21 CFR Part 11
réseaux sociaux
Retrouvez-nous sur



Nous contacter
Où acheter

Nous trouver

Nos actualités

Notre blog

21 CFR Part 11

Glossaire
Contenu: 

FDA 21 CFR Part 11 : normes et règlementations

Établies en 1997, les normes du Titre 21 du Code des réglementations fédérales (CFR) de la Food and Drug Administration (FDA), ou FDA 21 CFR, ont été modifiées afin de proposer des réglementations claires et concises.

La Partie 11 du FDA 21 CFR, ou FDA 21 CFR Part 11, est particulièrement importante car elle présente en détail les réglementations relatives à l’utilisation des documents et signatures électroniques. Pour de nombreuses entreprises qui assurent le suivi de leurs marchandises grâce aux données numériques, par exemple dans les secteurs pharmaceutique, agroalimentaire et de la santé, il est essentiel de respecter la FDA 21 CFR Part 11.

De plus amples informations sur les obligations visées à la FDA 21 CFR Part 11 et leur respect vous sont données ci-après.

 

Qu’est-ce que la FDA 21 CFR Part 11 ?

Avec le progrès technologique des années 1980 et 1990, nombre d’entreprises sont passées à l’archivage numérique. Les sociétés de presque tous les secteurs ont ainsi réduit leurs coûts, gagné du temps et amélioré leur productivité. En revanche, ces méthodes ne présentaient pas la validité, la fiabilité ni l’authenticité des méthodes papier traditionnelles.

La FDA a jugé cette perte de précision problématique car elle permettait aux entreprises de présenter de faux documents et, ainsi, de dissimuler une mauvaise manipulation des marchandises. Cela pouvait avoir des conséquences sur les consommateurs, par exemple des patients à qui étaient donnés des traitements médicaux ou des vaccins détériorés ou périmés. C’est pourquoi la FDA a mis au point les directives de la 21 CFR Part 11, aux fins suivantes :

  • Authentifier la validité des documents électroniques ;
  • Attester de l’authenticité des documents et signatures électroniques ; et
  • Attester de la fiabilité des documents et signatures électroniques.

À cet effet, la 21 CFR Part 11 impose aux entreprises réglementées par la FDA utilisant des documents et signatures électroniques de mettre en place, tester et certifier des contrôles visant à garantir l’authenticité, la fiabilité et la validité des logiciels et des systèmes de traitement de leurs données numériques.

 

Quels sont les critères de conformité à la FDA 21 CFR Part 11 ?

Le premier critère est la remise de documents de validation à la FDA. Il s’agit d’un ensemble de tests et de rapports prouvant que vos systèmes et logiciels sont authentiques, fiables et valides.

Quels sont les autres critères de conformité à la FDA 21 CFR Part 11 ? Il convient de prouver que les réglementations suivantes sont respectées :

 

Article 11.10 : Contrôle des systèmes fermés

Les systèmes fermés, que la FDA définit comme des environnements comportant des systèmes contrôlés par le personnel chargé de la gestion de vos documents électroniques, doivent être dotés de plusieurs dispositifs de contrôle visant à préserver l’intégrité et l’authenticité de vos données. Ces contrôles sont notamment les suivants :

  • Pistes d’audit ;
  • Validation des systèmes ;
  • Contrôle des systèmes opérationnels ;
  • Contrôle des appareils ;
  • Contrôle des autorisations ;
  • Programme de sécurité ; et
  • Procédures de contrôle des modifications.

Les entreprises sont également tenues de mettre au point des politiques écrites à destination des personnes soumettant leur signature numérique. Ces contrats prévoient qu’il incombe intégralement au signataire de limiter le risque de fraude. La FDA impose également aux entreprises d’être en mesure de présenter des copies complètes et exactes de leurs documents à des fins d’utilisation.

 

Article 11.30 : Contrôle des systèmes ouverts

Les systèmes ouverts, que la FDA définit comme des environnements comportant des systèmes contrôlés par un tiers ne participant pas à la gestion de vos documents électroniques, doivent être dotés de plusieurs dispositifs de contrôle visant à préserver l’intégrité et l’authenticité de ces informations. Ces contrôles sont notamment les suivants :

  • Chiffrement ;
  • Normes relatives aux signatures électroniques ;
  • Pistes d’audit ;
  • Contrôle des systèmes opérationnels ;
  • Validation des systèmes ;
  • Contrôle des appareils ;
  • Contrôle des autorisations ;
  • Programme de sécurité ; et
  • Procédures de contrôle des changements.

À l’instar de l’article 11.10 de la 21 CFR Part 11, cet article impose aux entreprises disposant de systèmes ouverts de mettre au point des politiques écrites selon lesquelles les signataires sont responsables de leurs actes. Il y est également prévu que les entreprises établissent des documents électroniques complets et exacts à des fins de vérification et de reproduction.

 

Article 11.10(i) : Formation au système

Sans collaborateurs compétents, il est difficile de garantir la validité, la fiabilité et l’authenticité d’un système. C’est pourquoi la FDA impose à l’ensemble des personnes concevant, maintenant ou utilisant votre système de documents ou de signatures électroniques de participer à une formation sur l’exercice de leurs activités quotidiennes.

 

Article 11.50 : Informations figurant dans les signatures électroniques

La 21 CFR Part 11 prévoit également que les signatures électroniques comprennent des informations exclusives quant au document. Il convient, par exemple, d’indiquer la date et l’heure de la signature. La FDA impose également de faire figurer le nom du signataire et l’objet de la signature (approbation, statut d’auteur, vérification ou responsabilité).

 

Article 11.70 : Lien entre les signatures électroniques et les documents signés

Le risque de documents frauduleux est l’un des principaux facteurs ayant motivé l’élaboration des directives de la 21 CFR Part 11. Par conséquent, les réglementations prévoient que les signatures manuscrites et électroniques de documents numériques soient associées aux documents sur lesquels elles sont apposées, ce qui permet d’éviter leur reproduction sur d’autres fichiers.

 

Article 11.100 : Obligations générales relatives aux signatures électroniques

Dans la mesure où une signature atteste de l’authenticité d’un document, il convient d’en certifier la validité. C’est pourquoi les critères de conformité à la FDA 21 CFR Part 11 prévoient des normes de base applicables aux signatures électroniques. Par exemple, les entreprises doivent vérifier l’identité d’une personne avant d’autoriser l’utilisation de sa signature.

Les collaborateurs sont également tenus de présenter un certificat à la FDA, attestant que leurs signatures électroniques sont équivalentes à leurs signatures manuscrites. Ce certificat permet en outre à la FDA de demander des informations complémentaires ou un témoignage du signataire.

Les entreprises, quant à elles, ne peuvent réutiliser ni réattribuer les signatures numériques. Elles sont la propriété exclusive du signataire initial.

 

Article 11.200 : Composants et contrôle des signatures électroniques

Les directives de la 21 CFR Part 11 prévoient plusieurs dispositifs de contrôle des signatures électroniques. L’objectif est de prévenir toute fraude, de valider les signatures et de renforcer l’authenticité des documents signés.

L’un des éléments clés du contrôle des signatures électroniques est le type de signature. Si les signatures fondées sur la biométrie doivent garantir qu’elles peuvent uniquement être utilisées par leur auteur initial, les autres types de signatures sont soumis à plusieurs autres normes.

Est notamment prévue l’utilisation de deux éléments d’identification, par exemple un identifiant et un mot de passe. Si les collaborateurs signent plusieurs documents à la suite, ils peuvent renseigner leurs éléments d’identification une seule fois. En outre, il incombe aux entreprises de veiller à ce que les tentatives frauduleuses d’accès à une signature nécessitent l’intervention de deux parties.

 

Article 11.300 : Contrôle des identifiants et mots de passe

Les obligations suivantes de la 21 CFR Part 11 ne s’appliquent pas aux entreprises dont les signatures sont fondées sur la biométrie mais uniquement à celles dont les signatures électroniques reposent sur des identifiants et mots de passe. Ces signatures étant plus vulnérables que celles fondées sur la biométrie, la FDA impose ce qui suit :

  • Une combinaison unique d’identifiants et de mots de passe ;
  • Le contrôle, la modification ou le rappel d’identifiants et de mots de passe ; et
  • Le test régulier des appareils utilisant ou générant des composants des signatures électroniques.

Les entreprises doivent suivre les procédures de gestion des pertes en cas d’identifiants et mots de passe volés, perdus ou compromis et mettre en œuvre des mécanismes de sécurité des transactions visant à prévenir, identifier et signaler toute utilisation interdite d’éléments de signatures électroniques.

Certes, le champ d’application des obligations de la 21 CFR Part 11 est large mais il est essentiel de bien comprendre ces dernières car leur violation est passible d’amendes importantes imposées par la FDA. Par exemple, deux ans après l’entrée en vigueur de la 21 CFR Part 11, la FDA a imposé à Abbott une amende de 100 millions de dollars. En 2002, Schering-Plough Corporation, quant à elle, a dû s’acquitter d’une amende de plus de 500 millions de dollars.

 

Comment se conformer aux directives de la FDA 21 CFR Part 11 ?

La mise en œuvre de la 21 CFR Part 11 nécessite plusieurs étapes qui impliquent les facteurs suivants :

  • Matériel informatique ;
  • Logiciels ;
  • Collaborateurs ; et
  • Procédures.

Il est primordial d’évaluer chacun de ces facteurs séparément avant d’analyser leurs interactions. Cela vous permettra de savoir pourquoi ou comment surviennent les problèmes et d’apporter des modifications appropriées à vos contrôles existants. Avant de commencer l’évaluation, suivez les étapes suivantes :

  • Créez votre propre programme de validation des systèmes : Cette étape est sans doute la plus cruciale pour votre réussite. Elle vous permet de poser les bases de la conformité aux obligations de la 21 CFR Part 11 car elle vous impose d’analyser chaque aspect de votre projet. Étudiez vos ressources, votre budget et vos échéances ainsi que vos contrôles et les fonctions de vos équipes pour mettre au point un programme de validation des systèmes approfondi et complet.
     
  • Identifiez les critères relatifs aux systèmes : Identifiez ensuite vos systèmes et les critères qu’ils doivent remplir pour être conformes à la 21 CFR Part 11. Par exemple, si votre entreprise est dans le secteur pharmaceutique, vous pouvez examiner vos enregistreurs de température et leur logiciel. Parmi les procédures à prendre en considération, on compte la formation, le contrôle des signatures électroniques et les mesures de sécurité.
     
  • Testez vos systèmes : Une fois votre programme de validation des systèmes élaboré et vos critères identifiés, vous pouvez commencer à tester vos systèmes et évaluer leurs résultats. Avant de mener vos analyses, étudiez et partagez vos protocoles de test avec votre équipe. Si un test ne respecte pas ces règles, ses résultats sont caducs, ce qui peut faire perdre du temps et des ressources précieux à votre entreprise.
     
  • Établissez votre rapport de synthèse : Après avoir évalué les procédures de votre entreprise et leurs effets sur la validité, l’authenticité et la fiabilité de vos procédures de documents numériques, vous pouvez rédiger votre rapport de synthèse. Ce document est précieux pour les parties prenantes et les inspecteurs de la FDA. Veillez à ce que vous et votre équipe rédigiez un rapport complet qui formule des recommandations pour améliorer les contrôles existants de votre entreprise.
     
  • Modifiez vos contrôles : Si de nombreuses entreprises respectent les critères de la FDA 21 CFR Part 11, la plupart cherchent à améliorer leurs systèmes. Par exemple, il est courant d’organiser des formations plus complètes. Si votre équipe met à jour des contrôles techniques, tels que votre système ouvert ou fermé, réalisez une évaluation approfondie au préalable afin d’éviter tout effet indésirable, par exemple une panne due à une erreur de code.

Nombre d’entreprises sont amenées à consacrer beaucoup de temps et de ressources à la mise en application de la 21 CFR Part 11. C’est pourquoi elles sont nombreuses à sous-traiter cette tâche à des entreprises spécialisées dans les critères de conformité à la 21 CFR Part 11. Non seulement cela les décharge de toute responsabilité mais cela permet également la réalisation d’une évaluation par un tiers objectif.

 

Tests à mettre en œuvre pour se conformer à la FDA 21 CFR Part 11

Si vous décidez de réaliser votre évaluation et vos tests en interne, vous devez prendre en considération les 10 facteurs suivants :

 

  1. Validation des systèmes

En vertu de la 21 CFR Part 11, tout système participant à la création ou modification de documents électroniques doit être validé. Les systèmes fournissant des informations à la FDA ou à tout autre organisme de réglementation doivent également être testés.

Les systèmes devant être régulièrement validés sont notamment les suivants :

  • Logiciels tels que ceux utilisés pour la gestion des données (p. ex. la suite ThermoServer/ThermoClient d’OCEASOFT) ;
  • Applications mobiles, Web et sur le cloud (p. ex. OCEAView et CobaltView) ;
  • Microsoft Excel ; et
  • Microsoft Access.

Les types de tests à réaliser pour valider les systèmes sont notamment les suivants :

  • Spécifications relatives aux exigences fonctionnelles (FRS) ;
  • Spécifications relatives à la conception du système (SDS) ;
  • Protocoles de test et rapport de synthèse sur la validation (SR) ; et
  • Programme de validation général/spécifique à un projet (VP).

Chaque entreprise procède différemment à la validation de ses systèmes. L’essentiel est de prouver que vos programmes et applications fonctionnent, et ce, en vertu de vos spécifications, et d’identifier la modification des documents électroniques.

 

  1. Accessibilité des systèmes

L’accessibilité des systèmes est l’une des directives les plus importantes de la 21 CFR Part 11. C’est aussi l’une des plus simples à mettre en application et à tester. L’objectif est de garantir l’intégrité de vos données électroniques et d’attester de leur fiabilité. C’est pourquoi les composants et contrôles des signatures électroniques sont particulièrement importants.

Pour évaluer l’accessibilité des systèmes de votre entreprise, évaluez les facteurs suivants :

  • Contrôles physiques et numériques ;
  • Niveaux d’autorisation pour les utilisateurs ;
  • Mesures de sécurité doubles, par exemple déconnexion et mots de passe pour accéder aux programmes ;
  • Identifiants et mots de passe propres à chaque utilisateur ; et
  • Identifiants et mots de passe généraux.

Après avoir évalué ces facteurs, testez-les. Des personnes non autorisées ont-elles accès à des données sensibles via un mot de passe public ? Les claviers de sécurité sont-ils absents de certaines zones de votre site ? Les programmes et systèmes protégés par des mots passe se déconnectent-ils après une période donnée ? Étayez vos réponses par des justificatifs et notez vos axes d’amélioration.

 

  1. Fonctionnement des systèmes

La 21 CFR Part 11 prévoit également, concernant les systèmes ouverts et fermés, des contrôles des systèmes opérationnels. Ces évaluations ont pour objectif de garantir l’authenticité et la validité de vos documents électroniques en imposant au personnel de suivre une procédure stricte de création, signature, modification, suppression et publication d’un document.

Les tests doivent montrer en quoi votre système :

  • Interdit les actions réalisées dans le mauvais ordre ; et
  • Autorise les actions réalisées dans le bon ordre.

Par exemple, vous pouvez disposer de contrôles visant à prévenir le lancement anticipé de groupes de commandes, tels qu’une signature électronique. Vous pouvez tester celle-ci en essayant d’envoyer la commande sans signature, puis démontrer son efficacité en envoyant une demande portant une signature.

 

  1. Confirmation de la piste d’audit

L’une des obligations majeures de la 21 CFR Part 11 est la piste d’audit. Les pistes d’audit sont objectives, c’est pourquoi la FDA exige la confirmation de leur mise en œuvre pour être conforme à la 21 CFR Part 11. Les pistes d’audit donnent les informations suivantes :

  • Création, modification et suppression de documents électroniques ;
  • Date et heure locales de chaque action ; et
  • Apposition ou retrait de signatures électroniques.

Pour satisfaire aux obligations de la 21 CFR Part 11 relatives aux pistes d’audit, vous devez prouver que vous ne pouvez pas :

  • Modifier les pistes d’audit ; ni
  • Remplacer les pistes d’audit.

Vous devez également prouver que vous conservez les pistes d’audit pendant la durée du document électronique concerné. En d’autres termes, dès lors que vous conservez un fichier numérique, vous devez conserver sa piste d’audit. Si vous découvrez des erreurs dans vos procédures concernant les pistes d’audit, il est primordial de les corriger dans les meilleurs délais car une piste d’audit inefficace affecte considérablement la validité, la fiabilité et l’authenticité de vos documents électroniques.

 

  1. Génération de documents

La génération de document permet de vérifier si vos systèmes peuvent créer des documents numériques complets et exacts et les exporter au format papier. Elle confirme également vos pistes d’audit. Testez la génération de documents en entreprenant les démarches suivantes :

  • Vérifiez que les documents électroniques peuvent être consultés ;
  • Vérifiez que les pistes d’audit permettent un suivi des modifications ; et
  • Validez l’impression et l’exportation des documents électroniques.

Bien que la FDA n’impose aucun format d’exportation de vos documents électroniques, les entreprises convertissent généralement leurs fichiers au format PDF. L’avantage de ce type de format par rapport à un fichier texte, c’est de pouvoir garantir que vos données et votre mise en page restent inchangées.

 

  1. Modification des documents

La 21 CFR Part 11 prévoit également la confirmation d’un système de contrôle des documents. La FDA impose la mise en œuvre de contrôles visant à approuver, réviser et conserver un document électronique. Cette obligation est liée à la validation, à l’accessibilité et au fonctionnement des systèmes car elle comprend les contrôles d’accès aux documents.

Généralement, les tests de validation, d’accessibilité et de fonctionnement de vos systèmes montrent que vous utilisez un système de contrôle des documents. Toutefois, il est essentiel de tester chaque élément intervenant dans la gestion de vos documents électroniques.

Outre une démonstration de votre système de contrôle des documents, présentez une copie de vos procédures opérationnelles standard ou spécifiques à des systèmes. Cela montrera que votre entreprise dispose d’un système de contrôle des documents auquel peuvent se référer tous les collaborateurs.

 

  1. Confirmation des saisies

Non seulement vous devez montrer que votre entreprise génère des documents numériques valides et authentiques, mais vous devez également prouver que les liens existant entre ces fichiers sont légitimes. Pour ce faire, vous devez confirmer que les collaborateurs peuvent constater les effets de leur clavier, leur lecteur de code-barres ou leur souris sur un document.

Pour faire le test, montrez comment les appareils utilisés par les membres de votre équipe enregistrent des informations sur le système de votre entreprise. Si vos documents numériques reçoivent des mises à jour d’un appareil ou d’un système externe, par exemple un enregistreur de température, il convient également de confirmer l’enregistrement de ces données.

Bien que la FDA ne l’impose pas, il est conseillé de créer des documents électroniques avec des restrictions. Par exemple un document sur lequel doivent uniquement être saisies des données numériques doit comporter des champs limités de sorte à éviter toute saisie accidentelle d’informations erronées. Vous pouvez également utiliser des menus déroulants pour les données non numériques.

 

  1. Protection des documents

Il est simple de se conformer à la 21 CFR Part 11 sur le plan de la protection des documents. Vous devez prouver que vos systèmes protègent les documents électroniques et que vous conservez des données pendant une durée appropriée, qui varie selon le type de document. Généralement, les entreprises démontrent la protection de leurs documents en testant les procédures suivantes :

  • Sauvegarde de données ;
  • Récupération de données ;
  • Archivage de données ; et
  • Récupération en cas de sinistre.

Si vous disposez d’un programme de reprise des activités, contrôlez-le à cette étape. Comme c’est le cas pour les pistes d’audit, si vous découvrez des erreurs dans les procédures de protection des documents, n’attendez pas d’avoir élaboré un plan pour les corriger. La perte des documents électroniques, tels que les données des études cliniques, les commandes par lot et l’historique de fabrication, peut faire perdre du temps et de l’argent.

 

  1. Confirmation des autorisations

Ce critère de conformité à la 21 CFR Part 11 est similaire à l’accessibilité des systèmes, à la différence qu’il concerne les niveaux d’autorisation. Il s’agit de montrer qu’il existe de tels niveaux ainsi que des droits réservés à certaines catégories d’utilisateurs, ce qui atteste de la validité et l’authenticité de vos documents électroniques.

Présentez des preuves de vos contrôles des autorisations en montrant comment différentes catégories d’utilisateurs peuvent accéder aux documents électroniques et les créer, modifier ou supprimer. Vous devez également montrer quelles mesures vous prenez pour empêcher les utilisateurs non autorisés de réaliser certaines de ces actions.

Il est conseillé de définir au moins deux catégories d’utilisateurs : un niveau général et un niveau « administrateur ». Nombre d’entreprises en ont davantage. Si vous découvrez que la vôtre a besoin de plus de catégories, indiquez-le dans votre rapport de synthèse.

 

  1. Validation des formations

L’un des critères majeurs de conformité à la 21 CFR Part 11 est la formation. Lorsque vous validez les procédures de gestion des documents électroniques de votre entreprise, vous confirmez que votre personnel dispose des compétences, de l’expertise et des connaissances nécessaires au traitement de ces fichiers au quotidien.

La FDA vous impose de lui présenter une copie de vos procédures opérationnelles standard ou spécifiques à des systèmes. Selon les systèmes et les appareils que votre entreprise utilise, vous pouvez y joindre des certificats de participation de votre équipe à une formation sur l’utilisation de matériel conforme à la 21 CFR Part 11.

Une autre technique utilisée par de nombreuses entreprises est la remise d’un certificat de formation aux collaborateurs. Le certificat signé prouve qu’un collaborateur a participé à une formation sur les procédures opérationnelles de votre entreprise et l’a validée.

Suite à un examen approfondi de votre système et à des contrôles des procédures et des tests, votre personnel « certifiera » la validation des systèmes de votre entreprise. Si vous devez apporter des modifications à vos contrôles pour être conforme à la 21 CFR Part 11, apportez-les avant la certification.

 

Effets des directives de la 21 CFR Part 11 sur l’enregistrement des données

De nombreux secteurs soumis aux directives de la 21 CFR Part 11 ont recours à des enregistreurs de données. Par exemple, les entreprises des secteurs pharmaceutique, agroalimentaire et de la santé utilisent des enregistreurs de température pour contrôler et garantir la viabilité de leurs produits.

En raison des tests approfondis, des ressources et du temps nécessaires en vertu de la 21 CFR Part 11, il est essentiel pour les entreprises d’avoir accès à des enregistreurs qui permettent de s’y conformer. Dans le cas contraire, votre équipe est contrainte d’accorder plus de temps et de ressources à la certification de vos sources d’information, des pistes d’audit, de l’accessibilité des systèmes, etc.

Cobalt 2 et la suite ThermoServer/ThermoClient d’OCEASOFT sont un exemple de solution d’enregistrement de données conçue pour satisfaire aux obligations de la 21 CFR Part 11. Tandis que cet enregistreur de données polyvalent contrôle entre autres la température, l’humidité, le taux de dioxyde de carbone ou encore la pression différentielle, la suite ThermoServer/ThermoClient permet de consulter, d’analyser et de communiquer les données. Cet outil a été conçu conformément aux directives de la 21 CFR Part 11.

Lorsque vous disposez d’un système de contrôle approuvé au titre de la 21 CFR Part 11, vous n’avez pas besoin de vous soucier des effets de la 21 CFR Part 11 sur l’enregistrement des données. Votre fournisseur d’enregistreur a déjà une longueur d’avance. Il garantit que ses produits vous donnent facilement des informations exactes pour vos documents électroniques.

 

Plus d’informations sur les directives de la 21 CFR Part 11 et les enregistreurs de données conformes

Plusieurs fois récompensée, OCEASOFT est une entreprise férue d’innovation. Nos enregistreurs sans fil offrent aux plus grandes entreprises du monde une solution intelligente et fiable leur permettant de se conformer aux différentes directives, à savoir non seulement la 21 CFR Part 11, mais également la norme NF EN 12830, les bonnes pratiques, la Qualification des installations (Installation Qualification ou IQ) ou encore la Qualification opérationnelle (Operational Qualification ou OQ).

 

Pour en savoir plus sur notre entreprise certifiée ISO 9001 et nos solutions et services, contactez-nous dès à présent.

Retour au glossaire