Conformité réglementaire pharma

Exigences BPF Annexe 11 — Réponses QALITEL.

Tableau de correspondance entre les exigences du Guide des Bonnes Pratiques de Fabrication, Annexe 11 — Systèmes Informatisés (mai 2019) et les fonctionnalités des logiciels QALITEL. Pour chaque article du référentiel, la réponse fonctionnelle apportée par la gamme.

Parlons de votre projet Plan de validation
Généralités
Article 3

Fournisseurs et prestataires de service

Exigence BPF

3.1. Un contrat formel doit être établi dès lors que le fabricant fait appel à un tiers, tel un fournisseur ou un prestataire de services, qui interviendrait, par exemple, dans l'approvisionnement, l'installation, la configuration, l'intégration, la validation, la maintenance (e.g. via un accès à distance), la modification ou la conservation d'un système informatisé. Il en est de même pour tous services afférents ou dans le cadre d'un traitement de données. Ce contrat doit définir clairement les responsabilités de la tierce partie. Les services informatiques doivent être considérés de manière similaire.

3.2. La compétence et la fiabilité d'un fournisseur sont des facteurs essentiels à prendre en compte lors de la sélection d'un produit ou d'un prestataire de service. La nécessité d'un audit doit être basée sur une évaluation du risque.

3.3. La documentation accompagnant les produits standards du commerce doit être attentivement examinée par les utilisateurs soumis à la réglementation pharmaceutique, afin de s'assurer qu'ils satisfont aux exigences attendues.

3.4. Les informations relatives au système qualité et à l'audit des fournisseurs ou des développeurs de logiciels ainsi que les systèmes installés doivent être disponibles, à la demande des inspecteurs de l'agence chargée de l'évaluation de la conformité aux BPF.

Réponse QALITEL

3.1. Un contrat est établi entre ScoQi et le client détaillant les périmètres des différents services couverts par l'utilisation de l'application QALITEL et de son mode d'hébergement choisi. Ci-dessous, quelques-uns des points pouvant figurer sur le contrat :

  • Installation – Configuration de l'application QALITEL
  • Sauvegardes des données (et leur mise à disposition)
  • Périmètre de la TMA (Tierce Maintenance Applicative pour les hébergements sur serveurs dédiés)

3.2. ScoQi développe une gamme de logiciels depuis plus de 25 ans. L'équipe développement est formée aux langages de développement Web. ScoQi met à disposition du client lors de chaque mise à jour un dossier de conception démontrant que le processus est maîtrisé et documenté assurant ainsi la fiabilité des logiciels déployés chez les clients.

3.3. Une documentation fournie est livrée avec le logiciel :

  • Plan de validation
  • Documents de formation garantissant une prise en main effective du logiciel par les différents utilisateurs : Gestionnaires – Administrateurs – Utilisateurs

3.4. ScoQi met à disposition pour chaque mise à jour les documents de qualification de conception :

  • Fiches de fonctionnalités (spécifications fonctionnelles)
  • Fiches techniques (spécifications techniques détaillées et spécifiques)
  • Protocoles et résultats de tests fonctionnels
Phase du projet
Article 4

Validation

Exigence BPF

4.1. La documentation et les rapports de validation doivent couvrir les étapes pertinentes du cycle de vie. Les fabricants doivent être capables de justifier leurs standards, leurs protocoles, leurs critères d'acceptation, leurs procédures et leurs enregistrements, sur la base de leur évaluation du risque.

4.2. La documentation de validation doit inclure, le cas échéant, les enregistrements relatifs à la maîtrise des changements et les rapports de toutes les déviations observées durant le processus de validation.

4.3. Un inventaire à jour de tous les systèmes concernés et leurs fonctionnalités BPF doit être disponible. Pour les systèmes critiques, une description à jour du système détaillant les dispositions physiques et logiques, les flux de données et les interfaces avec d'autres systèmes ou processus, les pré-requis concernant les matériels et les logiciels, ainsi que les mesures de sécurité, doit être disponible.

4.4. Les spécifications utilisateurs (« Users Requirements Specifications » – URS) doivent décrire les fonctions requises du système informatisé et être basées sur une évaluation documentée du risque et de l'impact BPF. Les exigences de l'utilisateur doivent être traçables tout au long du cycle de vie.

4.5. L'utilisateur soumis à la réglementation pharmaceutique doit prendre toutes les mesures raisonnables permettant de s'assurer que le système informatisé a été développé conformément à un système approprié de gestion de la qualité. Le fournisseur doit être évalué de manière adéquate.

