Validation des systèmes

informatisés

Tounsi Oussama (tounsi.Oussama@quelit.Fr)

OBJECTIFS DE LA FORMATION

• Identifier et comprendre ce qu’est un SI et ses frontières

• Identifier les SI soumis à la validation (savoir Quand, Comment et Pourquoi valider un SI)

• Localiser et comprendre les textes de lois, normes et guides relatifs à la VSI (FDA,
Eudralex, GAMP®5, ICH…)

• Appliquer les requis réglementaires en matière d’intégrité des données

• Comprendre et appliquer l’approche basée sur le risque

• Mettre en place une stratégie de validation (Identifier les requis et étapes de validation
sur un SI tout au long de son cycle de vie)
 Module I. Introduction à la validation
I
des systèmes informatisés
 SERVEUR - RÉSEAU - DATA CENTER

• Un serveur informatique est un dispositif informatique (matériel et

logiciel) qui offre des services à un ou plusieurs (PC) clients (parfois des
milliers)

• Un réseau informatique est un ensemble d'équipements reliés entre eux

pour échanger des informations.

• Un data center ou centre de données est un site physique regroupant des

installations informatiques (serveurs, routeurs, commutateurs, disques
durs...) chargées de stocker et de distribuer des données (data en anglais)
à travers un réseau interne ou via un accès Internet.
Validation nécessaire en fonction de:

• L'impact du système sur la sécurité du patient, la qualité du produit et

l'intégrité des données (évaluation du risque/risk assessment) --> notion
de criticité

• La complexité et la nouveauté du système

• Le résultat de l'évaluation du fournisseur

II Module II. Réglementation
Lois relatives aux systèmes informatisés

• Aux Etats-Unis : FDA

• 21 CFR part 11 « “ELECTRONIC RECORDS, ELECTRONIC SIGNATURE »

• En Europe : EMA

• Eudralex Volume 4, annexe 11 “COMPUTERIZED SYSTEM” la section 14 traite de

la signature électronique
 Que dois-je faire ?

À faire:
• Vérifiez si vous avez des e-records / e-signatures

• Vérifiez si la partie 11 est applicable (si environnement GxP)

• RÉSULTAT : Si c'est le cas, la validation du système doit être effectuée, sans

oublier les exigences spécifiques de la partie 11
A ne pas faire:
• Supprimer un enregistrement électronique même si vous avez une copie
papier
• Archiver les enregistrements électroniques sans vérifier qu'ils peuvent être
récupérés garder le matériel capable de lire les enregistrements
électroniques
• Retrait des systèmes sans vérifier la conformité à la partie 11 pour la
conservation des enregistrements
• 1/Validation des systèmes pour garantir la fiabilité
• 2/Sécurité des systèmes via une gestion des accès
• 3/Audit trail pour tracer toute modification
• 4/Gestion de la formation
• 5/Contrôle approprié de la documentation
• 6/Signature électronique équivalente à la signature manuscrite
• 7/Signature électronique inclus : Le nom complet du signataire, la date et
l'heure de la signature et la signification de la signature (ce à quoi le
• signataire s'engage)
 LES 17 POINTS ABORDÉS DANS L'ANNEXE 11

1 Gestion du risque 10 Gestion des changements

2 Le personnel et configurations
3 Les fournisseurs 11 Revue périodique
4 La validation 12 Sécurité
5 Les données 13 Gestion des incidents
6 Vérification de l'exactitude 14 Signature électronique
7 Stockage des données 15 Libération des lots
8 Impressions 16 Business continuity
9 Audit trail 17 Archivage
 AUTRES GUIDES CSV
FOOD AND DRUGS ADMINISTRATION :
• Inspection guide "Computerized System in Drug establishment"
• "General Principles of Software validation"
• "Data Integrity and Compliance with cGMP“

EUROPEAN MEDICINES AGENCY :

• « FAQ on Data Integrity »

MEDECINE AND HEALTHCARE REGULATORY AGENCY - ROYAUME-UNI :

• "Data Integrity Definitions and Guidance for industry“
ORGANISATION MONDIALE DE LA SANTÉ :
• "Guidance on Good Data and Record Management Practice

INTERNATIONAL CONFERENCE ON HARMONIZATION :

Guides communs aux Japons, Etats-Unis et Europe
• ICH Q9: "Risk Management"
• ICH Q10: " Pharmaceutical Quality System"

ASTM : Standards E2500, 2007: "Standard Guide for Specification, Design and
Verification of Pharmaceutical and Biopharmaceutical Manufacturing Systems and
Equipments
ISO/IEC 27002, 2005 :
• "Information Technology, Security techniques, Code of Practice for
information security management"

GOOD AUTOMATED MANUFACTURING PRACTICE :

• GAMP®5 " A risk based approach to compliant GxP Computerized System"
• GAMP Good Practice Guide, "IT Infrastructure Control and Compliance" &
"A risk based approach to compliant Electronic Records and signatures"
III Module III. Data integrity
IV Module IV. Les fondamentaux du CSV
V Module V. Introduction au GAMP®5
Catégories de softwares
GAMP®5, APPROCHE ÉVOLUTIVE :
VI Module VI. Etude de cas: Phase de design
ÉTAPE DE DESIGN

• Validation Master Plan/inventaire

• Users Requirements Specifications
/Functional Specification
• Analyse de risque
• Design Specifications
• Design Review/Qualification
• Validation Plan
 Module VII. étude de cas, Phase de
VII
Validation/Qualification
 ÉTAPE DE VALIDATION

Définition : Apporter la
preuve documentaire que le
système répond à
un ensemble de critères
prédéfinis (spécifications)
 Module VIII. étude de cas, Phase
VIII
opérationnelle
 GESTION DE LA CONTINUITÉ

Les 3 activités/délivrables qui permettent d'assurer la continuité des activités sont :

• Les backup & restore

• Le business continuity planning (BCP)

• Le disaster recovery planning qui est inclus dans le BCP (DRP)

IX Module IX. Mise hors service
 DECOMMISSIONING

Quand un système devient obsolète, il peut être mis hors service ou être détruit
Le décommisisoning est la mise hors service contrôlée d'un système