ARCHIVÉE - PIC/S Annexe 11 : Systèmes informatisés

Annexes au guide des bonnes pratiques
de fabrication pour les produits pharmaceutiques

PE 009-6 (annexes)
5 avril 2007

© PIC/S Avril 2007
La reproduction est interdite pour but commercial.
La reproduction pour usage interne est autorisée
à condition que la source du document soit reconnue.

Éditeur: Secrétariat PIC/S
14, rue du Roveray
CH-1207 Genève
Courriel : info@picscheme.org
 Site web : www.picscheme.org

NOTE : Ce document est une traduction effectuée par l'Inspectorat de la Direction générale des produits de santé et des aliments, Santé Canada.

Personne à contacter et document complet pour impression

Table des matières

• Principe
• Personnel
• Validation
• Système

Principe

L'introduction de systèmes informatisés dans les systèmes de fabrication, y compris l'entreposage, la distribution et le contrôle de la qualité, ne modifie pas le besoin de respecter les principes pertinents que l'on retrouve ailleurs dans le Guide. Lorsqu'un système informatisé remplace une opération manuelle, ceci ne devrait pas résulter en une diminution de la qualité du produit ou de l'assurance de la qualité. L'attention devrait être portée sur le risque de perte de certains aspects du système précédent en réduisant la participation des opérateurs.

Personnel

1. Il est essentiel qu'il y ait une collaboration étroite entre le personnel clé et le personnel qui s'occupe des systèmes informatiques. Les personnes qui occupent des postes de responsabilité devraient avoir reçu la formation nécessaire pour gérer et utiliser les systèmes de leur domaine de responsabilité qui utilisent des ordinateurs. Ceci devrait inclure l'assurance que l'expertise nécessaire est disponible et utilisée pour fournir des conseils sur des aspects liés à la conception, à la validation, à l'installation et au fonctionnement des systèmes informatisés.

Validation

2. L'ampleur de la validation nécessaire sera liée à un certain nombre de facteurs, notamment l'utilisation que l'on fera du système, s'il s'agit d'une validation prospective ou rétrospective et si de nouveaux éléments sont incorporés ou non. La validation devrait être considérée comme une partie du cycle de vie complet d'un système informatique. Ce cycle comprend les étapes de planification, de définition des spécifications, de programmation, d'essai, de mise en service, de documentation, de fonctionnement, de surveillance et de modification.

Système

3. Une attention devrait être portée à l'installation des équipements dans des conditions favorables où des facteurs externes ne peuvent pas interférer avec le système.

4. Une description détaillée du système (en incluant des diagrammes au besoin) devrait être préparée et tenue à jour. Elle devrait décrire les principes, les objectifs, les mesures de sécurité et la portée du système, ainsi que les principales caractéristiques du mode d'utilisation de l'ordinateur et la manière dont il interagit avec d'autres systèmes et procédures.

5. Le logiciel est une composante critique d'un système informatisé. L'utilisateur du logiciel devrait prendre toutes les mesures nécessaires pour s'assurer que celui-ci a été produit conformément à un système d'assurance de la qualité.

6. Le système devrait inclure, s'il y a lieu, des contrôles incorporés de l'entrée et du traitement adéquats des données.

7. Avant de commencer à utiliser un système utilisant un ordinateur, il devrait être minutieusement testé et reconnu capable d'être en mesure d'atteindre les résultats escomptés. Si on remplace un système manuel, on utilisera les deux systèmes en parallèle pendant une période donnée dans le cadre des essais et de la validation.

8. Les données ne devraient être entrées et modifiées que par les personnes autorisées à le faire. Les méthodes adéquates pour empêcher l'entrée des données non autorisées, comprennent entre autres l'utilisation de clés, de laissez-passer, de codes personnels, ainsi que l'accès limité aux terminaux d'ordinateurs. Il devrait y avoir une procédure bien précise pour accorder, annuler et modifier la permission, d'entrer et de modifier des données, ainsi que la modification de mots de passe personnels. Une attention devrait être portée sur les systèmes qui permettent d'enregistrer les tentatives d'accès par des personnes non autorisées.

9. Lorsque des données critiques sont entrées manuellement (p. ex. le poids et le numéro de lot d'un ingrédient durant la distribution, p. ex.), il devrait y avoir un contrôle additionnel de l'exactitude de l'entrée. Ce contrôle devrait être fait par un deuxième employé ou par tout autre moyen électronique validé.

10. Le système devrait enregistrer l'identité des employés qui entrent ou qui confirment les données critiques. L'autorisation de modifier des données entrées devrait être restreinte aux personnes désignées. Toute modification d'une entrée de donnée critique sera autorisée et enregistrée, ainsi que les raisons de la modification. On devrait considérer un système qui crée un registre complet de toutes les entrées et modifications (« liste de contrôle »).

11. Les modifications à un système ou d'un programme informatique ne devrait se faire que conformément à une procédure bien définie qui prévoit des mécanismes de validation, de vérification, d'approbation et de mise en oeuvre de la modification. Une telle modification n'entrerait en vigueur qu'avec l'approbation de la personne responsable de la portion du système touchée, et la modification devrait être enregistrée. Chaque modification importante devrait être validée.

12. À des fins de vérification de la qualité, il devrait être possible d'obtenir des copies imprimées de données entreposées dans un format électronique.

13. Les données devraient être protégées à l'aide de moyens physiques ou électroniques contre les dommages intentionnels ou accidentels, conformément à l'article 4.9 du Guide. Les données entreposées devraient être vérifiées pour leur accessibilité, durabilité et exactitude. Si des changements sont proposés au matériel informatique ou à ses programmes, les vérifications susmentionnées devraient être effectuées à une fréquence appropriée, selon le support utilisé pour l'entreposage.

14. Les données devraient être protégées en faisant des sauvegardes à intervalles réguliers. Les données sauvegardées devraient être entreposées aussi longtemps qu'il sera nécessaire dans un lieu sûr et distinct.

15. Il devrait y avoir des modalités de secours adéquates pour les systèmes qui doivent fonctionner en cas de panne. Le temps nécessaire pour mettre en marche le système de secours devrait être lié à l'urgence possible d'avoir à les utiliser. Par exemple, les données nécessaires pour effectuer un rappel, doivent être disponibles dans un bref délai.

16. Les procédures à suivre en cas de panne du système seront définies et validées. Toutes les pannes et mesures correctives devraient être enregistrées.

17. Une procédure devrait être établie pour enregistrer et analyser les erreurs et permettre la prise de mesures correctives.

18. Lorsque l'on a recours à un organisme externe pour obtenir des services informatiques, une entente officielle devrait être rédigée, incluant un énoncé précis des responsabilités de cet organisme (voir le chapitre 7).

19. Lorsque l'autorisation de vendre ou de distribuer des lots de produit se fait à l'aide d'un système informatisé, le système devrait reconnaître que seule une personne autorisée a le droit de le faire et devrait indiquera et enregistrera clairement le nom de la personne qui autorise la mise en marché.