4.6. En ce qui concerne la validation de systèmes informatisés sur mesure ou personnalisés, un processus doit être mis en place afin de garantir une évaluation formelle et des retours d'information sur la qualité et les mesures de performance, et ce, pour toutes les étapes du cycle de vie du système.

4.7. L'adéquation des méthodes et des scénarii de tests doit être démontrée. Ainsi, les limites des paramètres du système (processus) et des données ainsi que le traitement des erreurs, doivent être particulièrement pris en considération. L'adéquation des outils automatisés et des environnements de test doit faire l'objet d'une évaluation documentée.

4.8. Si des données sont transférées dans un autre format ou vers un autre système, la validation doit notamment garantir que la valeur et/ou la signification des données ne sont pas altérées durant le processus de migration.

Réponse QALITEL

4.1. ScoQi met à disposition lors de chaque mise à jour les documents couvrant les phases suivantes :

  • Qualification de conception
  • Qualification d'installation
  • Qualification Opérationnelle
  • Qualification de Performance

4.2. À chaque mise à jour, une matrice de traçabilité est fournie au client avec un tableau de criticité ainsi que les plans de tests suivis.

4.3. À mettre en œuvre par le client.

4.4. Les fiches d'évolutions (issues de demandes clients ou non) sont fournies lors de chaque mise à jour permettant ainsi de tracer les évolutions tout au long de leur cycle d'élaboration (de la spécification au plan de test final).

4.5. ScoQi met à disposition tous les documents de développement dans le cadre de la livraison des mises à jour garantissant ainsi au client la conformité du processus de développement.

4.6. L'ensemble documentaire fourni par ScoQi permet de s'assurer de l'évaluation.

4.7. Pour chaque correctif, amélioration, évolution,… apporté dans le cadre des mises à jour, une fiche de test documentée est fournie.

4.8. QALITEL permet un export de toutes ses tables au format CSV avec les séparateurs « standards » permettant une relecture sans perte de données ou d'information vers un autre système. De plus, une description complète du dictionnaire de la base de données de QALITEL est accessible à partir de l'application par les Administrateurs. Cela permet au client, le cas échéant, de créer son propre export de données.

Phase opérationnelle
Article 5

Données

Exigence BPF

Les systèmes informatisés qui échangent des données électroniques avec d'autres systèmes doivent disposer de contrôles intégrés garantissant la sécurité et l'exactitude des entrées et des traitements des données et ce, afin de minimiser les risques.

Réponse QALITEL

Les logiciels QALITEL n'échangent pas de données avec des logiciels tiers. Cela peut être fait dans le cas d'un développement / adaptation spécifique. Il appartient alors à la structure en charge de ce développement de s'assurer de la conformité des données entrantes.

Le dictionnaire détaillé de la base de données (Liste des tables, des champs, commentaires sur les champs,…) est disponible au sein de chaque application QALITEL.

Article 6

Contrôle d'exactitude

Exigence BPF

Lorsque des données critiques sont introduites manuellement, il est nécessaire de prévoir un contrôle supplémentaire pour vérifier leur exactitude. Ce contrôle peut être effectué par un deuxième opérateur ou par des moyens électroniques validés. La criticité et les conséquences potentielles de données erronées ou incorrectement saisies doivent être couvertes par la gestion du risque.

Réponse QALITEL

Les données saisies par les utilisateurs sont contrôlées par le logiciel selon de différentes manières selon les contextes :

  • Format du champ de saisie (date, numérique,…) qui ne permet pas de saisir une donnée erronée
  • Contrôle de la cohérence des dates
  • Renseignement automatique des données par le logiciel (Nom de l'utilisateur faisant l'action, date de l'action,…)
  • Champs avec liste de choix associés contraignant l'utilisateur à choisir une donnée existante dans la liste
Article 7

Stockage des données

Exigence BPF

7.1. Les données doivent être protégées d'éventuels dommages par des moyens physiques et électroniques. L'accessibilité, la lisibilité et l'exactitude des données stockées doivent être vérifiées. L'accès aux données doit être garanti tout au long de la période de conservation.

7.2. Des sauvegardes régulières des données pertinentes doivent être réalisées. L'intégrité et l'exactitude des données sauvegardées, ainsi que la capacité à restaurer les données, doivent être vérifiées pendant la validation et contrôlées périodiquement.

Réponse QALITEL

7.1. L'accès aux données est contrôlé au travers de l'application par le processus d'authentification. L'accès au serveur, s'il est hébergé par le client est de sa responsabilité. En hébergement SAAS, ScoQi assure la sécurisation de ses serveurs.

