La Data Integrity est au cœur des dernières évolutions réglementaires que ce soit aux Etats-Unis ou encore en Europe. Pourquoi un tel engouement pour l’intégrité des données ?

 

A titre liminaire, il est rappelé que l’intégrité des données constitue une exigence fondamentale du système qualité pharmaceutique décrit au Chapitre 1 des GMP et une exigence générale du système qualité des dispositifs médicaux décrits dans le paragraphe 4 de l’ISO 13485 :2016 . Les données se réfèrent au système ALCOA et doivent donc être attribuables (auteur et source identifiées), lisibles (interprétables et à long terme), contemporaines (enregistrées au moment où elles sont collectées), originales (ou de copie certifiée) et fiables[1].

 

Lors des inspections sur les deux dernières années par les autorités de santé au niveau mondial, il est constaté une recrudescence de manquements graves à ce principe : données supprimées ou non prises en compte (résultats non satisfaisants au cours d’essais cliniques …), re-tests jusqu’à la conformité (libération de lots …), perte ou manque de traçabilité (réclamation qualité, PV …), non-respect des règles ALCOA (données non exploitables …), jusqu’à la falsification des données (modification de dates de péremption …).

La FDA a notamment émis plusieurs warning letters et plusieurs form 483 avec des non-conformités liées à la Data Integrity. De la même manière en Europe, les autorités (EMA, MHRA, ANSM…) ont soulevé des non-conformités ainsi que des injonctions portant sur des écarts à l’intégrité des données à l’égard des industriels de la santé.

Ces écarts sont inquiétants puisque la réglementation veille à l’intégrité des données, cela pour assurer la sécurité, l’efficacité et la qualité des médicaments ou dispositifs médicaux commercialisés. La santé du patient constitue in fine l’objectif prioritaire.

C’est donc suite à ce constat que les autorités ont publié des guides Data Integrity pour renforcer la réglementation GxP sur les bonnes pratiques de gestion des données, qu’elles soient papier ou électroniques. Ces guidelines contiennent entre autres des mesures organisationnelles et techniques que les industriels doivent mettre en place et veiller à leur mise en place lors d’audits chez les sous-traitants pour les activités externalisées.

Ainsi, en avril 2016, la FDA a publié un premier projet de lignes directrices pour les industriels « New FDA Draft Guidance Data Integrity and Compliance with cGMP » et en juillet 2016, la MHRA a rédigé un troisième projet « MHRA GxP Data Integrity Definitions and Guidance for Industry - Draft version for consultation ». Peu après, en août 2016, la Pharmaceutical Inspection Convention (IPC) a également contribué à l’avancée du sujet avec un premier projet « Good Practices for Data Management and Integrity in regulated GMP/GDP environments », tandis que l’EMA complétait sa FAQ avec 23 Questions/Réponses sur les Data Integrity. Parallèlement, l’OMS a publié en mai 2016 le « Guidance on good data and record management practices » en Annexe 5 de son WHO Expert Committee on specifications for pharmaceutical preparations.

L’OMS et la FDA attendent ainsi des données qu’elles soient complètes, cohérentes et précises tout au long de leur cycle de vie (depuis leur création jusqu’à leur archivage, durant toute leur période de rétention et destruction). En effet, l’intégrité des données peut être affectée à tout stade de leur cycle de vie. Son respect implique la participation et l’engagement de toute personne à tous les niveaux de l’entreprise. Il est donc crucial sur la base d’une gestion des risques de comprendre les éléments de ce cycle de vie afin d’assurer des contrôles adaptés à chaque étape et selon la criticité estimée.

Pour exemple, les autorités requièrent des industriels l’existence de systèmes sécurisés pour générer les données électroniques et les archiver en garantissant leur protection des éventuelles altérations, perte ou suppression accidentelle (le critère de vulnérabilité étant majeur). Les mesures techniques et organisationnelles doivent permettre la restauration les données à l’état identique et complet. De la même manière, le « New FDA Draft Guidance Data Integrity and Compliance with cGMP » rappelle que les activités réglementées doivent être documentées au moment de leur exécution, et non a priori ou a posteriori.

Les metadata ou métadonnées[2] font également parties du scope de ces nouvelles attentes. Les données devraient ainsi être conservées durant toute la période de conservation des enregistrements, avec toutes les métadonnées nécessaires pour comprendre et interpréter les activités GMP.

En outre, un système de gestion des risques doit être en place tout au long du cycle de vie des données jusqu’à les étapes de prise de décision garantissant l’intégrité des données. Ce système de management du risque devrait inclure un volet sur les process métier (production, contrôle qualité …) dont les facteurs à considérer sont[3] :

  • La complexité du process générant les données (mesure de pH sur un pHmètre contre des outils statistiques ou les logiciels complexes pour le traitement de la donnée…),
  • Le niveau de protection de la données : degré de protection des données des sources d’altération : omission, destruction, manipulation…)
  • La cohérence des processus, le degré d'automatisation et d’intervention humaine,
  • La subjectivité des résultats.

 

Enfin, la minimisation du risque joue un rôle prépondérant dans la gestion de la Data Integrity. Une mesure permettant de diminuer le risque serait tout d’abord de mieux définir les droits d’accès à ces données et d’en contrôler leur attribution. La traçabilité à chaque étape demeure également l’élément fondateur d’une maîtrise de l’intégrité des données via le suivi par audit trail des données critiques (enregistrement de toute modification valeur précédente/nouvelle valeur, acteur, date/heure,).

Considérant la mouvance actuelle de la réglementation et la nécessité de disposer d’une analyse toujours plus poussée de la maitrise des risques, il semble cohérent d’initier une réflexion en interne sur la gestion concrète de cette Data Integrity qui pourra notamment être portée par la validation des infrastructures et systèmes informatisés manipulant ces dites données.

Dans cet environnement de plus en plus exigeant, la valeur ajoutée des consultants polyvalents ayant l’habitude de gérer des projets complexes de mise en conformité des systèmes face à l’exigence de l’intégrité des données prend tout son sens. De par leurs différentes contributions au sein de différentes entreprises de l’industrie de la santé, les consultants EFOR ont su développer une réelle expertise dans la gestion de ces projets complexes et transverses grâce à leur savoir-faire et à la complémentarité des compétences au sein des équipes.



[1] Accurate, Legible, Contemporaneous, Original and Attributable

[2] Données permettant la compréhension d’autres données (ex. un chiffre n’est pas interprétable sans son unité de mesure, alors considérée comme une métadonnée)

[3] Questions and answers: Good manufacturing practice from EMA