Aller au menu Aller au contenu

Réglementation EU-GMP Annexe 11 – Computerised Systems

Depuis 1997, année de la sortie du 21CFR part 11 US et de l’annexe 11 européenne, les systèmes informatisés ont été l’objet de niveaux d’attention volatiles contribuant à des niveaux d’exigences réglementaires variables.

En 1997, ces systèmes étaient historiquement mal maîtrisés par les utilisateurs, au sens où les risques sur le produit du fait du système étaient mal connus. La réglementation de 1997 a eu pour but de rendre progressivement les utilisateurs concernés et exigeants.

Après une période de « remédiation » (mise en ligne avec les nouvelles réglementations), stimulée par le problème Y2K (an 2000, pour ceux qui étaient nés), et qui était parfois l’objet de surenchérissement en termes d’attentes, nous avons vécu une période de maturation et de stabilisation. Les mises en demeure réglementaires ont été peu fréquentes.

Pendant tout ce temps, le référentiel majeur, le GAMP®, a évolué progressivement pour atteindre, dans sa version 5 publiée en 2008, la position de référence pour toute l’industrie pharmaceutique.

Parallèlement, l’utilisation des systèmes informatisés s’est généralisée et banalisée, tout en mettant en œuvre des systèmes aujourd’hui beaucoup plus complexes, entraînant une méconnaissance grandissante des risques sur le produit et le patient. Typiquement, les « vrais » risques ne sont plus là où ils étaient.

Il était temps pour les BPF d’être mises à jour.

L’annexe 11[1] a donc été largement réorganisée et partiellement ré écrite, avec un document finalisé publié le 12-JAN-2011 pour mise en application au 30-JUN-2011.

Des amendements conséquents ont été apportés au chapitre 4 pour alignement avec la nouvelle annexe 11. Le nouveau chapitre 4[2] est également opposable au 30-JUN-2011.

Les points intéressants qui en ressortent sont :

  • –   La notion de système informatisé, pour l’annexe 11, perd son périmètre embarquant l’exploitation qui va avec (procédure, personnel – cf. modèle PIC/S). Dans l’annexe 11, il s’agit de traiter le matériel et le logiciel seulement, mais au service des processus opérationnels qu’ils supportent (équivalent aux US-predicate rules). Ces processus sont réglementés par les chapitres EU-GMP correspondants (ex: CQ en chapitre 6).
  • –    Le Risk Management est inscrit comme 1er article de cette nouvelle réglementation. La gestion des risques liés à l’impact patient devient un pivot pour la maîtrise des SI comme elle devient un pivot pour toute la réglementation pharmaceutique. La cible associée est le PSPQDI proposé par GAMP®5 (Patient Safety – Product Quality – Data Integrity).
  • –    Les exigences sur le personnel sont renforcées par l’obligation de clarifier et formaliser les rôles et responsabilités, en intégrant notamment 2 rôles proposés par GAMP®5 : Process Owner (l’utilisateur réglementé) et System Owner (service support, technique et/ou informatique).
  • –    Bien évidemment, les exigences sont renforcées pour les tiers (fournisseurs, Service Providers, Outsourcers, …). A noter que la DSI (Direction des Systèmes Informatisés interne) doit être considérée comme fournisseur et faire l’objet d’un contrat de service (SLA – Service Level Agreement).
  • –    L’exigence de validation tient compte de plusieurs niveaux ou stratégies de validation à choisir selon le niveau de risque. Systématiquement basée sur un cycle de vie du système, la profondeur d’effort doit être proportionnée au risque.
  • –    L’audit trail (avoir la trace des corrections et modifications de sorte à garantir aux utilisateurs la pertinence des informations analysées) fait l’objet d’un paragraphe spécifique. Il est exigé que l’audit trail soit revu.

Bien sûr, comme toute évolution réglementaire, il reste des points d’interrogation, notamment :

–   Quid des « legacy systems » ?

–   Quelles exigences seront opposables de manière rétroactive sur des systèmes mis en place avant le 30-JUN-2011 ?

Nous avons à présent à accompagner les industriels dans la transposition pragmatique de ce texte en règles internes au juste suffisant pour assurer la conformité des Systèmes Informatisés.

[1]       EU-GMP annexe 11 : computerised systems
http://ec.europa.eu/health/files/eudralex/vol-4/annex11_01-2011_en.pdf

[2]       EU-GMP Chapitre 4 : documentation
http://ec.europa.eu/health/files/eudralex/vol-4/chapter4_01-2011_en.pdf