Signatures électroniques dans les systèmes de laboratoire - les exigences légales sont-elles suffisantes ?

Écrit par Piotr Kuchta

signatures électroniques

Dans un secteur qui dépend fortement d'une documentation précise, d'une conformité stricte et d'une surveillance réglementaire rigoureuse, l'introduction des signatures électroniques a constitué une avancée considérable. Traditionnellement, la signature de documents réglementés impliquait un processus manuel laborieux, nécessitant une présence physique, des signatures manuscrites et des documents exhaustifs. Cette méthode était non seulement chronophage, mais aussi sujette à des erreurs, des retards et des défis logistiques importants, ce qui empêchait l'industrie de suivre le rythme de l'évolution rapide des demandes du marché.

Même si les signatures électroniques au sens large ne sont plus nécessairement révolutionnaires, elles sont de plus en plus reconnues comme un outil de transformation dans le secteur pharmaceutique,permettant de rationaliser les processus, d'améliorer l'efficacité et de renforcer la conformité. En outre, les signatures électroniques jouent un rôle essentiel dans le maintien de la sécurité et de l'intégrité des documents électroniques. Elles contribuent à empêcher l'approbation non autorisée, l'altération ou la falsification des données, réduisant ainsi le risque de violation des données et garantissant l'exactitude et la fiabilité des informations.

Les signatures électroniques sont devenues un élément essentiel dans l'industrie pharmaceutique et sont conformes aux directives réglementaires telles que 21 CFR Part 11 aux États-Unis, EU GMP Annex 11 dans l'Union européenne et MHRA "'GXP' Data Integrity Guidance and Definitions au Royaume-Uni. Ces cadres légaux soulignent l'importance de l'intégrité, de la sécurité et de la conformité des données lors de l'archivage électronique.

Le 21 CFR Part 11, publié il y a déjà 25 ans et appliqué par la Food and Drug Administration (FDA) américaine, contient des directives pour l'utilisation de documents  et de signatures électroniques dans l'industrie pharmaceutique et biotechnologique. Il définit les exigences relatives aux documents électroniques et aux signatures électroniques apposées sur les documents électroniques.

La partie 11 du titre 21 du Code of Federal Regulations ; Electronic Records ; Electronic Signatures a été une étape importante et a posé de nombreuses exigences, mais pour n'en citer que quelques-unes parmi les plus cruciales, la  "Sous-section C - Signatures électroniques" stipule ce qui suit :

  • Chaque signature électronique est propre à une personne et ne peut être réutilisée ou réattribuée à une autre personne.
  • Les signatures électroniques qui ne sont pas basées sur la biométrie doivent utiliser au moins deux composants d'identification différents, comme un code d'identification et un mot de passe.
  • Les personnes qui utilisent des signatures électroniques basées sur l'utilisation de codes d'identification en combinaison avec des mots de passe doivent utiliser des contrôles pour garantir leur sécurité et leur intégrité. Ces contrôles comprennent
    • Maintenir l'unicité de chaque code d'identification et de chaque mot de passe combinés, de sorte que deux personnes n'aient pas la même combinaison de code d'identification et de mot de passe
    • Veiller à ce que les codes d'identification et les mots de passe soient périodiquement vérifiés, rappelés ou révisés (par exemple, pour couvrir des événements tels que le vieillissement des mots de passe).
    • Utiliser des mesures de protection des transactions pour empêcher l'utilisation non autorisée des mots de passe et/ou des codes d'identification, et pour détecter et signaler de manière immédiate et urgente toute tentative d'utilisation non autorisée à l'unité de sécurité du système et, le cas échéant, à la direction de l'organisation.

De même, l'annexe 11 des BPF de l'UE : Systèmes informatisés sert de guide aux bonnes pratiques de fabrication dans l'Union européenne. Elle souligne l'importance du maintien de l'intégrité et de la confidentialité des documents électroniques, y compris l'utilisation de signatures électroniques. L'annexe met l'accent sur des contrôles tels que la gestion de l'accès, la protection des données, la piste d'audit et la vérification des signatures afin de garantir la validité et la traçabilité des documents électroniques.Dans ce cas, le nombre d'exigences concernant les signatures électroniques est assez limité. Néanmoins, il convient de mentionner que l'annexe 11 a été la première loi à définir l'exigence stricte selon laquelle la libération des lots doit être effectuée au moyen d'une signature électronique. Le chapitre "14. signature électronique" se compose des points suivants :

Les documents électroniques peuvent être signés électroniquement. Les signatures électroniques sont censées :

  • avoir le même impact que les signatures manuscrites dans les limites de l'entreprise,
  • être liées de manière permanente à leur ensemble de données respectif,
  • inclure l'heure et la date à laquelle elles ont été apposées.

