GxP dans les industries réglementées par la FDA : répondre aux exigences des « bonnes pratiques »

GxP dans les industries réglementées par la FDA : répondre aux exigences des « bonnes pratiques »

Qu’est-ce que la conformité règlementaire GxP ?

Protéger le patrimoine digital des organismes des cyberattaques s’avère de plus en plus difficile. Et ce, malgré le nombre croissant de conformités règlementaires et de normes imposées aux organisations. Alors que l’on associe aisément l’HIPAA, le GRGPD, la GLBA, le PCI DSS, NIST et SOX à la sécurité et à la conformité réglementaire, un nouvel acronyme est en train de devenir incontournable pour les industries pharmaceutiques, cosmétiques et agroalimentaires : GxP.

Le « x » de GxP est un champ particulier qui fait la liaison entre les deux autres initiales « Good Practice ». Ces bonnes pratiques couvrent du développement à la commercialisation des produits alimentaires et sanitaires, et sont émises par la Food and Drug Administration américaine (FDA) au travers des lois Food, Drug, and Cosmetic Act et Public Health Service Act.

Comme beaucoup de fabricants sur le territoire américain sont des firmes internationales, d’autres exigences sanitaires leur sont déjà imposées par l’Union européenne, le Japon et autres.

Les critères spécifiques au GxP sont :

  • Current Good Manufacturing Practice (CGMP) : une normalisation des «méthodes, des équipements et des contrôles dans les process de fabrication et d’emballage » des produits régulés par le FDA. Ces exigences concernent les médicaments pour les hommes et les animaux, le matériel médical, les produits dérivés du sang, l’alimentaire et les compléments alimentaires, et même l’alimentation animale.
  • Good Clinical Practice (GCP) : des règles pour la conduite des essais cliniques pour les médicaments, les produits biologiques, et le matériel médical.
  • Good Laboratory Practice (GLP) : des normes pour les études non cliniques en laboratoire.
  • Good Distribution Practice (GDP) : des critères à respecter par les grossistes en matière de qualité et d’intégrité des médicaments tout au long de la supply chain.
  • Good Quality Practice (GQP) : appliquer les CGMP dans le cadre des Systèmes Qualité de l’industrie Pharmaceutique (PQS). Au Japon, le ministère de la Santé, du Travail et de la Protection sociale (MHLW) régule les GQP via l’ordonnance N°136, qui a ensuite inspiré des normes internationales.
  • Good Phamacovigilance Practice (GVP) : bonnes pratiques de contrôle continu pour la sécurité des médicaments.

Les principaux critères des GxP

Comme vous pouvez le voir, les critères de GxP sont larges et ambigus. Il n’existe pas un ensemble de règles claires auquel se référer, et les industries américaines doivent se débrouiller seules pour interpréter les exigences de leur gouvernement, en plus des autres règlementations qui s’appliquent ailleurs. Contrairement à d’autres normes, il n’existe pas d’auditeur GxP, et les véritables experts en conformité GxP sont relativement rares.

Mais indépendamment de ce que le « x » représente dans GxP, la protection des données sensibles est le critère le plus important dans l’esprit de GxP. Et cela implique :

  1. Les contrôles des archives numériques en système fermé. La partie 11 du CFR de la FDA définit un cadre pour archiver les documents et les signatures électroniques, qui concernent toutes les données et contenus numériques intervenant dans les pratiques GxP :
  • la validation des systèmes pour garantir l’exactitude, la fiabilité, la cohérence des performances prévues et la capacité à identifier les enregistrements invalides ou erronés.
  • la capacité à générer des copies précises et complètes sous format électronique et lisible par l’homme.
  • la protection des données enregistrées pour permettre une récupération précise et rapide
  • la limitation de l’accès au système aux seules personnes autorisées
  • des pistes d’audit sécurisées et horodatées pour chaque version de document.
  1. La traçabilité des éléments suivants:
  • Contrôle des systèmes opérationnels
  • Contrôle d’accès par les responsables, pour veiller à ce que seules les personnes autorisées puissent consulter, modifier ou signer un document
  • Contrôle des équipements, pour veiller à ce que les données soient saisies à partir d’une source valide.
  • Vérification de la formation adéquate du personnel chargé de la gestion des systèmes documentaires dématérialisés
  • Un règlement écrit signé électroniquement par les utilisateurs
  • Contrôle des communications, des accès et des utilisations des documents pour l’exploitation et la maintenance du système
  • Suivi de tous les changements et modifications effectuées sur le système documentaire, en vue d’un éventuel audit.

