DATA INTEGRITY : un retour aux sources


La Data Integrity, un retour aux sources des Bonnes Pratiques ?

Revenons en arrière, et examinons le chemin parcouru par les systèmes d’informations dans ces 40 dernières années. Oui, oui, il faut remonter à 40 ans ! Au seuil des années 80 eut lieu un évènement qui a fracturé le monde de l’informatique : l’invention de la Micro-Informatique. Cette invention a permis à tout un chacun de posséder aujourd’hui un PC ou un Mac. Cette innovation, si elle a favorisé l’explosion de « l’informatique pour tous », a favorisé l’émergence du monde du logiciel et de la « soft  industry » : les SAP, Microsoft, Google et autres.

Dans ce concert d’innovations et d’interfaces, on avait un peu oublié le mot « informations » pour se focaliser principalement sur les systèmes. La grande vertu de la démarche sur le Data Integrity aujourd’hui, est de revenir à l’essentiel, c’est-à-dire à l’information !

Et pourtant, les textes étaient là …

Il faut ici rendre hommage aux législateurs, aux textes européens et américains qui avaient déjà montrés la voie.

L’annexe 11 des euGxP (3) incite à plusieurs reprises à une protection des données. On retrouve, par exemple, des exigences sur le maintien de la pérennité des données (§ 7.1), les sauvegardes, (§ 7.2), l’audit Trail (§ 9) ou la modification justifiée des données (§ 9 et 10). La traçabilité des modifications depuis la donnée brute est aussi en filigrane (§ 8.2), le grand classique de la protection physique (§ 7.1), la sécurité logique et le contrôle des accès (§ 12.1, 12.2, 12.3), mais aussi le suivi des incidents sur les systèmes ou les données (§ 13), la signature électronique (§ 14), et bien évidemment la continuité (§ 16) et l’archivage (§ 17). Jusqu’au principe du SOD (Segregation of Duty), qui est suggéré (§ 6). Il est aussi demandé qu’un inventaire cartographie les « flux de données » (§ 4.3).

On pourrait effectuer le même exercice sur la base du CFR21 part 11, « electronic records, electronic signatures », et retrouver les mêmes principes avec des variantes.

Alors pourquoi ces nouveaux textes ? Quels besoins avaient le MHRA, puis la plupart des agences derrières pour engager de nouveaux textes ? Qu’est ce qui est nouveau ? Qu’est ce qui change ?

Alors, quoi de nouveau dans la Data Integrity ?

  • La fraude

    On le sait, l’origine du mouvement autour de la Data Integrity est la résultante de pratiques de fraude avérées qui ont clairement montré que certaines entreprises pouvaient modifier directement les données lorsque celles-ci ne correspondaient pas à leur souhait. Au cours des dernières années, il y a eu une augmentation significative des violations de l'intégrité des données. La tendance est à l'augmentation du nombre de lettres d'avertissement sur l'intégrité des données, y compris la falsification (4), émises aux sociétés pharmaceutiques. Entre janvier 2015 et mai 2016, 21 lettres d'avertissement sur 28 émises par la FDA ont impliqué des problèmes d'intégrité des données dans la fabrication de médicaments.

  • Systèmes ouverts et flux de données

    Pendant de nombreuses années les préoccupations se portaient essentiellement sur la validation des systèmes informatisés et automatisés. On en avait presqu’oublié les données qui vont avec ! Le focus est porté maintenant sur les données. La vision monolithique du système d’informations concentré dans un seul outil fermé et ne communiquant avec rien – en amont comme en aval – est erronée. Même dans le cadre d’une mise en place massive d’un ERP sur un périmètre maximum, on trouvera toujours des connexions avec des équipements de laboratoire, un LIMS, des équipements de production, des outils d’extractions. Les données circulent d’un système à un autre, évoluent, changent. Il faut donc les contrôler, vérifier que la « charge sémantique initiale » ne soit pas altérée.

  • Maîtrise de la donnée

    La préoccupation qui est au cœur de Data Integrity est finalement centrale : « Comment est-il possible de prouver que la donnée, qui est utilisée pour prendre une décision, n’a pas été modifiée ou altérée depuis son origine ? Surtout quand cette décision impacte la sécurité du patient. Ou, si une modification a été effectuée, l’a telle été dans un cadre maîtrisé et justifié ? la traçabilité de cette modification est-elle disponible ?  La valeur de référence est-elle toujours accessible ? »

  • Contributions des acteurs

    De nouveaux éléments de vigilance contribuent aussi à développer la vision du concept de Data Integrity. Des mots clés comme ALCOA, des pratiques diverses autour de la gestion des dates, la revue des audits trail, tous ces sujets sont maintenant au cœur des préoccupations des acteurs.

  • L’extension à l’entreprise
  • Et puis, Data Integrity commence à s’étendre dans toute l’entreprise. Dans un premier temps limité au laboratoire, on parle maintenant des données d’origine industrielle, on parlera bientôt de toutes les données qui sont impliquées de façon directe ou indirecte dans la sécurité du patient ou la qualité du produit.

C’est donc une vague importante qui présente la vertu première de nous ramener à l’essentiel : les données. Et déjà, en ce sens, c’est une avancée majeure. Alors oui, « on en prend probablement pour 10 ans » comme s’en étonnait un participant, et finalement, c’est peut-être bien une bonne chose !

Philippe Charbon, Président d’Apsalys

 

  1. https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/538871/MHRA_GxP_data_integrity_consultation.pdf
  2. https://www.fda.gov/downloads/drugs/guidances/ucm495891.pdf
  3. https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwj_itTpieHXAhVnJ8AKHXJkCfkQFggtMAA&url=http%3A%2F%2Fansm.sante.fr%2Fcontent%2Fdownload%2F48612%2F625114%2Fversion%2F1%2Ffile%2FAnnexe-11_Systemes-Informatises_Mai2013.pdf&usg=AOvVaw01ilZGItQOpVECLWws6H6i
  4. https://www.fda.gov/downloads/AboutFDA/CentersOffices/OfficeofMedicalProductsandTobacco/CDER/UCM549445.pdf

Philippe_Charbon_Apsalys_PresidentPhilippe Charbon, président d’Apsalys, distributeur à valeur ajoutée de la solution MasterControl pour les pays francophones. Avant de co-fonder Apsalys en 2004, Philippe Charbon a travaillé pendant plus de 20 ans au sein de grands groupes des Sciences de la Vie, à l’étude, l’élaboration et l’accompagnement de projets informatisés. Ainsi qu'à la mise en place de systèmes qualité et de mise en conformité réglementaire. Ses connaissances spécifiques des exigences réglementaires du domaine des Sciences de la Vie combinées à sa maîtrise des systèmes d'information en font de lui un expert reconnu.

apsalys-version-courteRetrouvez-nous sur : www.apsalys.com