L’intégrité des données, garante de la protection de recherches et de données vitales

Dans la fabrication de médicaments, qualité et sécurité sanitaire sont les priorités absolues. Aujourd’hui, les instances de réglementation contrôlent de plus en plus l’intégrité de l’ensemble des données produites.

Dans l’industrie pharmaceutique, la réglementation impose une surveillance étroite de la fabrication et de la logistique des médicaments pour garantir leur qualité, leur innocuité et leur efficacité clinique. Cela implique de mesurer à de multiples reprises différents types de variables qui génèrent un volume de données en perpétuelle augmentation. Ces informations doivent être protégées, disponibles et identifiables. 

Or, les directives définies jusqu’ici par les instances de réglementation ne se concentraient pas sur l’intégrité des données, si bien que certains problèmes inhérents à la collecte et au stockage des données restent encore à régler.

L’intégrité des données dans le collimateur des instances de réglementation 

En réalité, les autorités de réglementation ont observé des disparités entre les pratiques des industriels et les technologies existantes. Nombre d’entreprises ont mal interprété les directives d’hier, ou ignorent comment les obligations afférentes s’appliquent à leurs systèmes, si bien qu’elles n’offrent pas les meilleures garanties en matière d’intégrité des données. 

Par l’envoi de rapports de non-conformité aux bonnes pratiques de fabrication, de lettres d’avertissement, d’avis d’alerte à l’importation et autres mises en demeure, les instances de réglementation affichent clairement leur volonté de cibler les problèmes d’intégrité des données dans le cadre de leurs inspections. 

Les actions coercitives qui en ont découlé ont amené au retrait de marchandises dans plusieurs pays, aux rappels de produits et à nombre de jugements d’expédient. Elles ont aussi terni, à des degrés divers, la réputation des entreprises concernées. 

Alors que les instances de réglementation ciblent de plus en plus l’intégrité des données, il est fondamental que chaque salarié comprenne les pratiques à adopter en matière de gestion des données.

Exactes, identifiables et fiables

Le principe cardinal de l’intégrité des données est élémentaire : toutes les données collectées et sauvegardées doivent être exactes, fiables et permettre de remonter à leur source. 

La Food and Drug Administration (FDA) aux États-Unis, l’Agence britannique de réglementation des médicaments et des produits de santé (MHRA) et l’Organisation mondiale de la santé utilisent toutes trois le même acronyme qui rappelle les obligations encadrant les données. 

Selon le principe ALCOA, les données doivent être :

  • attribuables à la personne qui les génère
  • lisibles et permanentes
  • contemporaines, c’est-à-dire documentées au fur et à mesure que l’activité se déroule
  • originales ou certifiées conformes
  • exactes (Accurate)

L’OMS a même adopté l’acronyme ALCOA+ qui comporte des critères supplémentaires : les données doivent en plus être complètes, cohérentes, durables et disponibles. 

Aujourd’hui, l’objectif est d’appliquer le standard ALCOA+ à toutes les informations susceptibles d’affecter la pureté, l’efficacité clinique et l’innocuité des produits. C’est aussi la norme qui doit servir à évaluer les données. En pratique, les entreprises doivent donc garder la main sur toutes les modifications — intentionnelles ou non — dont leurs données peuvent faire l’objet. 

Papier et digital logés à la même enseigne

Les mêmes exigences s’appliquent à toutes les entrées, qu’elles soient consignées sur papier, sauvegardées au format électronique, ou les deux. 

L’agrégation et le stockage de données à la main peuvent donner lieu à plusieurs types d’erreurs : l’opérateur peut oublier d’enregistrer les informations, se tromper lors de leur saisie, égarer des entrées, ou même falsifier volontairement les données. 

Certains pourraient voir en l’automatisation une solution définitive aux problèmes de ce genre, ce qui n’est pas loin d’être vrai. Néanmoins, les systèmes informatiques rencontrent eux aussi des soucis, différents, mais plus techniques. 

C’est notamment ce qui est arrivé à cette entreprise allemande qui a reçu un avertissement de la FDA pour avoir failli à assurer l’intégrité des données de son système. L’organisme américain lui reprochait notamment les carences des mécanismes de contrôle censés empêcher toute personne non habilitée d’accéder aux données ou de les modifier, son manque de moyens permettant de contrôler les accès et les audit trails, son usage d’un identifiant unique et des mêmes droits d’administration pour tous les salariés, et aussi la possibilité de manipuler ou d’effacer des données électroniques.

