Articles

Intégrité des données ou data integrity

Introduction : rappel sur l’intégrité des données

Assurer l’intégrité des données correspond à la capacité de garantir l’exhaustivité, la précision, l’exactitude et la validité des données durant tout leur cycle de vie. Cette démarche rend compte du cycle de vie de la donnée et des altérations fortuites ou intentionnelles que la donnée a pu subir.

De nombreux documents officiels font référence à la notion d’intégrité des données. Voici quelques-unes des définitions proposées :

  • Selon la norme ISO/CEI 27000:2016, « l’intégrité est la propriété d’exactitude et de complétude ».
  • Le Référentiel Général de Gestion des Archives définit l’intégrité comme la « qualité d’un document ou d’une donnée qui n’a pas été altéré. Dans le monde numérique, un document ou une donnée est réputé intègre si son empreinte à un temps t+1 est identique à l’empreinte prise à un temps t. »
  • Selon l’Instruction Générale Interministérielle n°1300, c’est la « propriété assurant qu’une information ou un traitement n’a pas été modifié ou détruit de façon non autorisée ».

Assurer l’intégrité des données signifie donc que les informations transmises ou stockées resteront fiables, cohérentes, exactes, vérifiables quels que soient leur durée de conservation et leur usage. C’est l’une des dimensions de la Gouvernance des Données.

De manière pratique, derrière la notion d’intégrité des données, il y a de nombreuses questions : « Savez-vous qui effectue des modifications sur vos données ? Etes-vous capable d’identifier tous les changements qui ont impacté vos données ? Comment pouvez-vous prouver à des tiers que vos données n’ont pas été altérées ? Comment garantissez-vous à chaque instant que vos données soient fiables et valides ? »

Cet article traitera de l’intégrité des données stockées sur des supports numériques. En effet l’intégrité des données peut aussi concerner des supports papier par exemple. De même on se concentrera sur l’intégrité logique plutôt que sur l’intégrité physique.

Il y a plusieurs types d’intégrité logique: intégrité de l’entité, intégrité référentielle ou de relation, intégrité de domaine et l’intégrité définie par l’utilisateur (c’est-à-dire selon des règles spécifiques que les trois autres types d’intégrité ne couvrent pas).

Quels types de données numériques sont concernés ?

L’intégrité concerne tous les types de données numériques. De manière générale, on retrouve en particulier deux grandes catégories :

  • Les fichiers : documents bureautiques, vidéos, images… mais aussi les fichiers liés à l’exploitation du SI comme les journaux d’événements ou les fichiers de configurations ainsi que les programmes informatiques.
  • Les données au sein des bases de données, aussi bien métier que technique

Focus sur l’intégrité des données dans le système qualité pharmaceutique

L’intégrité des données concerne tous les secteurs d’activité. Bien sûr, les exigences seront d’autant plus fortes que le secteur gérera des données critiques avec des impacts financiers, humains ou stratégiques : l’industrie pharmaceutique est donc parmi les premiers secteurs concernés ! L’intégrité des données y est une contrainte légale forte.

L’intégrité des données est considérée, à juste titre, comme un élément important de la responsabilité de l’industrie pharmaceutique pour assurer la sécurité, l’efficacité et la qualité des médicaments, et de la capacité des agences de santé à protéger la santé publique.

En France

En France, l’annexe 11 du Guide des Bonnes Pratiques de Fabrication de l’ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) sur les systèmes informatisés fait référence à l’intégrité des données : contrôles intégrés pour garantir l’exactitude et la sécurité des entrées et des traitements de données, contrôle d’exactitude sur les données, intégrité des données sauvegardées et archivées, traçabilité des modifications…  Il est clairement indiqué que la gestion du risque doit prendre en compte l’intégrité des données.

Aux Etats-Unis

Aux Etats-Unis, la FDA  (Food and Drug Administration) accorde aussi une place critique à l’intégrité des données. C’est une exigence primordiale du système qualité pharmaceutique défini dans les GMP (Good Manufacturing Practices). L’acronyme ALCOA pour Attributable, Legible, Contemporaneous, Original et Accurate est utilisé pour définir les cinq qualités nécessaires pour maintenir l’intégrité des données. Les principes initiaux d’ALCOA ont été complétés par ALCOA+ avec « Complete », « Consistent », « Enduring » et « Available ». Les données doivent ainsi être attribuables, lisibles, contemporaines, originales, pertinentes, complètes, cohérentes, durables et disponibles.

Qu’est-ce qu’un défaut d’intégrité sur les données ? Quelles sont ses causes et ses conséquences ?

Un défaut d’intégrité correspond à une altération ou une destruction des données. L’impact peut être immédiat ou non. Si dans certaines situations le défaut peut n’avoir aucun impact comme par exemple dans le cas un document conservé à titre d’archivage légal, dans d’autres les conséquences peuvent être très graves !

