Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Annexe 11 aux lignes directrices sur les bonnes pratiques de fabrication: systèmes informatisés: GUI-0050

Télécharger en format PDF
(1.25 Mo, 18 pages)

Organisation : Santé Canada

Date publiée : 10 août 2021

Avis de non-responsabilité

Le présent document ne constitue pas une partie de la Loi sur les aliments et drogues (la Loi) ou ses règlements. En cas de contradiction ou d'incompatibilité entre la Loi ou les règlements et le présent document, la Loi ou les règlements auront préséance. Le présent document est un document administratif destiné à faciliter la conformité des parties règlementées à la Loi, aux règlements et aux politique administratives applicable.

Table des matières

À propos du présent document

Généralités

Phase du projet

Phase opérationnelle

Annexes 14

Voici le symbole utilisé dans le présent document et sa signification.

Renseignements : Renseignements additionnels comme des citations et des références juridiques.

À propos du présent document

1. Objectif

Cette annexe s'applique à toutes les formes de systèmes informatisés utilisés dans le cadre des activités relevant des bonnes pratiques de fabrication (BPF). Un système informatisé est un ensemble de logiciels et de matériels qui, ensemble, remplissent certaines fonctionnalités.

L'application doit être validée et l'infrastructure des technologies de l'information (TI) doit être qualifiée.

Lorsqu'un système informatisé remplace une opération manuelle, il ne devrait pas en résulter une diminution de la qualité du produit, du contrôle du processus ou de l'assurance de la qualité. Il ne doit pas non plus en résulter une augmentation du risque général associé au processus.

Le présent document est une annexe de la version actuelle des Lignes directrices sur les bonnes pratiques de fabrication des drogues (GUI-0001). Les définitions des termes utilisés dans ce guide se trouvent dans l'annexe A.

Les lignes directrices qui suivent proviennent de la version actuelle de l'annexe 11 : systèmes informatisés ( Annex 11: Computerised Systems) du document Guide to good manufacturing practice for medicinal products annexes (PE-009-15) (en anglais seulement) du Pharmaceutical Inspection Cooperation Scheme (PIC/S).

Veuillez prendre note que bien que cette annexe soit directement tirée du PE-009-15, certains termes utilisés par le PIC/S ont été remplacés par des équivalents canadiens pour refléter la terminologie utilisée par Santé Canada.

2. Portée

Ces lignes directrices s'appliquent aux catégories de produits suivantes :

  • pharmaceutiques
  • radiopharmaceutiques
  • biologiques
  • vétérinaires

3. Introduction

Les présentes lignes directrices décrivent les exigences des bonnes pratiques de fabrication (BPF) établies à la partie C, titre 2 du Règlement sur les aliments et drogues (le Règlement).

Santé Canada est un membre actif du Pharmaceutical Inspection Cooperation Scheme (PIC/S). Santé Canada a adopté l'annexe 11 des lignes directrices du PIC/S, qui s'applique à tous les types de systèmes informatisés utilisés dans le cadre des activités relevant des BPF.

Les documents d'orientation comme celui-ci ont pour but d'aider l'industrie et les professionnels de la santé à comprendre comment se conformer aux lois canadiennes pertinentes. Ils guident également le personnel de Santé Canada afin que les règlements soient appliqués de manière efficace, équitable et uniforme dans l'ensemble du Canada.

Santé Canada inspecte les établissements afin d'évaluer leur conformité à la Loi sur les aliments et drogues (la Loi) et aux règlements connexes. Le présent document est utilisé comme guide lors des inspections pour déterminer si vous vous conformez aux exigences des BPF.

Ces lignes directrices ne sont pas la seule façon dont les règlements sur les BPF peuvent être interprétés et ne visent pas à couvrir tous les cas possibles. D'autres moyens de se conformer aux règlements sur les BPF seront examinés ainsi que leurs justifications scientifiques associées. De plus, des approches différentes deviendront peut-être nécessaires avec l'apparition de nouvelles technologies.

Les documents d'orientation sont de nature administrative et n'ont pas force de loi. Pour cette raison, ils permettent une certaine souplesse sur le plan de l'approche. Utilisez donc ce guide pour définir des approches spécifiques qui répondent à vos besoins particuliers.

Généralités

4. Lignes directrices

4.1 Gestion du risque

La gestion du risque doit être appliquée tout au long du cycle de vie du système informatisé en tenant compte de la sécurité des patients, de l'intégrité des données et de la qualité du produit. Dans le cadre d'un système de gestion des risques, les décisions relatives à l'étendue de la validation et des mesures de contrôle de l'intégrité des données doivent être prises en fonction d'une évaluation justifiée et documentée des risques associés au système informatisé.

