Conseil, Conformité et Validation

La deuxième édition du GAMP 5 est disponible

La deuxième édition du GAMP 5 est disponible

La deuxième édition des lignes directrices du guide GAMP 5 pour la validation des systèmes informatisés du secteur pharmaceutique a été publiée en juillet par ISPE (International Society for Pharmaceutical Engineering). Les lignes directrices du guide GAMP 5 sont désormais une norme utilisée également par les organismes réglementaires durant les contrôles.

Publiées pour la première fois en 2008, les lignes directrices du GAMP 5 ont été révisées et complétées de manière à s’adapter aux évolutions du secteur de l’IT.

La structure principale du document est restée la même et contient huit grands chapitres :

  1. Introduction
  2. Concepts-clés
  3. Approche du cycle de vie
  4. Étapes du cycle de vie
  5. Gestion du risque qualité
  6. Activités des entreprises réglementées
  7. Activités des fournisseurs
  8. Optimisation de l’efficacité

En général, les nouveautés principales portent sur une plus grande attention aux fournisseurs de services, l’évolution du développement de logiciels (notamment la méthodologie Agile), l’importance de la pensée critique et l’application des indications concernant l’intégrité des données (protection des données et des informations). Dans cette nouvelle édition du GAMP 5, des annexes ont été actualisées et ajoutées, qui se concentrent notamment sur la chaîne de blocs (blockchain), l’intelligence artificielle, l’informatique en nuage (cloud computing), les logiciels open source.

Voici quelques nouveautés introduites dans la deuxième édition du guide GAMP 5

Une plus grande attention aux fournisseurs de services

Les nouvelles lignes directrices du guide GAMP 5 accordent davantage d’importance aux fournisseurs de services, et notamment aux systèmes en nuage. La sélection des fournisseurs par le biais d’audits et la stipulation de contrats bien définis sont à la base de la réduction des risques, aussi bien durant la validation initiale que durant la phase de maintenance. Il convient de rappeler que la responsabilité finale de la conformité incombe toujours à l’entreprise réglementée, y compris lorsqu’une ou plusieurs des activités du cycle sont déléguées à un fournisseur externe. En ce qui concerne les fournisseurs, il convient également de souligner qu’ils ne sont pas directement soumis aux GXP et qu’il est donc nécessaire de se référer à d’autres normes telle que les ITIL (Information Technology Infrastructure Library), un ensemble de lignes directrices qui fournissent des indications sur la fourniture de services IT de qualité et sur les processus et moyens nécessaires permettant de les optimiser au sein d’une organisation.

Évolution dans le développement de logiciels (méthodologie Agile)

Une autre nouveauté introduite dans la nouvelle version du GAMP 5 est la méthodologie Agile pour le développement du logiciel. Introduit au début des années 2000, le terme Agile désigne des modèles de développement de logiciels moins structurés par rapport aux précédents : plus axés sur l’objectif final, composés d’équipes plus petites, avec un développement incrémentiel et basé sur une planification adaptative, avec l’implication continue et constante du client.

Dans le cadre du développement de logiciels, et en suivant toujours les lignes directrices du Gamp 5, il est possible de suivre chaque phase du cycle de vie du logiciel par le biais d’outils qui ne nécessitent pas de validation, mais d’une évaluation de leur pertinence, ainsi qu’une utilisation par du personnel formé et qualifié, y compris en matière de GxP.

Tests

Les activités de test changent d’objectif, en décourageant la production excessive de preuves documentées. L’objectif de ces tests est d’identifier les défauts, de minimiser le risque d’erreur et de prouver que le système répond à l’usage auquel il est destiné. Le GAMP 5 introduit également le concept de tests non scriptés qui, à l’inverse des tests scriptés, ne nécessitent pas d’activités de vérification séquentielles mais s’appuient sur l’expérience des testeurs pour identifier les défauts du système et explorer les fonctionnalités du logiciel au-delà des spécifications et des notices. Il s’agit donc de tests dynamiques qui ne peuvent pas être codifiés. Cependant, ces tests non scriptés doivent être eux aussi documentés ; il est toujours nécessaire d’indiquer ce qui a été testé, par qui, quand, avec quels objectifs et quels résultats.

Intégrité des données (protection des données et des informations)

Dans les nouvelles lignes directrices du GAMP 5, les tests d’intégrité des copies de sauvegarde, le BCP (Business Continuity Plan), le DR (Disaster Recovery), la perte de l’infrastructure IT, le fournisseur de services, l’accès aux locaux, la connectivité, les attaques de cybersécurité jusqu’à la perte de l’application logicielle ont été introduits.

Pensée critique

Dans la nouvelle version des lignes directrices du GAMP 5, la pensée critique est encouragée en tant que processus décisionnel permettant d’identifier la bonne approche dans des circonstances spécifiques. La pensée critique permet de comprendre et d’évaluer, avec des connaissances adéquates, où le processus commercial et le flux de données sont susceptibles d’affecter la sécurité du patient, la qualité des produits et l’intégrité des données. La pensée critique devient une aide aux décisions relatives à la qualité et à la conformité des systèmes informatiques.