Chacune de ces déviations aurait pu être évitée par l’adoption de systèmes et procédés adaptés : identifiants et mots de passe uniques, audit trail ou journal d’événements ineffaçables, droits d’accès distincts pour l’administrateur et les utilisateurs, mise en place de procédures opératoires standards (SOP) pertinentes, surveillance et examen régulier des processus...

Les systèmes doivent être à la hauteur des risques

Pour garantir l’intégrité des données stockées dans leurs systèmes, les entreprises doivent se concentrer sur plusieurs fonctions et domaines de connaissances. En voici quelques-uns des aspects les plus importants.

Le premier est la gestion des risques pesant sur la qualité, un exercice qui suppose tout d’abord que l’entreprise appréhende pleinement l’influence de ses données sur la qualité des produits et la sécurité sanitaire des patients. Ensuite, elle devra s’atteler à comprendre les technologies mises en œuvre dans les processus de traitement des données, ainsi que leurs limites.

Les systèmes mis en place doivent leur offrir un degré de maîtrise acceptable, c’est-à-dire à la hauteur de l’importance que revêtent les processus et les risques. Toutes les étapes auxquelles il est possible d’effacer ou de modifier des données sans autorisation doivent être identifiées et consignées, et des évaluations des risques doivent être effectuées à intervalles réguliers pour régler ces problèmes. 

Des audits internes doivent être effectués pour identifier les éventuelles défaillances et assortis de processus d’examen détaillé des problèmes d’intégrité des données. De même, des audits internes de données doivent avoir lieu à intervalles réguliers pour contrôler les audits trails, les données brutes et les métadonnées, ainsi que les entrées originales. Il importe également de vérifier régulièrement les droits d’accès au système.

Durant le cycle de vie des données, les entreprises doivent superviser les changements et contrôler les incidents et déviations, mais aussi mettre en place des processus et procédures de rectification et de prévention.

Toutes ces démarches doivent être consignées conformément aux règles de documentation et aux exigences définies par les règlements encadrant les systèmes informatiques.

Compétence et culture  

Le personnel est le deuxième axe de travail prioritaire. Tous les salariés amenés à collecter, traiter et stocker des données doivent se voir attribuer des rôles et responsabilités parfaitement clairs, avec des droits d’accès et des prérogatives adaptés à chaque système. De même, la responsabilité des données tout au long de leur cycle de vie doit être assignée de manière univoque.

L’intégrité des données est aussi affaire de culture d’entreprise. En l’espèce, il est essentiel de promouvoir une philosophie qui incite le personnel à signaler tout problème, et récompense ceux qui observent scrupuleusement les bonnes pratiques. Tout manquement aux obligations de conformité doit être analysé en détail afin que ses causes soient systématiquement traitées. 

En complément, le personnel doit recevoir une formation continue adaptée aux différentes fonctions : assurance qualité, contrôle qualité, production, et gestion des données. 

Mais le périmètre d’action dépasse les frontières de l’entreprise : celle-ci doit s’assurer que ses fournisseurs de systèmes informatiques et ses prestataires de services ne menacent pas l’intégrité des données de quelque façon que ce soit. Cela suppose de vérifier que leurs équipes sont compétentes et dûment formées, qu’ils utilisent bien des systèmes de gestion de la qualité et qu’ils respectent des normes comme ISO 9001 ou 17025. 

Les systèmes et services des éditeurs et fournisseurs doivent également faire l’objet de contrôles réguliers, mais aussi d’audits, lorsque les circonstances le permettent.

Conclusion   

En mettant en place les bonnes pratiques de gestion des données, c’est-à-dire des contrôles comportementaux, procéduraux et technologiques, il est possible de limiter le risque de voir les données corrompues, incomplètes ou erronées. 

L’intégrité des données ne saurait toutefois se résumer à l’observation des réglementations en vigueur. Elle vise à protéger des travaux de recherche et des produits qui sauvent des vies. Dans le cadre des GxP, les données représentent généralement de lourds investissements dans le développement, des essais cliniques, des dons de tissus, et les espoirs que les patients placent dans une nouvelle thérapie ou solution médicamenteuse. Les données sont des ressources qui requièrent des systèmes et pratiques sécurisés, fiables et capables de garantir la sécurité sanitaire des patients. 

Les appareils, logiciels, infrastructures, processus et modes opératoires doivent être harmonisés pour que les données soient complètes, cohérentes, exactes, et conformes aux caractéristiques de l’ALCOA+.