4.2 Personnel

Le personnel concerné, tel que le détenteur du processus, le détenteur du système et le personnel des TI, doit faire preuve d'une coopération étroite. Afin de pouvoir effectuer les tâches qui leur sont assignées, tous les membres du personnel doivent bénéficier des qualifications et niveaux d'accès appropriés, et leurs responsabilités doivent être clairement définies.

4.3 Fournisseurs et prestataires de services

  1. Une entente officielle doit être conclue entre le titulaire d'une licence d'établissement de produits pharmaceutiques et un tiers (p. ex. un fournisseur ou un prestataire de services) qui est utilisé pour fournir, installer, configurer, intégrer, valider, maintenir (p. ex. via un accès à distance) modifier ou conserver un système informatisé, ou encore pour réaliser un service connexe ou pour le traitement des données. Cette entente doit énoncer clairement les responsabilités du tiers. La même exigence s'applique aux services de TI.
  2. La compétence et la fiabilité d'un fournisseur sont des facteurs essentiels à prendre en compte lors du choix d'un produit ou d'un prestataire de services. La nécessité de réaliser un audit doit être déterminée en fonction d'une évaluation des risques.
  3. Les utilisateurs réglementés doivent examiner la documentation qui accompagne les produits commerciaux prêts à l'emploi pour vérifier qu'elle respecte les exigences de l'utilisateur.
  4. Les informations relatives aux systèmes qualité et aux audits des fournisseurs ou des développeurs de logiciels et de systèmes mis en œuvre doivent être mises à la disposition des inspecteurs sur demande.

Phase du projet

4.4 Validation

  1. La documentation et les rapports de validation doivent traiter des différentes étapes du cycle de vie du système. Toutes les organisations doivent être en mesure de justifier leurs normes, leurs protocoles, leurs critères d'acceptation, leurs procédures et leurs enregistrements en s'appuyant sur leur évaluation des risques.
  2. La documentation de validation doit comprendre des registres de contrôle des changements (le cas échéant) et des rapports de tous les écarts observés pendant le processus de validation.
  3. Une liste à jour (un inventaire) de tous les systèmes pertinents et de leur fonction en ce qui a trait aux BPF doit être disponible. Pour les systèmes essentiels, une description à jour du système doit également être disponible. Cette description doit contenir des renseignements sur les dispositions physiques et logiques du système, sur les flux de données et les interfaces avec d'autres systèmes ou processus, sur les prérequis en matière de matériels et de logiciels et sur les mesures de sécurité en place.
  4. Les spécifications indiquant les exigences de l'utilisateur « Users Requirements Specifications » doivent décrire les fonctions requises du système informatisé et être basées sur une évaluation documentée du risque et sur les incidences relatives aux BPF. Il faut pouvoir retracer les exigences de l'utilisateur tout au long du cycle de vie du système.
  5. L'utilisateur réglementé doit prendre toutes les mesures raisonnables pour que le système soit conçu conformément à un système de gestion de la qualité approprié. Le fournisseur doit faire l'objet d'une évaluation adéquate.
  6. En ce qui a trait à la validation des systèmes informatisés sur mesure ou personnalisés, un processus doit être mis en place pour garantir qu'il existe une évaluation officielle et des rapports traitant de la qualité et des mesures de performance, et ce, pour toutes les étapes du cycle de vie du système.
  7. L'adéquation des méthodes et des scénarios de test doit être démontrée. En particulier, les limites des paramètres du système (processus), les limites des données et le traitement des erreurs doivent être pris en compte. Des évaluations documentées doivent prouver que les outils de test automatisés et les environnements de test sont adéquats.
  8. Si les données sont transférées dans un autre format ou vers un autre système, l'étape de validation doit permettre de vérifier que la valeur et la signification des données n'ont pas été altérées lors du processus de migration.

De nombreuses approches sont envisageables en ce qui concerne la validation des systèmes informatisés. Vous pouvez trouver plus d'information à ce sujet dans le guide Good Practices for Computerised Systems in Regulated "GXP" Environments (PI 011-3) (en anglais seulement) du PIC/S. Santé Canada acceptera les approches justifiées scientifiquement.

Voici d'autres documents qui pourraient être pris en compte dans le cadre de l'évaluation réalisée par Santé Canada:

Phase opérationnelle

4.5 Données

Les systèmes informatisés qui échangent des données électroniques avec d'autres systèmes doivent être dotés de contrôles intégrés garantissant une saisie et un traitement des données exacts et sécuritaires, et ce, dans le but de minimiser les risques.