7.2. Un protocole de sauvegarde des données rigoureux est mis en place par ScoQi dans le cas des hébergements SAAS ou des installations « in situ » dont ScoQi a la charge. Le détail du plan de sauvegarde est précisé dans le document « Sauvegarde SAAS » mis à disposition par ScoQi qui se résume ainsi :

  • Sauvegarde quotidienne sur le serveur d'exploitation de la base de données complète et des répertoires contenant les documents et photos indexés dans QALITEL
  • Historisation sur 30 jours glissants
  • Sauvegardes dupliquées sur un serveur de sauvegarde et un NAS externe
  • Mise à disposition des sauvegardes pour les clients (téléchargement)
Article 8

Sorties imprimées

Exigence BPF

8.1. Il doit être possible d'obtenir des copies imprimées et claires des données stockées électroniquement.

8.2. Concernant les données nécessaires à la libération des lots, les impressions générées doivent pouvoir indiquer si l'une ou plusieurs d'entre elles ont été modifiées depuis leur saisie initiale.

Réponse QALITEL

8.1. Toutes les données saisies dans QALITEL peuvent être imprimées au format RTF (Compatible Microsoft Word, OpenOffice, LibreOffice,…). La mise en forme ainsi que le type de données imprimées est paramétrable par les Gestionnaires via le moteur d'impression de QALITEL.

8.2. Non applicable pour QALITEL

Article 9

Traçabilité des modifications

Exigence BPF

Il doit être envisagé, sur la base d'une analyse de risques, l'inclusion au sein du système informatisé d'un journal (dit « audit trail ») permettant de conserver la trace de toute modification ou suppression survenue sur les données ayant un impact BPF. Toute modification ou suppression d'une donnée ayant un impact BPF doit être justifiée et documentée. L'« audit trail » doit être disponible, convertible dans un format compréhensible et revu à fréquence régulière.

Réponse QALITEL

Mise à disposition des Administrateurs de QALITEL d'un environnement de traçabilité contenant divers journaux d'historisation dont un audit trail complet.

Le journal d'audit trail historise toutes les modifications liées aux données sur l'ensemble des tables de la base de données du logiciel QALITEL :

  • Ajout d'une donnée
  • Modification de la donnée
  • Suppression de la donnée

Pour chaque enregistrement dans le journal de l'audit trail les données suivantes sont enregistrées :

  • Date et heure de l'opération
  • Utilisateur ayant réalisé l'opération
  • Table de la base de données impactée
Article 10

Maîtrise des changements et de la configuration

Exigence BPF

Toute modification d'un système informatisé, y compris relative à sa configuration, doit être réalisée de façon maîtrisée et conformément à une procédure définie.

Réponse QALITEL

Il appartient au client d'établir une procédure de modification de configuration du serveur avec les fiches de tests correspondantes.

Pour ses hébergements SAAS, ScoQi fournit de tels documents quand la configuration du serveur est amenée à changer.

Pour les changements de paramétrage / configuration au sein du logiciel, cela est de la responsabilité du client. ScoQi met à disposition son service technique pour assister le client dans ses choix de paramétrage et leurs conséquences.

Article 11

Évaluation périodique

Exigence BPF

Les systèmes informatisés doivent périodiquement faire l'objet d'une évaluation afin de s'assurer qu'ils restent dans un état validé et conforme aux BPF. Ces évaluations doivent inclure, le cas échéant, le périmètre de leurs fonctionnalités, les enregistrements des déviations, les incidents, les problèmes, l'historique des mises à jour et les rapports de performance, de fiabilité, de sécurité et de validation.

Réponse QALITEL

À chaque mise à jour du logiciel, un plan de validation est fourni au client permettant de s'assurer de la conformité du logiciel aux exigences BPF.

Ce plan de validation intègre les documents suivants :

  • Documents de Qualification de conception
  • Documents de Qualification d'Installation
  • Documents de Qualification Opérationnelle
  • Fiches d'enregistrements des incidents corrigés dans la version
Article 12

Sécurité

Exigence BPF

12.1. Des moyens physiques et/ou logiques doivent être mis en place afin de restreindre l'accès des systèmes informatisés au seul personnel autorisé. Des méthodes adéquates pour éviter des accès non autorisés au système informatisé peuvent consister en l'utilisation de clés, de badges, de codes personnels associés à des mots de passe, de la biométrie, d'accès limités aux zones où sont situés les équipements informatiques et les stockages des données.

