Introduction

Le 21 CFR Part 11 est un texte édicté par la FDA (Food & Drug Administration), applicable depuis 1997, dont l'objet est de spécifier la façon dont doivent être gérés les documents ou données électroniques et les signatures électroniques.

Le 21 CFR Part 11 est composé de 8 points clés pour la mise en conformité d'un système d'information.

 

Point 01 : Validation des systèmes

"Les systèmes informatiques et leurs infrastructures concernées par le 21 CFR Part 11 doivent etre validés afin de garantir leur fiabilité, et leurs réponses à des spécifications initiales compatibles avec les exigences des predicates rules."

NORMEA permet grâce a son paramétrage avancé de créer ses propres règles de fonctionnement :

• Déclenchement de workflows / actions en fonction d'origine ou de nature d'événements
• Circuit de validation des documents différents en fonctions de référentiels normatifs, de modèles de documents, ...
• Circuit de validation d'un programme d'audit
• ...

Point 02 : Sécurité des systèmes

"Le 21 CFR Part 11 précise un certain nombre de règles pour garantir que les accès aux systèmes informatisés (login, transactions, traitement critique, etc. ) sont limités aux seules personnes autorisées."

NORMEA est une solution Full Web et accessible via un login et un mot de passe crypté. L'accès est donc sécurisé.

De plus, NORMEA est compatible avec la technologie SSL (HTTPS) qui permet de sécuriser les échanges sur le réseau.

NORMEA offre une gestion de profils utilisateurs qui permet de définir les droits d'accès, d'ajout, de modification, d'archivage, de masquage et de suppression, ... par écran. De plus, chaque rapport statistique est associé a un ou plusieurs profils ce qui permet une confidentialité totale des données.

Enfin, chaque fonctionnalité du produit peut être restreinte à des populations prédéfinies (validation d'une étape de workflow, vérification d'efficacité, approbation ou publication d'un document, .).

 

Point 03 : Audit trail

"Le 21 CFR Part 11 impose l'utilisation d'un audit trail informatisé afin de tracer les modifications des données critiques et permettre ainsi de confirmer l'intégrité tant des enregistrements que des signatures électroniques des documents ou enregistrements soumis à la réglementation."

Dans NORMEA, toutes les modifications de données critiques sont tracées (utilisateur + date/heure de la modification) :

• Validation d'une étape de workflow
• Réalisation, vérification d'une action
• Création, Modification d'un événement
• Vérification d'efficacité d'un événement
• Réalisation d'audit, de rapport d'audit, approbation du plan d'audit
• Création, archivage, vérification, approbation et publication de documents
• Gestion du versioning des documents
• Traçabilité de la consultation des documents publiés
• Traçabilité de l'impression des documents

De plus, Chaque session utilisateur est enregistrée dans le système et des rapports standards de NORMEA permettent de visualiser toutes les actions réalisées pendant ces sessions.

 

Point 04 : Contrôles opérationnels

"Le 21 CFR Part 11 impose l'utilisation de verrous informatiques qui ont pour vocation de contribuer à l'intégrité de l'enregistrement. Un workflow de signature, une transaction conditionnée à un statut de lot, amènent une assurance de confiance sur l'utilisation d'un système informatisé."

NORMEA est basé sur un système de gestion de base de données relationnelle (SGBDR) qui impose une cohérence dans les données stockées.
De plus, NORMEA permet non seulement de définir ses propres workflows mais il permet aussi de gérer des habilitations a l'intérieur de chaque étape du workflow. Ces habilitations peuvent etre soit nominatives soit liées a une fonction ou a un rôle dans la société.

 

Point 05 : Formation

"Les personnes qui utilisent les enregistrements ou signatures électroniques doivent pourvoir justifier d'une formation adéquate."

La livraison du logiciel NORMEA est toujours accompagnée d'une phase de formation pour les personnes ayant à valider des enregistrements.

 

Point 06 : Gestion de la documentation

"La documentation des systèmes doit etre contrôlée durant toutes phases du cycle de vie documentaire (approbation, révision, contrôle de la diffusion, ...)."

Chaque document fait l'objet d'un workflow personnalisable pour tout son cycle de vie :

• Rédaction
• Vérification
• Approbation
• Publication
• Révision du document avec ou sans workflow de revalidation
• Diffusion des documents

NORMEA permet de créer des groupes d'utilisateurs. Ces groupes sont ensuite utilisés comme des listes de diffusion.
NORMEA va même plus loin que la réglementation en permettant de définir des consultations obligatoires ou facultatives des documents.

 

Point 07 : Signatures électroniques

"Le 21 CFR Part 11 fixe les spécifications générales d'une signature électronique pour quelle soit juridiquement équivalente à une signature manuscrite."

Chaque modification dans NORMEA est tracée sous la forme d'une signature qui est non modifiable et donc non falsifiable.

De plus, NORMEA est accessible via un login et un mot de passe crypté, ce qui limite l'utilisation frauduleuse de l'identité d'une personne.

Enfin, NORMEA permet de gérer les doubles-signatures sur les validations.

 

Point 08 : Systèmes Ouverts / Fermés

"Le 21 CFR PART 11 distinguent les systèmes sur lesquels les personnes responsables des données contrôlent les accès (systèmes fermés) ou non (systèmes ouverts). Des contrôles supplémentaires en matiere de sécurité sont exigés pour les systèmes ouverts notamment ceux qui utilisent internet."

NORMEA est considéré comme un système fermé car sécurisé, Il n'y a donc pas de contrôles supplémentaires à implémenter (comme sur les systèmes ouverts).