Les signatures électroniques doivent comporter :

  • le nom imprimé du signataire
  • la date et l’heure de la signature
  • l’action associée à la signature (par exemple, révision, approbation, responsabilité, auteur).
  1. Good Documentation Practices (GDocP). Comme pour les précédents critères, il n’existe pas de document pour cette exigence GxP qui ne fasse office de référentiel, et qui listerait toutes les Good Documentation Practices (CDocP).

On retrouve ces exigences disséminées dans la documentation d’autres normes GxP, et à travers des cas de jurisprudence pour des entités citées pour violation. Mais comme son nom l’indique, les best practices sont avant tout une affaire de documentation et de traçabilité, qui devraient déjà faire partie de toute bonne gestion des risques dans une entreprise.

Le principal élément du GDocP est la mise en place de procédures opérationnelles standards (SOP) pour la conservation des données. Cette démarche est obligatoire pour obtenir la certification ISO 9001:2015 et dans le cadre de Prescription Drug Marketing Act (PDMA) américaine, qui interdit la vente de médicaments compromis, périmés et falsifiés. La prévention passe évidemment par une gestion rigoureuse des archives.

Les directives du GDocP pour les SOP des archives sont les suivantes :

  • Les documents doivent être créés en même temps que l’événement qu’ils décrivent, ne pas être manuscrits, à l’exception des annotations latérales lisibles, et leur exactitude et l’absence d’erreurs devront être vérifiées
  • Les documents doivent être approuvés par la personne autorisée via une signature physique ou électronique et une date
  • Les inscriptions manuscrites doivent être à l’encre indélébile, dans un espace prévu à cet effet, et aucun espace dédié ne doit être laissé en blanc (“N/A” ne doit être utilisé uniquement lorsqu’aucune entrée n’est nécessaire)
  • Les documents sont révisés selon un calendrier défini et conservés pendant une durée déterminée. Le système de gestion documentaire a été validé et les données électroniques sauvegardées
  • Toute modification de documents doit être rigoureusement consignée, qu’elle soit manuscrite ou électronique. Une procédure doit être mise en place pour éviter l’utilisation de documents périmés, et toutes les versions doivent faire l’objet d’une traçabilité.
  1. ALCOA+. En fin de compte, le puzzle que dessinent les exigences GxP et GDocP se résume au principe de ALCOA+. Ce cadre règlementaire se généralise de plus en plus dans différents secteurs d’activité et organismes gouvernementaux (et paragouvernementaux).

ALCOA est l’acronyme des 5 principes fondamentaux de la protection de données, à savoir :

  • Attribuable : les créateurs et les intervenants doivent être clairement identifiés, et la gouvernance doit protéger les données des modifications non autorisées
  • Lisible : les documents doivent être lisibles et compréhensibles
  • Contemporain : les documents doivent être datés, et le système doit pouvoir suivre en permanence la création et les modifications des documents
  • Original : les documents doivent être conservés dans leur version originale
  • Exact (Accurate): les documents doivent être à jour et conformes.

Depuis, d’autres caractéristiques sont venues s’ajouter, et le cadre règlementaire a été rebaptisé ALCOA+. Le contenu doit désormais être :

  • Complet : le système de traçabilité doit montrer qu’aucune donnée n’a été supprimée
  • Cohérent : la date et l’heure doivent permettre de vérifier que le contenu a été structuré de manière adéquate
  • Durable : les données doivent être conservées aussi longtemps que la réglementation l’exige, et le support de stockage doit être suffisamment durable pour répondre à ce cycle de vie.
  • Disponible : les données doivent rester accessibles aux tiers autorisés, auditeurs et utilisateurs internes pour leur travail.

En quoi Kiteworks peut vous aider dans vos efforts de conformité GxP

Dans la plupart des organisations, le contenu privé est partagé avec de nombreux utilisateurs externes via plusieurs canaux de communication.

En partageant du contenu privé avec des personnes internes et externes, les utilisateurs ont tendance à utiliser le canal de communication le moins contraignant. C’est souvent par une pièce jointe de messagerie électronique, mais aussi par le partage de fichiers, le transfert géré de fichiers (MFT) et les outils collaboratifs. Ces outils posent un vrai problème de suivi, sans même parler de sécuriser le contenu. Ces communications créent des failles majeures de sécurité et de conformité pour l’organisation.