4.6 Contrôles d'exactitude

Afin de garantir leur exactitude, les données à caractère critique saisies manuellement doivent faire l'objet de contrôles additionnels. Ceux-ci peuvent être effectués par un second opérateur ou par des moyens électroniques approuvés. La gestion des risques doit prendre en compte la gravité et les conséquences potentielles de la saisie incorrecte des données dans le système.

4.7 Stockage des données

  1. L'intégrité des données doit être protégée par des moyens physiques et électroniques. L'accessibilité, la lisibilité et l'exactitude des données stockées doivent être vérifiées. Il doit être possible d'accéder aux données tout au long de la période de rétention des données.
  2. Des copies de sauvegarde de toutes les données pertinentes doivent être faites régulièrement. L'intégrité et l'exactitude des copies de sauvegarde de même que la capacité de restaurer les données enregistrées doivent être vérifiées lors de la validation et faire l'objet d'une vérification périodique.

4.8 Impressions

  1. Il doit être possible d'obtenir des copies imprimées claires des données stockées électroniquement.
  2. Pour les données nécessaires à la libération des lots, il doit être possible de générer des impressions indiquant si l'une ou plusieurs de ces données ont été modifiées depuis leur saisie initiale.

4.9 Pistes de vérification

L'intégration d'une fonction permettant d'enregistrer toute modification ou suppression de données relatives aux BPF (c.-à-d. d'une « piste de vérification ») au système informatisé doit être envisagée à la lumière de l'évaluation du risque. Les raisons des modifications ou suppressions des données relatives aux BPF doivent être consignées. La piste de vérification doit être accessible, doit pouvoir être convertie en une forme lisible et doit faire l'objet de vérifications régulières.

4.10 Gestion des changements et de la configuration

Tout changement à un système informatisé, y compris à la configuration du système, doit être apporté uniquement d'une manière contrôlée et conformément à une procédure définie.

4.11 Évaluation périodique

Les systèmes informatisés doivent être examinés périodiquement pour confirmer qu'ils sont toujours valides et conformes aux BPF. Ces évaluations doivent inclure, le cas échéant, la gamme des fonctionnalités du système, les enregistrements des déviations, les incidents, les problèmes, l'historique des mises à jour et les rapports de performance, de fiabilité, de sécurité et de validation.

4.12 Sécurité

  1. Des moyens physiques ou logiques doivent être mis en place pour restreindre l'accès du système informatisé uniquement au personnel autorisé. Des méthodes adéquates pour empêcher des accès non autorisés au système peuvent consister en l'utilisation de clés, de badges, de codes d'accès avec des mots de passe, de la biométrie et de limitations d'accès physique aux zones dans lesquelles sont situés les équipements informatiques et les stockages des données.
  2. L'étendue des contrôles de sécurité dépend du caractère critique du système informatisé.
  3. La création, la modification et l'annulation des autorisations d'accès doivent être enregistrées.
  4. Les systèmes de gestion des données et des documents doivent être conçus pour enregistrer l'identité des utilisateurs ayant procédé à la saisie, à la modification, à la confirmation et à la suppression de données. La date et l'heure à laquelle ces activités ont été effectuées doivent aussi être enregistrées.

4.13 Gestion des incidents

Tous les incidents, et non pas seulement ceux liés aux défaillances du système et aux erreurs de données, doivent être rapportés et évalués. La cause fondamentale d'un incident à caractère critique doit être déterminée et elle doit constituer la base des actions préventives et correctives.

4.14 Signature électronique

Les enregistrements électroniques peuvent être signés électroniquement. Les signatures électroniques doivent :

  1. avoir la même valeur, au sein de l'entreprise, qu'une signature manuscrite
  2. être définitivement liées aux documents auxquels elles se rapportent
  3. inclure la date et l'heure auxquelles elles ont été appliquées

4.15 Libération des lots

Lorsqu'un système informatisé est utilisé pour enregistrer la certification et la libération de lots, il doit être conçu de manière à ce que seules les personnes qualifiées puissent certifier la libération des lots. De plus, l'identité de la personne ayant procédé à la libération ou à la certification des lots doit être clairement établie et enregistrée. Cette opération doit être réalisée à l'aide d'une signature électronique.

4.16 Continuité opérationnelle

Des dispositions doivent être prises afin d'assurer la continuité du fonctionnement des systèmes informatisés utilisés pour des processus à caractère critique dans l'éventualité d'une panne (p. ex. un système manuel ou de rechange). Le temps nécessaire à la mise en place des solutions de rechange doit être basé sur une étude des risques et être approprié au système et à l'activité concernée. Ces dispositions doivent être correctement documentées et testées.

