Normes et Réglementations

Annexe 11 -- EU GMPs (Pharmas Européenne)

  • L'annexe 11 est le texte réglementaire de référence pour les bonnes pratiques de fabrication (industrie pharma).
    • elle a été récemment modifiée
    • texte très court : 2,5 pages
    • implications sont potentiellement grandes

Principes

  • cette annexe s'applique à toutes les formes de systèmes automatisés et informatisés utilisés dans le cadre d'activités relevant des BPF.
  • Un système automatisé ou informatisé comprend un ensemble de logiciels et de matériels qui, ensemble, remplissent certaines fonctionalités.
  • L'application doit être validée et l'infrastructure informatique doit être qualifiée.
  • Lorsqu'un système automatisé ou informatisé remplace une opération manuelle, il ne doit pas en résulter une baisse de la qualité du produit, de la maîtrise du processus ou de l'assurance qualité.
  • Il ne doit pas en résulter une augmentation du risque général lié au processus.

Généralité -- Gestion du risque

  • La gestion du risque doit être mise en œuvre tout au long du cycle de vie du système automatisé ou informatisé en prenant en considération le sécurité du patient, l'intégrité des données et la qualité du produit.
  • Dans le cadre du système de gestion du risque, les décisions relatives à l'étendue de la validation et au contrôles d'intégrité des données doivent êter basées sur une évaluation justifée et documentée des risques liés au système automatisé ou informatisé.

Personnel & Fournisseurs

Personnel

  • il doit y avoir un coopération étroite entre tous les personnels impliqués tel que le détenteur du processus, le détenteur du système, les Personnes Qualifiées et les services informatiques.
  • Tous les personnels doivent disposer de manière appropriée de qualifications, de niveau d'accès et de responsabilités définies afin d'exécuter les tâches qui leur sont imparties.

Fournisseurs et prestataires de service

Lorsqu'il est fait appel à des tierces parties (par exemple : fournisseurs, prestataires de service) pour la fourniture, l'installation, la configuration, l'intégration, la validation, la maintenance (par exemple au moyen d'accès distant), la modification ou la préservation d'un système automatisé… ou des services afférents, ou …
  • Les départements informatiques doivent être pris en compte de manière analogue.
  • La compétence et fiabilité d'un fournisseur = facteurs clé de sélection d'un produit ou d'un service.
  • La nécessité d'un audit doit être basée sur une évaluation du risque.
  • La documentation fournie avec les produits standard du commerce doit être revue par l'utilisateur réglementé afin de vérifier que les exigences sont satisfaites.
  • Les informations relatives au système qualité et aux audits des fournisseurs ou des développeurs de logiciel et ses systèmes implémentés doivent être accessibles sur demande aux inspecteurs.

Phase Projet - Validation

  • la documentation de validation et les rapports correspondants doivent couvrir les étapes pertinentes du cycle de vie.
  • sur la base de leur évaluation du risque, les fabricants doivent être capables de justifier leurs standards, leurs protocoles, leurs critères d'acceptation, leurs procédures et leurs enregistrements.
  • la documentation de la validation doit inclure, le cas échéant, les enregistrements relatifs à la maîtrise des changements ainsi que les rapports de tous les écarts observés pendant le processus de validation.
  • une liste (un inventaire) de tous les systèmes concernés et de leurs fonctionnalités BPF doit être disponible et tenue à jour.
  • pour les systèmes critiques1), une description du système détaillant les dispositions physiques et logiques du système, les flux de données et les interfaces avec d'autre systèmes ou processus, tous les pré-requis matériel et logiciel ainsi que les mesures de sécurité doit être disponible et tenue à jour.
  • les spécification utilisateur doivent décrire les fonctions requises du système automatisés ou informatisés et elles doivent être basées sur l'évaluation documentée du risque et de l'impact BPF.
  • les exigences de l'utilisateur doivent être traçables tout au long du cycle de vie.
  • l'utilisateur réglementé doit prendre toutes les mesures raisonnables afin de s'assurer que le système a été développé conformément à un système approprié de gestion de la qualité.
  • le fournisseur doit être évalué de manière adéquate.
  • il doit exister, pour la validation de systèmes automatisés ou informatisés réalisés sur mesure ou personnalisés, un processus garantissant qu'une évaluation formelle et des rapports formels traitant de la qualité et des mesures de performance ont été réalisés pour chaque étape du cycle de vie du système.
  • l'adéquation des méthodes de test et des scénarios de test doit être démontrée.
  • en particulier, les paramètres limites du système (processus), les limites de plage des données et la gestion des erreurs doivent être pris en considération.
  • l'adéquation des outils de test automatisés et des environnements de test doit être documentée.
  • si les données sont transférées dans un autre format ou vers un autre système, la validation doit inclure des vérifications garantissant que la valeur et/ou la signification des données ne sont pas altérées pendant le processus de migration.