12.2. L'étendue des contrôles de sécurité dépend de la criticité du système informatisé.

12.3. La création, la modification et l'annulation des autorisations d'accès doivent être enregistrées.

12.4. Les systèmes de gestion des données et des documents doivent être conçus pour enregistrer l'identité des utilisateurs impliqués dans la saisie, la modification, la confirmation ou la suppression de données, y compris la date et l'heure.

Réponse QALITEL

12.1. QALITEL contrôle les accès des utilisateurs selon les méthodes suivantes (selon configuration du système) :

  • Couple Identifiant / Mot de passe spécifique à chaque utilisateur
  • Authentification LDAP / Active Directory / SSO

Toutes les connexions et tentatives de connexions sont historisées dans le journal de connexions.

12.2. Des contraintes de sécurité en terme de complexité du mot de passe, fréquence de renouvellement, suspension des comptes, affichage d'un captcha… renforcent la sécurité d'accès.

12.3. Toutes les interventions liées à la gestion des comptes Utilisateurs (Rôles, permissions, habilitations) sont historisées par l'audit trail.

12.4. Toute la traçabilité des modifications des données est assurée par l'audit trail qui enregistre la modification effectuée, le nom de l'utilisateur et la date complète avec l'heure.

Article 13

Gestion des incidents

Exigence BPF

Tous les incidents, non pas seulement ceux liés aux défaillances du système et aux erreurs de données, doivent être rapportés et évalués. L'origine d'un incident critique doit être identifiée et constituer la base d'actions correctives et préventives.

Réponse QALITEL

Tous les incidents font l'objet d'une fiche d'anomalie déclenchant la mise en œuvre d'un correctif identifié dans une fiche technique.

Le plan de test correspondant est alors créé ou actualisé selon les cas.

Article 14

Signature électronique

Exigence BPF

Les enregistrements électroniques peuvent être signés électroniquement. Les signatures électroniques doivent :

  • a- avoir la même valeur, au sein de l'entreprise, qu'une signature manuscrite ;
  • b- être définitivement liées aux documents auxquels elles se rapportent ;
  • c- comprendre l'heure et la date de leur application.
Réponse QALITEL

Pour les phases critiques, une signature électronique est demandée à l'utilisateur pour la validation de l'opération.

Cette signature électronique redemande à l'utilisateur de s'authentifier. QALITEL historise alors le nom de l'utilisateur connecté ainsi que la date et l'heure de l'opération.

Ces données ne sont pas modifiables y compris par les Administrateurs de QALITEL.

Article 15

Libération des lots

Exigence BPF

Lorsqu'un système informatisé est utilisé pour enregistrer la certification et la libération de lot, il doit être conçu de manière à ce que seules les personnes qualifiées puissent certifier la libération des lots. De plus, la personne libérant ou certifiant les lots doit être clairement identifiée et enregistrée. Cette opération doit être réalisée à l'aide d'une signature électronique.

Réponse QALITEL

Non applicable pour QALITEL

Article 16

Continuité opérationnelle

Exigence BPF

Les dispositions nécessaires doivent être prises afin d'assurer le bon fonctionnement des procédés critiques abrités par des systèmes informatisés ayant subi une panne (par exemple, en utilisant un mode manuel ou un mode dégradé). Le temps nécessaire à la mise en place de ce mode dégradé doit être basé sur une étude des risques et être approprié au système et à l'activité concernée. Ces modes dégradés doivent être correctement documentés et testés.

Réponse QALITEL

Une procédure de fonctionnement en mode dégradé est proposée par ScoQi selon les applications QALITEL.

Ces procédures sont validées lors de chaque mise à jour. La fiche de test correspondante est intégrée au plan de Qualification de Conception fourni avec les mises à jour.

Article 17

Archivage

Exigence BPF

Les données peuvent être archivées. L'accessibilité, la lisibilité et l'intégrité de ces données doivent être vérifiées. Si des modifications significatives du système doivent être faites (par exemple, un changement d'équipement informatique ou de logiciel), alors la capacité à récupérer les données archivées doit être garantie et testée.

Réponse QALITEL

L'historisation des données se fait au sein des logiciels. Les données restent au sein de la même base de données.

Vous êtes soumis aux BPF Annexe 11 ?

30 minutes en visio. On regarde votre contexte réglementaire, on vous montre comment QALITEL répond point par point aux exigences, et quel plan de validation s'applique à votre installation.

Parlons de votre projet Plan de validation