En 2015 et 2016 environ, plusieurs directives relatives à l'intégrité des données sont apparues. L'une d'entre elles était la 'GXP' Data Integrity Guidance and Definitions, publiée par la Medicines and Healthcare Products Regulatory Agency (MHRA). Sa version finale de 2018 fournit des conseils supplémentaires sur le maintien de l'intégrité des données dans divers domaines réglementés par les "GXP", notamment les bonnes pratiques de laboratoire (GLP), les bonnes pratiques cliniques (GCP) et les bonnes pratiques de fabrication (GMP). Ces orientations soulignent l'importance de la mise en œuvre de contrôles appropriés, tels que les signatures électroniques, pour garantir l'intégrité, l'exactitude et l'exhaustivité des données tout au long de leur cycle de vie. Le chapitre "6.14. Signatures électroniques" indique ce qui suit :

L'utilisation des signatures électroniques devrait être contrôlée de manière appropriée, en tenant compte des éléments suivants :

  • la manière dont la signature est attribuable à une personne.
  • la manière dont le processus de "signature" est enregistré dans le système afin qu'il ne puisse être modifié ou manipulé sans invalider la signature ou le statut de l'entrée.
  • la manière dont l'enregistrement de la signature sera associé à l'entrée effectuée et la manière dont cela pourra être vérifié
  • la sécurité de la signature électronique, c'est-à-dire qu'elle ne peut être utilisée que par le "titulaire" de cette signature

Les systèmes de signature électronique doivent prévoir des "manifestations de signature", c'est-à-dire un affichage dans le document consultable qui définit le signataire, son titre, la date (et l'heure, si elle est significative) et la signification de la signature (par exemple, vérifiée ou approuvée).

La dernière note précisait explicitement à quoi devaient ressembler les signatures électroniques dans les systèmes de l'industrie pharmaceutique. Certains systèmes disposaient déjà d'une telle fonctionnalité, les autres ont dû s'adapter après cela, et de nombreuses nouvelles lignes directrices sur l'intégrité des données ont été publiées.

Mais est-ce vraiment tout ce que les systèmes doivent prendre en considération ? Existe-t-il des précautions supplémentaires que les systèmes informatisés pourraient mettre en œuvre ?

Un nombre non négligeable de systèmes ont mis en place des politiques de signature avancées qui peuvent renforcer l'intégrité des données sans trop d'efforts pour les utilisateurs.

L'un d'entre eux est METTLER TOLEDO LabX™ V13, qui pousse les directives en matière de signature encore plus loin.

Pendant de nombreuses années, le système a permis d'effectuer des signatures électroniques de deux manières :

  • Révision - Une signature est nécessaire pour respecter les directives en matière de signature.
  • Révision-Approbation - Deux signatures sont nécessaires pour respecter les directives en matière de signature.

La fonctionnalité récemment introduite est ce que l'on appelle la "politique des utilisateurs impliqués", qui s'applique aux ensembles de résultats et aux rapports générés à partir des ensembles de résultats.

Elle peut être configurée de la manière suivante :

  • Aucune restriction : Aucune règle n'est appliquée.
  • Utilisateurs impliqués uniquement : le système s'assure que l'un des utilisateurs impliqués dans un ensemble de résultats examine ou approuve l'objet spécifique. 
  • Utilisateurs non impliqués uniquement : le système empêche les utilisateurs impliqués dans un ensemble de résultats de vérifier ou d'approuver l'objet spécifique.

Pour plus de clarté, un utilisateur impliqué est tout utilisateur qui participe à l'exécution de la tâche et qui génère ou traite des résultats en rapport avec un ensemble de résultats donné.

Si vous avez déjà mis en place une telle politique, mais uniquement au niveau des procédures, vous avez désormais la possibilité d'être rassuré lors des audits.

Avec LabX™ V13, vous n'avez plus besoin de vous appuyer exclusivement sur les restrictions décrites dans vos procédures opérationnelles standard. Vous pouvez l'utiliser dans le système et les personnes qui vérifient les documents électroniques peuvent se concentrer sur d'autres tâches plutôt que de vérifier à nouveau les données et les signatures électroniques.
Si vous ne disposez pas d'une telle politique, mais que vous vous inquiétez de sa mise en œuvre, cela devrait être une tâche facile avec l'aide de LabX™ V13.