Guide complet sur la conformité à la norme 21 CFR Partie 11 et les moyens d'y parvenir

Si vous êtes impliqué d'une manière ou d'une autre dans le secteur des sciences de la vie, vous avez peut-être déjà entendu parler de la conformité à la norme 21 CFR Part 11. Si ce n'est pas le cas, nous vous expliquons tout ce qu'il faut savoir sur cette norme dans ce guide.

Commençons par expliquer pourquoi cette mesure a été mise en place.

Après 1990, les organisations ont commencé à passer des systèmes papier aux systèmes numériques pour le stockage des données. Mais la confiance n'a pas suivi aussi facilement. Sans contrôle adéquat, les données peuvent être modifiées, supprimées ou utilisées à mauvais escient. Ainsi, la principale préoccupation juridique de ces organisations est de savoir comment gérer correctement les documents électroniques.

Pour y remédier, la FDA (Food and Drug Administration) a adopté en 1997 la réglementation 21 CFR Partie 11. Celle-ci définit précisément les modalités de gestion des documents électroniques et des signatures électroniques pour qu'ils soient considérés comme valides, fiables et juridiquement équivalents aux documents papier.

Si vous commettez une erreur, vous risquez de recevoir des lettres d'avertissement, d'échouer aux audits ou de voir vos produits bloqués. Si vous faites les choses correctement, l'ensemble de votre système qualité reposera sur des bases auxquelles la FDA peut se fier.

Voyons maintenant ce qu'est la norme 21 CFR Partie 11 et comment la mettre en œuvre.

Qu'est-ce que la norme 21 CFR Partie 11, et qui doit s'y conformer ?

La norme 21 CFR Part 11 est une norme internationale publiée par la Food and Drug Administration (FDA) des États-Unis qui définit les critères d'utilisation des dossiers électroniques et des signatures électroniques dans les environnements réglementés. Elle stipule que les dossiers papier peuvent être remplacés par des dossiers électroniques, mais uniquement lorsqu'un système numérique garantit l'exactitude, l'intégrité et la traçabilité des données.

Le titre 21 du CFR, partie 11, est divisé en trois sous-parties :

• La sous-partie A définit le champ d'application du règlement.
• La sous-partie B contient des règles relatives à la conservation des documents électroniques dans des systèmes numériques.
• La sous-partie C contient les règles relatives aux signatures électroniques.

Cette réglementation s'applique à toute organisation soumise à la surveillance de la FDA, qu'elle opère dans le secteur pharmaceutique, des biotechnologies, des dispositifs médicaux ou de la recherche clinique, et qui utilise des systèmes électroniques pour ses activités GxP.

Exigences de la norme 21 CFR Partie 11 : les contrôles fondamentaux que vous devez mettre en œuvre

La norme 21 CFR Partie 11 ne se résume pas à une simple case à cocher. Il s'agit d'un ensemble d'exigences et de contrôles mis en place pour garantir la sécurité des enregistrements électroniques.

Voici quelques-uns des contrôles essentiels que vous devez mettre en place :

• Validation du système (partie 11.10(a)) : tout système utilisé pour stocker des enregistrements électroniques doit faire l'objet d'essais et d'une documentation visant à démontrer qu'il fonctionne comme prévu, de manière fiable et sans défaillance.
• Exigences de la FDA en matière de piste d'audit (partie 11.10(e)) : lorsqu'une modification est apportée à un enregistrement, le système doit consigner l'identité de la personne à l'origine de la modification, accompagnée d'un horodatage. Ce journal doit être généré par ordinateur et ne doit pas être saisi manuellement.
• Contrôles d'accès (partie 11.10(d)) : Le système doit être doté d'un système d'autorisation sécurisé. Seuls les utilisateurs autorisés doivent pouvoir modifier des enregistrements ou signer des enregistrements électroniques.
• Signatures électroniques (partie 11, sous-partie C) : chaque signature électronique doit être unique et attribuée à un seul utilisateur spécifique. Elle doit indiquer le nom complet du signataire, l'horodatage de la signature et l'objet de celle-ci. En outre, les signatures doivent être propres à chaque individu et associées au dossier.
• Conservation et consultation des documents (partie 11.10(c)) : Chaque document doit être conservé de manière à ce que les membres autorisés de l'équipe puissent y accéder à tout moment.
• Contrôles des périphériques et du système (partie 11.10(h)) : les périphériques d'entrée et de sortie doivent fonctionner correctement afin d'éviter toute saisie erronée de données ou toute erreur de traitement.

Vous souhaitez en savoir plus sur la norme 21 CFR 21, partie 11 ? Consultez la FAQ ici.

Comment mettre en œuvre la conformité à la norme 21 CFR Part 11, étape par étape

Voyons maintenant, étape par étape, comment mettre en œuvre les mesures de conformité à la norme 21 CFR Part 11 décrites dans la section précédente.

1. Définir le champ d'application et recenser les données réglementées

La partie 11 ne s'applique pas à tous les systèmes de votre organisation. Elle ne s'applique qu'aux systèmes liés à des activités réglementées par la FDA. Vous devez donc identifier les systèmes utilisés pour créer et gérer les dossiers. Il peut s'agir d'un système de gestion des documents, d'une plateforme de gestion des essais, d'une plateforme de gestion des exigences, etc.