Des travaux de recherche menés récemment par Kiteworks illustrent ce phénomène. Le 2022 Sensitive Content Communications Privacy and Compliance Report a révélé que 62 % des organisations utilisaient quatre systèmes ou plus pour tracer, contrôler et sécuriser les communications de données sensibles avec des tiers. Et plus de la moitié des organisations (51 %) n’avaient ni les technologies, ni les procédures adéquates pour mesurer les risques associés à ces communications, sans parler des moyens pour atténuer ces risques.

Ces canaux de communication de contenu privé représentent un risque de non-conformité à de nombreuses normes, et notamment GxP. Les entreprises qui cherchent à se conformer aux GxP doivent instaurer une stratégie efficace de gestion des cyberrisques et des risques liés aux fournisseurs. Cette démarche est nécessaire pour réduire les risques de violation de données dans la supply chain. Kiteworks permet à ses clients d’assurer l’intégrité des données et de se conformer aux exigences GxP en créant un réseau de contenu privé (PCN).

Un PCN centralise le partage des contenus relatifs aux GxP sur une seule et même plateforme. Le PCN centralise tous les canaux de communication (messagerie électronique, plateformes de partage de fichiers, MFT, formulaires Web, API) et les systèmes de stockage (outils de recherche, CRM, ERP, EMR, outils collaboratifs).
Il centralise le partage de tous les types de contenu privé avec tous les utilisateurs externes (fournisseurs, comptables, organismes de contrôle, investisseurs, partenaires, conseillers juridiques) et doit être intégré à une stratégie plus large de gestion des risques tiers (TPRM) de l’organisation. Le PCN doit être compatible avec un hébergement en local, par le fournisseur, ou dans un cloud hybride.

Un PCN Kiteworks permet aux organisations de démontrer leur conformité aux éléments suivants:

  1. Contrôle des archives numériques
    • Validation des systèmes
    • Capacité à générer des copies précises et complètes
    • Protection des données enregistrées
    • Limitation de l’accès
    • Des pistes d’audit sécurisées et horodatées
  1. Good Documentation Practices (GDocP)
    • Consignation de la création des documents: date et heure, contrôle de l’exactitude et suppression des erreurs
    • Enregistrement de la validation des documents
    • Mise à jour des documents pour l’ensemble du cycle de vie et validation des systèmes de gestion des documents
    • Traçabilité de toute modification des documents et archivage des versions
  1. ALCOA+
    • Documentation de chaque élément de l’ALCOA+ dans un PCN commun pour le partage de tous les contenus.

Garantir l’intégrité des données

La fabrication et la commercialisation de produits alimentaires et sanitaires représentent un enjeu majeur et la mise en œuvre de toutes ces « bonnes pratiques » est indispensable tant pour la sécurité publique que pour la viabilité commerciale. Les cyberattaques sont en nette augmentation pour les entreprises du secteur pharmaceutique.
En effet, ces dernières ont besoin de renforcer leur système de gouvernance et la gestion des risques liés aux communications de contenu sensible par des tiers. 41 % des industries pharmaceutiques ont indiqué avoir besoin d’une nouvelle approche ou d’une amélioration significative. Le risque existe bel et bien ; une enquête récente sur les violations et fuites de données dans le secteur pharmaceutique sur quatre ans (2018-2021) a révélé que 59 % des violations et 76 % des expositions totales se sont produites au cours des deux dernières années.

Un médicament lambda susceptible d’être commercialisé pendant 10 ans coûte en moyenne 2,6 milliards de dollars à un laboratoire. Il serait dommage de gaspiller un tel investissement avec des moyens de communication de contenu privé non sécurisés.

Les entreprises ont tout intérêt à prendre des mesures en conséquence, et à répondre aux exigences réglementaires et aux bonnes pratiques de fabrication. Quant aux données, Kiteworks peut vous aider à vous mettre en conformité GxP très rapidement. Vous évitez ainsi les risques considérables liés à votre contenu sensible lié à chaque étape de votre processus de développement, de fabrication et de commercialisation.

Demandez votre démonstration personnalisée de Kiteworks en cliquant ici.

Ressources complémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Get A Demo