pour vous aider. Avec des déploiements dans la

majorité des grandes entreprises mondiales du secteur des sciences
de la vie, nous apportons une expérience et une expertise sectorielle
qui s’étend de l’intégrité des données à la méthodologie des systèmes
agiles, en passant par le cloud computing et les environnements SaaS.
N’hésitez pas à nous contacter.

Demandez une démo de Tricentis Vera

Tricentis 16
© 2022 Tricentis USA Corp. All rights reserved
sales@tricentis.com