La FDA (Foods and Drugs Administration) impose à tous les industriels du secteur pharmaceutique ou agroalimentaire qui souhaitent commercialiser leurs produits aux États-Unis et par extension en Europe, de se conformer au référentiel 21 CFR part 11. Une entreprise des secteurs précités, qui se dote d’une solution de GMAO (Gestion de maintenance assistée par ordinateur) se doit de vérifier la compatibilité de sa solution avec la norme 21 CFR part 11. Mais attention, il ne suffit pas d’avoir une solution qui réponde aux attentes de la norme, la réglementation américaine va beaucoup plus loin puisqu'elle impose de nombreuses garanties sur l’intégration de la solution pour répondre aux critères exigés par la FDA.
Le référentiel 21 CFR part 11 établit les dispositions réglementaires auxquelles chaque industriel doit se plier pour être conforme à la législation américaine en matière de conservation des données et signature électronique. Cette norme certifie que l’entreprise est conforme aux critères de sécurité très élevés requis par le référentiel, ce qui diminue très fortement le risque de mise sur le marché de produits non conformes.
Un référentiel qui impose une traçabilité sur plusieurs niveaux
Le maître mot associé à la norme est la traçabilité exhaustive. Je m'explique, l’entreprise doit connaître à tout moment ce qui a été fait et par qui, avec un système d’identification très poussé. C’est une des premières exigences pour être conforme à la 21 CFR part 11. Pour ce faire, la solution choisie devra vous permettre d'enregistrer les traces laissées sur le système et les rendre exploitables et sélectionnables avec une valeur avant/après sur les données modifiées. Elles doivent ensuite être exploitables de manière intelligible et simple. Les modifications qui sont horodatées par la solution et les opérations enregistrées devront être facilement accessibles, par exemple via une fonction intégrée à l’outil ne nécessitant pas de compétence de requêtage.
Une fois que l’on maîtrise l’utilisation des données, il faut s’attaquer aux circuits transactionnels. Pour cela, la GMAO devra nécessairement proposer un système de signature électronique permettant une traçabilité étape par étape, reposant sur le système d’identification.
Ce dispositif devra être renforcé par une gestion plus fine des utilisateurs, jusqu’à la donnée unitaire. Chaque intervenant ne pourra intervenir que sur la partie du processus qui lui a été attribuée (traçabilité dans l’accès aux données). De même, dans un processus, seuls certains champs pourront être accessibles selon l’utilisateur, leur affichage ou utilisation pouvant même être restreint en fonction de la valeur du champ. Un mécanisme de déconnexion automatique à partir d’un certain laps de temps sans action est indispensable. Bien entendu, tout ce qui doit être respecté sur l’outil doit également l’être sur vos outils mobiles.
L’implantation, une phase critique pour la conformité au référentiel
Le stade le plus critique concerne l’implantation de la solution. Elle doit se dérouler en présence du client (installation à quatre mains) puisque c’est ce dernier qui sera le garant de la conformité d’installation de la solution en cas d’audit. Le référentiel 21 CFR part 11 nécessite à ce stade une méthodologie éprouvée pour garantir la qualité de l’intégration de la solution.
En termes de documentation tout d’abord, l’éditeur devra fournir une documentation exhaustive et compréhensible pour le client, comprenant les modifications effectuées dans le logiciel, afin que ce dernier soit en mesure d’en comprendre l’impact et qu’il puisse en vérifier la conformité lors de la première installation mais aussi pour toute mise à jour.
L’éditeur pourra alors définir avec le client le nombre d’environnements nécessaires pour l’implémentation du logiciel (test, production…) et la méthodologie adaptée à cette architecture.
Encore une fois la traçabilité des opérations sera primordiale pour garantir que chaque action réalisée dans un environnement est reproduite à l’identique dans les autres et surtout dans celui de production.
Deux phases sont indispensables : l’IQ (Qualification à l’installation) qui détaille précisément l’installation à réaliser pour les différents environnements, l’OQ (Qualification opérationnelle) qui garantit que le logiciel respecte les spécifications attendues par le client et qu’elles seront reproductibles en production.
Un choix qui ne doit pas être fait à la légère
Face à cette astreinte réglementaire, il s’agit avant tout pour les éditeurs comme pour les intégrateurs d’accompagner leurs clients dans la mise en place d’un système qui soit à la fois sécurisé, performant et leur permettant d’améliorer le pilotage de la maintenance tout en apportant de manière naturelle les éléments attendus par la norme lors des audits.
Par Laurent Crétot, Directeur Commercial au sein de Siveco Group