Définir clairement les limites dès le départ permet d'économiser du temps et des ressources.

2. Valider le système à l'aide de preuves documentées

Ensuite, validez le système et préparez des preuves documentées démontrant qu'il fonctionne de manière précise, sécurisée et cohérente dans des conditions réelles d'exploitation.

Les équipes peuvent mettre en œuvre des protocoles de qualification appropriés, tels que la qualification de l'installation (IQ) et la qualification opérationnelle (OQ), pour chaque système. De plus, il convient de considérer la validation comme un processus évolutif, ce qui signifie que toute mise à jour importante du système entraîne une nouvelle validation.

3. Contrôler l'accès et veiller au respect des responsabilités

Ensuite, quel que soit le système numérique que vous utilisez, celui-ci doit comporter une fonctionnalité permettant d'attribuer à chaque utilisateur des autorisations en fonction de son rôle, afin qu'il ne puisse accéder qu'aux informations dont il a besoin. Chaque utilisateur doit disposer d'un identifiant et d'un mot de passe uniques pour accéder aux dossiers, et chaque action effectuée sur un dossier (modification, révision, validation, etc.) doit être associée à une personne en particulier.

4. Activer les pistes d'audit et les workflows de signature

Vous devez vous assurer que chaque modification est automatiquement enregistrée avec les coordonnées de l'utilisateur et l'horodatage via l'ordinateur, et que l'enregistrement manuel n'est pas autorisé. Ensuite, mettez en place des signatures électroniques pour les étapes de révision et d'approbation. Le système numérique doit associer directement les signatures à l'enregistrement modifié et refléter l'intention, qu'il s'agisse d'une approbation ou d'une révision.

5. Mettre en place des procédures opérationnelles standardisées et veiller à la cohésion des équipes

Le fait que le système numérique ou le logiciel que vous utilisez pour gérer vos dossiers soit conforme à la norme 21 CFR Part 11 ne signifie pas pour autant que votre processus le sera également. Vous devez également former votre équipe à l'utilisation de ces systèmes dans le cadre de son travail quotidien. Pour ce faire, élaborez des procédures opérationnelles standard (SOP) adaptées à chaque rôle, qui décrivent les étapes à suivre pour la saisie, la vérification et la modification des données, ainsi que la gestion des incidents. 

Les lacunes courantes en matière de conformité à la norme 21 CFR Partie 11 et comment les éviter

La mise en œuvre du processus décrit dans la section précédente n'est pas aisée, mais elle s'accompagne des difficultés suivantes :

• Documentation fragmentée : lorsque les cahiers des charges, les preuves de test, les validations et les journaux sont gérés dans différents systèmes, il est difficile de présenter une piste d'audit complète. Pour surmonter cette difficulté, conservez tous les documents dans un seul système contrôlé.
• Processus de validation manuels : les équipes ont recours aux e-mails ou aux documents papier pour effectuer leurs validations, sans conserver de trace cohérente des personnes ayant approuvé chaque élément, ce qui leur pose des difficultés en cas d'audit. Pour remédier à cela, les équipes doivent utiliser un outil leur permettant d'effectuer ces validations avec une signature électronique tout en gérant les documents au même endroit.
• Absence de traçabilité entre les exigences : lorsque les exigences sont rédigées, mais qu'il n'y a aucune visibilité sur la manière dont elles sont reliées aux cas de test et aux autres documents, les équipes ont du mal à évaluer l'impact des modifications et risquent de perdre des documents importants.
• Comptes utilisateurs et identifiants partagés : la partie 11 exige une identification unique pour chaque utilisateur. Lorsque plusieurs personnes utilisent les mêmes identifiants de connexion, il est impossible de remonter jusqu'à une personne en particulier pour une action donnée.

Une solution pour surmonter tous ces défis consiste à n'utiliser que des logiciels conformes à la partie 11 pour la gestion des documents tout au long du développement des produits.

Comment Modern Requirements4DevOps facilite la mise en conformité avec la norme 21 CFR Part 11

Modern Requirements4DevOps, une plateforme de gestion des exigences intégrée à Azure DevOps, aide les équipes à gérer la conformité à la partie 11 dans le cadre de leur travail quotidien, et non comme une activité distincte.

Cela permet de stocker tous les dossiers réglementés avec un contrôle de version au sein d'un seul système. Cela réduit le risque de perte de fichiers et facilite la présentation de dossiers complets lors des audits.

La plateforme prend également en charge les révisions structurées avec signatures électroniques. Les équipes peuvent réviser le contenu, formuler des commentaires et donner leur accord directement dans le système. Chaque action est associée à un utilisateur et à un horodatage, ce qui permet de constituer un historique clair des validations.

Grâce à Modern Requirements4DevOps, les équipes peuvent assurer la traçabilité des éléments de travail Azure DevOps et démontrer leur conformité lors des audits. De plus, cet outil permet aux équipes de mettre en œuvre une gestion contrôlée des changements, ce qui les aide à se tenir prêtes pour les audits.

Le plus important, c'est que vous pouvez attribuer des autorisations basées sur les rôles à chaque utilisateur. Chaque utilisateur dispose d'une identité unique, ce qui renforce la responsabilité et répond aux exigences de la Partie 11 en matière de contrôle d'accès.