Nous suivre Industrie Pharma

Déjà sept ans pour la 5e version du guide GAMP

MICHEL RASCHAS, directeur Consulting, Validation et Services et expert e-compliance chez PROGMP*

Sujets relatifs :

, ,

La 5e version du guide de l'ISPE sur les bonnes pratiques de gestion de la conformité des systèmes informatisés et automatisés est utilisée depuis 7 ans. L'occasion de revenir sur son application dans l'industrie pharmaceutique.

Depuis sa parution en 2008, le guide GAMP5 a confirmé sa place de référence de fait pour cette initiative en matière de conformité des systèmes informatisés et automatisés. Mais si la notoriété de la publication de l'ISPE s'est renforcée avec le temps, son utilisation effective dans les entreprises réglementées reste encore soumise à de nombreuses interprétations. D'autres modèles, tel ITIL (Information Technology Infrastructure Library), viennent se juxtaposer dans les directions informatiques. À cela vient s'ajouter la généralisation de l'externalisation de tout ou partie des applications informatisées, selon les modèles IaaS (Infractructure as a Service), PaaS (Platform as a Service) ou SaaS (Software as a Service). Ces pratiques rendent nécessaire une actualisation de l'approche du système qualité des systèmes informatisés, faisant coexister les contraintes réglementaires et les nouveaux paradigmes du marché.

 

Un quart de siècle d'acquis

 

Depuis plus de 25 ans, le forum Good Automated Manufacturing Practice (maintenant appelé Community of Practice GAMP) apporte des recommandations aux acteurs des industries de la santé et à leurs fournisseurs afin de répondre de la manière la plus efficace aux exigences de conformité réglementaire pour les systèmes automatisés et informatisés. La notoriété de cette approche s'est développée à partir de la publication de la version 3 du guide (1998), qui a posé la base des meilleures pratiques, notamment sur la phase projet, applicables au secteur. La version 4, publiée en 2001, a introduit une meilleure prise en compte des activités opérationnelles et a mis l'accent sur la nécessaire introduction des analyses de risques dans l'ensemble de la démarche. Pour faire écho à un marché plus mûr et à une meilleure compréhension des attentes des autorités règlementaires (en intégrant notamment les approches ICH Q8 et Q9), la version 5 a été publiée en 2008. Le titre de cette version, traduit en français par « une approche de la conformité des systèmes informatisés BPx basée sur les risques », montre bien l'évolution de l'approche, notamment vis-à-vis des premières interprétations de la loi nord-américaine 21 CFR part 11 et de sa clarification publiée par la FDA en 2003 dans la « guidance for industry : part 11, scope and application » : les actions de conformité doivent être définies par les risques associés à la mise en oeuvre et à l'utilisation du système.

La conformité des systèmes informatisés et automatisés doit donc être gérée avec un fil conducteur qui repose sur l'identification des risques liés à la sécurité des patients, la qualité des produits et l'intégrité des données. Ce triptyque forme la colonne vertébrale de toute approche de conformité, et il est d'ailleurs cité comme tel dans la nouvelle annexe 11 des GMP européennes.

Le GAMP5 repose sur cinq principes clefs :

- Une compréhension du produit et du process en lien avec le système informatisé ;

- Une approche basée sur un cycle de vie du système informatisé dans le cadre d'un Système de Gestion de la Qualité ;

- Une possibilité de mettre à l'échelle (« scalability ») des activités du cycle de vie ;

- Une gestion scientifique (rationnelle et documentée) des risques ;

- Une valorisation de l'implication du fournisseur de système, permettant une meilleure pertinence des tests réalisés et d'éviter des redondances.

 

Sept ans de réflexion

 

Avec sept ans d'existence, il est possible de faire un point sur les apports de cette version. Les cinq grands principes sont aujourd'hui bien connus de l'ensemble des acteurs. Mais nos activités de conseil démontrent tous les jours qu'il y a encore de nombreuses incompréhensions entre les fournisseurs et leurs clients. Le GAMP4 avait un aspect didactique que certains utilisateurs trouvaient trop contraignant, et qui a été minoré dans la nouvelle version. Nous sommes souvent obligés de le recréer pour des utilisateurs du GAMP5. De même, il reste encore beaucoup à faire pour assurer la cohérence de l'approche sur l'ensemble du cycle de vie. Les parties projet et exploitation sont encore trop souvent dissociées. En particulier, il ne faut pas oublier que la phase d'exploitation est beaucoup plus longue que la phase de mise en oeuvre et que la constitution d'un dossier de validation doit être prévue pour toute la durée d'utilisation de l'application. On peut toutefois considérer que les objectifs du GAMP5 sont atteints car il est plus facile aujourd'hui d'assurer la conformité de son système en s'appuyant sur un référentiel de fait reconnu par l'ensemble de la profession, y compris les autorités réglementaires (le GAMP est cité comme référence par le PIC/S dans sa publication PI 011 à destination des inspecteurs).