Phase opérationnelle

Données

systèmes … échangeant des données électroniques avec d'autres systèmes doivent disposer de contrôles intégrés garantissant la sécurité et l'exactitude des entrées et traitements de données, afin de limiter les risque.

Contrôles d'exactitude

  • saisie manuelle : contrôle supplémentaire pour vérifier exactitude
  • contrôle peur être effectué par un second utilisateur ou par des moyens électroniques validés
  • criticité et conséquences potentielles de données erronées ou incorrectement saisies dans un système doivent être couvertes par la gestion du risque.

Stockage des données

  • sécurité obtenue à la fois par moyens physiques et électronique
  • accessibilité etc vérifié, garanti tout au long de la période de conservation
  • sauvegardes régulières de toutes les données appropriées doivent être effectués.
  • intégrité et exactitude des données sauvegardées, capacité de restaurer les données, doivent être vérifiées pendant la validation et ête contrôlées périodiquement.

Impressions

  • possible d'obtenir des sorties en claire
  • possible de générer des impressions indiquant toute donnée modifiée après la saisie initiale, pour des enregistrements relatifs à la libération de lot.

Audit-trails

  • sur la base d'une évaluation du risque, le système devrait générer des enregistrements (“audit-trail”) de toutes les modifications et suppressions de données ayant un impact BPF.
  • la raison des modifications ou des effacements de données BPF doit être documentée.
  • les audit-trails doivent être disponibles et convertibles dans un format généralement compréhensible et être revus régulièrement.

Changements

  • Toute modification d'un système automatisé ou informatisé, y compris sa configuration, doit être effectué uniquement d'une manière contrôlée conformément à une procédure définie.

Evaluation périodique

  • systèmes doivent faire l'objet d'une évaluation confirmant qu'ils restent dans un état validé et qu'ils sont conformes aux BPF.
  • de telles évaluations doivent inclure, le …

Sécurité

  • contrôles physiques et ou logiques
  • méthodes convenables pour éviter saisies non autorisées
  • étendue des contrôles de sécurité dépend de la criticité du système
  • création, modif et retrait d'autorisations d'accès doivent être enregistrés
  • systèmes de gestion de données et de docs doivent…enregistrer l'identité des utilisateurs impliqués dans la saisie, la modifiction, la confirmation ou l'effacement des données, y compris date et heure.

Gestion des incidents

Signature électronique

10h23 : on ne va pas tout finir avant 11h !!
Il reste la norme américaine
CNIL
COBIT
ITIL

Libération de lot

Continuité opérationnelle

Archivage

Glossaire

  • Application
  • Système automatisé ou informatisé
  • Logiciels standard du commerce :

21 CFR Part 11 (Pharma Américaine)

enregistrements électroniques au lieu de papier ⇒ garantis d'équivalence, exigences pour signature électroniques.

fin: 10h36

CNIL (Informatique et Libertés)

préambule
  • intentions,
  • sécurité, limitation d'accès
  • durée de conservation des informations
  • l'information des personnes
  • l'autorisation de la CNIL
  • la finalité des traitements
Fin : 10h44

COBIT

ITIL

1) définition?
 
m2ilc/qualite_6.txt · Dernière modification: 2011/05/13 10:44 par suitable
 
Sauf mention contraire, le contenu de ce wiki est placé sous la licence suivante :CC Attribution-Noncommercial-Share Alike 3.0 Unported
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki