Pour les sites pharmaceutiques, la surveillance accrue des autorités sur les données d’analyse et de production a abouti à un resserrement des exigences de Data Integrity dans les Bonnes Pratiques de Fabrication (BPF) et du contrôle lors des inspections. La mise en conformité nécessite aujourd’hui des investissements élevés en formation et en équipements pour garantir la traçabilité et l’archivage des lots, tout en accélérant une digitalisation presqu’indispensable dans le cadre de l’usine 4.0.
Le virage Data Integrity (ou l’intégrité des données) a été amorcé en mars 2015 par la MHRA et, à l’été 2016, par la FDA, le PIC/S, l’OMS et l’EMA, à la suite d’un nombre croissant de Warning Letters, mesures de rétorsion et autres injonctions à l’encontre de sites pharmaceutiques situés notamment en Inde et en Chine, aboutissant parfois à des suspensions d’autorisation. « La détection de nombreuses violations aux Bonnes pratiques de fabrication (BPF), relatives à la maitrise des données, et de fraudes caractérisées, ont conduit les inspecteurs à clarifier leurs positions et à se former », explique Maria Moreno, Directrice qualité chez Seratec, fabricant de principes actifs. Il n’existait pas alors de garde-fous pour empêcher la manipulation volontaire, par négligence ou mauvaises habitudes, pouvant mener à l’altération, voire la perte de données ».
Les exigences ALCOA
La FDA a été la première à réagir en publiant en avril 2016 la « Guidance for Industry » qui intègre les nouvelles exigences de Data Integrity, comme des prérequis du système de qualité pharmaceutique, liés à la partie 21 CFR Part 11 et à l’annexe 11 des BPF. « La Data Integrity définit le cadre dans lequel les données critiques restent complètes, cohérentes et exactes tout au long de leur cycle de vie, » présente Isabelle Lefeuvre, responsable des laboratoires de contrôle de Sanofi au Val-de-Reuil . Avec la digitalisation croissante des processus, la mondialisation des activités et la multiplication des systèmes informatisés, par lesquels transitent les données, de nouvelles dispositions ont été ajoutées pour s’assurer de la traçabilité, de la sauvegarde et de l’archivage des données. Les autorités s’accordent ainsi pour dire qu’une donnée est intègre et peut servir de support de décision, lorsqu’elle respecte les exigences ALCOA : Attribuable (à une personne), Lisible (traçable et permanente), Contemporaine (émise à une heure et date précise), Originale (sans modification ultérieure) et Précise (Accurate). La notion d’ALCOA+ précise également que la donnée doit être Complète, Concordante, Durable et Disponible dans un serveur sécurisé. Il revient aux fabricants, distributeurs et exploitants d’être en mesure de détecter les failles dans l’organisation ou les systèmes, qui peuvent mener à une altération des données et à une décision erronée. « On s’intéresse à toutes les données BPF sous format manuscrite et électronique, qui permettent de libérer et statuer sur la conformité qualité d’un produit », précise Isabelle Lefeuvre. Avec un focus particulier sur les équipements des laboratoires de contrôle qualité, tel que l’équipement de chromatographie liquide de Sanofi au Val-de-Reuil, qui a fait l’objet d’un audit de 9 heures de la part des inspecteurs de l’ANSM en 2019.
Revirement majeur dans les audits
« L’intégrité des données a été et est encore une préoccupation majeure mondiale des autorités sanitaires et de l’industrie pharmaceutique », note Maria Moreno, qui a reçu sa quatrième inspection FDA en 2016 sur le site de Seratec à Courville-sur-Eure, près de Chartres, avec une importante task force pour piloter son programme d’intégrité des données. « Les inspecteurs ne nous demandent plus seulement de montrer nos documents, et surtout d’expliquer la provenance des informations, de montrer copie conforme, où est stockée l’information, comment est promu l’esprit critique et comment le personnel adhère à la protection des données, ou encore comment sont anticipés les dysfonctionnements logiciels ou les problèmes de configuration, et tracés les changements dans les systèmes informatisés au travers d’audit trails. » L’audit trail, dans la terminologie Data Integrity, est « le journal de bord de la donnée ».
Pour sa mise en conformité, Seratec a mis en place une architecture IT avec des serveurs sécurisés, revalidé les applications selon leurs impacts, défini les rôles et habilitations, configuré les audit trails pour la traçabilité, et mis en place un contrat d’infogérance spécifique auprès d’un prestataire choisi sur la base de ces critères. « Mais l’investissement a surtout porté sur la formation pour initier un véritable changement dans les mentalités et les habitudes, » pointe-t-elle. La meilleure façon d’éviter les problèmes d’intégrité des données est que tous les niveaux de l’entreprise assument pleinement la propriété et la responsabilité de leurs propres données et de la documentation. « Nous avons commencé par définir notre code de conduite approuvé par toute l’entreprise pour que les collaborateurs se rendent compte de leur importance dans le cadre de procédures spécifiques, » ajoute-telle.
Au-delà, s’ajoute la détection par des revues et audits du cycle de vie des données, complétées si besoin d’enquêtes et d’actions correctives. La Data Integrity n’est certes pas un « long fleuve tranquille » pour Maria Moreno, qui est investie depuis cinq ans dans le programme d’intégrité des données de Seratec, avec un comité stratégique pour la gouvernance, accompagné par des organismes certifiés (Intertek, CVO-Europe) et des consultants informatiques (Ingesitec). La société a procédé avec rigueur, analyse et cohérence pour définir la criticité de ses processus, procéder aux analyses d’impact et de gestion du risque qualité, essentiels pour définir le niveau de vérification, de qualification et de validation de ses systèmes. La Data Integrity s’entretient maintenant au quotidien au rythme de l’achat d’un équipement neuf ou de l’embauche de nouveaux collaborateurs.
Investissements dans les équipements
Pour Isabelle Lefeuvre, la culture de Data Integrity est également bien imprégnée sur le site de Sanofi au Val-de-Reuil, grâce à une équipe multidisciplinaire et des newsletters qui aident à « donner du sens ». Mais la route est encore longue avant d’avoir tous les équipements remplacés et conformes à la réglementation. « Ces investissements élevés vont s’étaler sur plusieurs années, pointe-t-elle. Nous avons passé en revue chacun de nos équipements l’année passée pour coter le risque. Nous allons renouveler les plus anciens, qui n’ont pas d’audit trail ou de compte nominatif par exemple et, en attendant, établir des contrôles opérationnels supplémentaires pour pallier aux écarts et maitriser le risque. » Pour les nouveaux achats, les exigences de Data Integrity sondes charges, même si les fournisseurs ne sont pas encore totalement rompus à ces nouvelles exigences. «Nous échangeons avec les fournisseurs pour qu’ils puissent faire évoluer leurs équipements et répondre aux exigences et devons parfois ajouter des contrôles complémentaires sur des équipements pour pouvoir répondre à la réglementation, » note-t-elle. La digitalisation des sites à l’avenir pourra aider à la mise en conformité, en augmentant aussi le montant des investissements.t intégrées aux cahiers
Vers la digitalisation des processus
Les données constituent le coeur de métier d’Eurofins BioPharma Product Testing, spécialiste mondial de la bioanalyse, basé aux Ulis, en région parisienne, qui s’est engagé dans la digitalisation de ses processus pour renforcer la qualité et la sécurité des résultats analytiques et études de stabilité de ses clients. « Nous avons installé un logiciel de gestion des données chromatographiques Empower (de Waters) pour faciliter l’analyse des échantillons et l’obtention de résultats fiables », rappelle Quentin Balland, Ingénieur Assurance Qualité Software chez Eurofins BioPharma Product Testing. Le contrôle des équipements chromatographiques passe par la centralisation des données, mais aussi la simplification et la sécurisation des process pour les techniciens qui sont en première ligne. En parallèle, Eurofins s’est équipé d’un nouveau système de gestion de la production (ERP) pour sécuriser l’historique et les résultats d’analyse des échantillons. En reliant son logiciel Empower à l’ERP, il pourra ainsi proposer à ses clients une visibilité complète du procédé d’étude sur leurs échantillons. « Plus on automatise, plus on diminue le risque d’erreur et plus on renforce la traçabilité et l’intégrité des données, » résume-t-il. Au delà de l’utilisation de logiciels communs, la tendance est à la création d’un data center européen pour sécuriser encore plus les données. C’est un projet mené par le Data Integrity Council, le conseil européen créé par Eurofins, qui vise également l’harmonisation des pratiques et de la qualité de service en Europe.