Le GAMP5, de par sa place de guide de bonnes pratiques, prend en considération de nombreux documents ou référentiels existants. En complément des textes réglementaires pharmaceutiques classiques (GMP, ICH), il s'appuie également sur des principes et guides plus spécifiquement informatiques, tels que les ISO/IEC 12207 et 27002 et sur l'approche ITIL. ITIL connaît un succès dans les Directions des Systèmes d'Information assez comparable à celui du GAMP dans les directions Assurance Qualité. Nous avons eu à travailler à plusieurs reprises pour des entreprises qui souhaitaient obtenir une approche cohérente de leur organisation. L'impression de départ, vue des DSI, est qu'ils sont « poussés »par ITIL et « contraints » par le règlementaire pharmaceutique. Les travaux menés dans ces entreprises ont permis de mettre en avant que le GAMP ne s'opposait absolument pas à une démarche ITIL, mais que, au contraire, celle-ci se trouvait affinée par une bien meilleure identification du rôle et des responsabilités de chacun des acteurs et des risques liés à la mise en oeuvre et à l'exploitation des systèmes.

 

Le défi de l'externalisation

 

La principale préoccupation du secteur est aujourd'hui celle de l'externalisation partielle ou totale de l'infrastructure informatique. Dans le cadre des ateliers du CoP GAMP francophone, nous avons abordé ce sujet à plusieurs reprises et les préoccupations autour de ces nouvelles organisations restent nombreuses. Ce modèle est cependant largement répandu dans d'autres secteurs d'activité et permet, selon les études de certains cabinets de conseil, d'améliorer significativement le ratio efficacité/coût des DSI.

Cette externalisation est proposée par les offreurs selon trois modèles : Iaas, PaaS et SaaS, qui correspondent à trois niveaux de partage de responsabilité : (voir tableau ).

L'informatique des entreprises réglementées du secteur de la santé doit fournir des solutions efficaces. Les apports du Cloud Computing ne peuvent pas être ignorés : mise en oeuvre de solutions rapide et flexible, mise à l'échelle immédiate selon les besoins, continuité de service de très haut niveau, solutions simples pour les sauvegardes et l'archivage. Et tout cela avec un coût très inférieur, comparé à la mise en oeuvre de solutions internes.

Mais l'adoption de ces approches novatrices est considérablement retardée par un écueil de taille : la mise en cohérence des pratiques de contrôle de conformité réglementaire. Les textes réglementaires de la FDA et de l'EMA ne possèdent pas de paragraphe spécifique sur ce modèle, mais le chapitre 3.1 de la nouvelle annexe 11 pose bien le cadre des contrôles à effectuer. Il faut donc repenser la gestion de la conformité des architectures informatiques en prenant en compte la nouvelle répartition des responsabilités et la prédominance de la partie « acheter » sur la partie « faire ».

Il faut également faire face à une autre réalité : les industries réglementées de la santé ne sont pas le centre du monde. En effet, les fournisseurs de solutions de Cloud Computing ont développé leurs services pour répondre à un grand nombre de secteurs, et les exigences « pharmaceutiques » sont un peu noyées dans la masse. Les utilisateurs réglementés ont beaucoup à apprendre des autres secteurs, notamment sur la sécurité. Mais les preuves de maîtrise sont des requis réglementaires, et elles doivent être obtenues.

Le GAMP5 reste un outil de choix pour faire face à cette mutation. En effet, sa structure permet de communiquer de manière efficace avec les fournisseurs pour établir en commun l'épine dorsale de la conformité pharmaceutique. L'approche par les risques, reliée au fameux triptyque « sécurité du patient, qualité du produit, intégrité des données » est la base même de la mise en adéquation des systèmes qualité du fournisseur et de l'utilisateur. L'identification des responsabilités, avec notamment les notions de détenteur du processus et détenteur du système qui figurent dans le guide, permet d'éclaircir considérablement les enjeux pour chacun des acteurs. Dans le cas d'externalisation, nous passons d'un acte de construction à un acte d'achat. La responsabilité de la conformité repose sur la valorisation de l'implication du fournisseur de système, qui est un des messages clefs du GAMP5. Et ce n'est plus une option.

*PROGMP : société de conseil, ingénierie et validation pour les industries de la santé. Il est CFPIM (Certified Fellow in Production and Inventory Management) et travaille depuis plus de 25 ans dans le domaine des outils de gestion informatisés. Il est par ailleurs membre du conseil d'administration de l'ISPE France, membre créateur du forum francophone GAMP.fr et formateur à l'IFIS pour tous les sujets relevant des systèmes d'information. Il peut être contacté par e-mail : m.raschas@progmp.com

 

L'externalisation partielle ou totale des infrastructures informatiques est encore à l'étude.

 

Références : 21 CFR part 11, FDA Guidance for Industry : part 11, scope and application, FDA GMP annexe 11, EMA, (ligne directrice 11 des dernières BPF) GAMP®5, ISPE Guide PI 011, PIC/S Pharmaceutical Development Q8, et Quality Risk Management Q9, ICH, ISO/IEC 12207 IT Software life cycle processes ISO/IEC 27002 IT Security techniques ITIL (IT Infrastructure Library), British Office of Government Commerce

Bienvenue !

Vous êtes inscrit à la news Industrie Pharma

Nous vous recommandons

Transformation digitale : Des solutions qui s'imposent

Transformation digitale : Des solutions qui s'imposent

Avec le confinement et le développement du travail à distance, la transformation numérique de l'industrie n'a jamais paru aussi pertinente. Et si la crise liée au Covid-19 accélérait[…]

La pharma se dévoile en chiffres clés

La pharma se dévoile en chiffres clés

La crise bouscule les habitudes

La crise bouscule les habitudes

Données : « Prioriser le retour sur investissement »

Données : « Prioriser le retour sur investissement »

Plus d'articles