4.17 Archives

Les données peuvent être archivées. Leur accessibilité, leur lisibilité et leur intégrité doivent être vérifiées. Si des changements considérables doivent être apportées au système (p. ex. modification de l'équipement informatique ou des programmes), la capacité à récupérer les données archivées doit être garantie et testée.

Annexes

Annexe A - Glossaire

Acronymes

BPF : Bonnes pratiques de fabrication

IEEE : The Institute of Electrical and Electronics Engineers Standards Association

ISO : Organisation internationale de normalisation

TI : Technologie de l'information

PIC/S : Pharmaceutical Inspection Cooperation/Scheme

Terminologie

Les définitions ci-dessous expliquent de quelle façon les termes sont utilisés dans le présent document. Les définitions tirées d'autres documents sont identifiées par des crochets en fin de définition. En cas de divergence par rapport à une définition contenue dans laLoi sur les aliments et drogues ou le Règlement sur les aliments et drogues, la définition de la Loi ou du Règlement a préséance. Davantage de définitions pertinentes se trouvent dans les Lignes directrices sur les bonnes pratiques de fabrication des drogues (GUI-0001).

Application : Logiciel installé sur une plateforme ou sur du matériel précis et qui remplit une fonction particulière.

Cycle de vie : Ensemble des phases de la vie d'un système à partir de l'élaboration des exigences initiales jusqu'à sa mise hors service. Comprends la conception, les spécifications, la programmation, les tests, l'installation, l'exploitation et la maintenance.

Détenteur du processus : Personne responsable du processus opérationnel.

Détenteur du système : Personne responsable d'assurer l'accessibilité et la maintenance d'un système informatisé et d'assurer la sécurité des données stockées sur celui-ci.

Infrastructure des TI : Ensemble des matériels et des logiciels (p. ex. les logiciels réseau et les systèmes d'exploitation) qui permettent le bon fonctionnement de l'application.

Licence d'établissement pour les produits pharmaceutiques : Licence délivrée à une personne au Canada pour effectuer des activités requérant une licence dans un bâtiment que l'on a inspecté et que l'on a jugé conforme aux exigences des titres 2 à 4 du Règlement sur les aliments et drogues.

Logiciel commercial prêt à l'emploi : Logiciel offert sur le marché et conçu pour être utilisé par un large spectre d'utilisateurs.

Système informatisé sur mesure ou personnalisé : Système informatisé unique conçu expressément pour l'exécution d'un processus opérationnel particulier.

Systèmes informatisés : Comprends tous les composants nécessaires pour saisir, traiter, transférer, stocker, afficher et gérer l'information, y compris (entre autres) le matériel, les logiciels, le personnel et la documentation nécessaire.

Tiers : Entités n'étant pas gérées directement par le titulaire de la licence d'établissement.

Annexe B - Références

Lois

Les lois et règlements canadiens se trouvent sur le site du ministère de la Justice
http://www.justice.gc.ca

Loi sur les aliments et drogues
https://laws-lois.justice.gc.ca/fra/lois/F-27/index.html

Règlement sur les aliments et drogues
https://laws-lois.justice.gc.ca/fra/reglements/C.R.C.%2C_ch._870/index.html

Directives de Santé Canada

Lignes directrices sur les bonnes pratiques de fabrication des drogues (GUI-0001) :
https://www.canada.ca/fr/sante-canada/services/medicaments-produits-sante/conformite-application-loi/bonnes-pratiques-fabrication/documents-orientation/bpf-lignes-directrices-0001.html

Directives sur la validation des formes posologiques pharmaceutiques (GUI-0029) :
https://www.canada.ca/fr/sante-canada/services/medicaments-produits-sante/conformite-application-loi/bonnes-pratiques-fabrication/validation/directives-validation-formes-posologiques-pharmaceutiques-0029.html

Documents d'orientation internationaux

ASTM E2500 - 13 Standard Guide for Specification, Design, and Verification of Pharmaceutical and Biopharmaceutical Manufacturing Systems and Equipment (en anglais seulement):
www.astm.org/Standards/E2500.htm

Pharmaceutical Inspection Cooperation Scheme's (PIC/S) - Annex 11 Computerized Systems (PE 009-15) (en anglais seulement):
https://www.picscheme.org/en/publications?tri=gmp

Pharmaceutical Inspection Cooperation Scheme's (PIC/S) - Good Practices for Computerised Systems in Regulated "GXP" Environments (PI 011-3) (en anglais seulement):
https://www.picscheme.org/en/publications?tri=all

The Institute of Electrical and Electronics Engineers Standards Association (IEEE SA) (en anglais seulement):
https://standards.ieee.org/

L'Organisation internationale de normalisation (ISO) :
https://www.iso.org/fr/standards.html

Détails de la page

Date de modification :