Les causes courantes d’altération des données

  • Les tentatives de fraudes internes, les nuisances externes (ex : cybercrime),  les virus informatiques
  • Les défaillances techniques du Système d’Information (ex : un bug dans une application qui supprime la mauvaise donnée, une validation inadéquate…)
  • Les erreurs lors des transferts d’informations ou des réplications
  • Les erreurs humaines de saisie, d’exploitation ou de manipulation
  • Les risques matériels (incendie, panne…)

Les conséquences des défauts d’intégrité des données

Ces causes peuvent entrainer la création d’enregistrements inexacts ou incomplets, l’antidatation d’informations, la fabrication de données incohérentes, l’élimination de données, la détérioration des informations…

Et débouchent sur des risques pour l’entreprise :

  • Prise de décisions stratégiques sur des données erronées
  • Perte de productivité et perte de temps et d’argent pour corriger les erreurs, identifier leurs causes etc.
  • Sanctions légales
  • Déficit d’image de marque

De la théorie aux retours d’expérience concrets, toutes les clés pour réussir votre projet MDM.

Comment assurer l’intégrité des données ? Quelles sont les bonnes pratiques à suivre ?

Protéger l’intégrité des données implique de pouvoir identifier les modifications anormales de données et, si nécessaire, de retrouver une version des données antérieure. Il s’agit aussi de pouvoir prouver que les données n’ont pas été modifiées.

Si la sécurité des données est l’une des facettes permettant d’assurer leur intégrité (la « protection »), ce n’est que l’une d’elles ! Il ne faut pas confondre les deux. La gestion des systèmes d’information ou les mécanismes de détection de fraudes sont tout aussi importants.

Ainsi, assurer l’intégrité des données requiert de :

  • Fiabiliser la collecte des données. Toute entrée doit être vérifiée et validée et être cohérente avec le dictionnaire de données.
  • Contrôler les permissions et les droits d’accès et de modification
  • Centraliser et garantir l’unicité de vos bases de données. L’intégrité repose aussi sur le fait que l’information qui est utilisée est la bonne !
  • Surveiller toutes les modifications effectuées sur les données (ajout, suppression, modification…) et disposer d’un historique complet et non-falsifiable.
  • Assurer la sauvegarde les données et la capacité à restaurer des informations
  • Réaliser de manière périodique des audit trails : écrasement de données, traitements interrompus, tests de conformité, suppression de données, antidatage, modifications…
  • Former, préparer et impliquer le personnel ! Le maillon humain est souvent le plus critique. Il faut documenter les procédures, définir les règles et les obligations, faire comprendre les enjeux… Les fournisseurs et les partenaires ont aussi leur rôle à jouer dans la chaine d’intégrité des données.  Il faut définir avec eux les responsabilités, les contrôles à mener et préciser les processus de communication et leur matérialisation informatique.

Gouverner les données pour garantir leur intégrité

L’intégrité des données désigne aussi bien un état qu’un processus. Nous sommes convaincus chez Blueway qu’elle repose sur la complémentarité entre les différentes dimensions de l’échange de données afin d’assurer leur gouvernance : les référentiels, les processus ainsi que la circulation des informations entre les applications internes et externes du SI. L’adhérence des processus au Système d’Information n’est pas une option pour contrôler l’exactitude, la traçabilité ou l’évolution des données pendant tout leur cycle de vie !

Nous accordons aussi une place importante à la dimension humaine. La rupture entre les besoins des utilisateurs et les solutions informatiques sont une des sources de défaut d’intégrité (solution palliative, problème de sécurité…).

De plus, la traçabilité et la non-répudiation des modifications ne suffisent pas toujours à assurer l’intégrité des informations au sein de la base de données. Il est toujours possible à quelqu’un disposant des droits d’aller directement dans la base de données pour supprimer ou modifier des éléments. La non-falsifiabilité est aussi essentielle, et c’est pour cela que Blueway innove avec l’association entre blockchain et Master Data Management.

Vous souhaitez échanger sur l’intégrité des données ? Prenez-rendez vous avec un expert Blueway

Au plaisir de discuter avec vous

Sérialisation pharmaceutique et sérialisation des médicaments

Introduction : rappel sur la sérialisation pharmaceutique

Les obligations liées à la sérialisation des médicaments et au disposition antieffraction sont entrées en vigueur le samedi 9 février 2019 (conformément au règlement délégué 2016/161 de la Commission Européenne).

Les objectifs sont d’empêcher l’introduction de médicaments falsifiés dans la chaîne de distribution et de faciliter le suivi individuel de chaque médicament. En effet, selon l’OMS (Organisation Mondiale de la Santé), 1 médicament sur 10 dans les pays en développement est falsifié ou de qualité inférieure ! Pour les industriels, c’est aussi l’occasion de moderniser leur supply chain et de renforcer la traçabilité de leurs produits jusqu’à la dispensation aux patients.

Des dispositifs de traçabilité existaient bien sûr déjà, comme la traçabilité au lot. En France, le circuit pharmaceutique est très contrôlé ce qui permet au pays d’être relativement épargné par la contrefaçon, tout en restant une zone de transit.

Qu’est-ce que la sérialisation des médicaments en synthèse ?

La sérialisation consiste à apposer un identifiant unique sur chaque boîte de médicament sous forme de code à barres Datamatrix. Ce dernier intègre quatre éléments principaux :  Le Code Identifiant de présentation (CIP), le numéro de lot, la date d’expiration et le numéro de série de 20 caractères maximum. Les codes des boites sont ensuite transmis à une base de données centrale européenne (le hub EMVS). Lorsque le médicament sera dispensé, en pharmacie par exemple, le code sera scanné et comparé avec ceux de la base nationale (NMVS) pour authentifier le médicament.

Les laboratoires et les industriels pharmaceutiques, premiers concernés par la sérialisation

Si tout la chaine du médicament est concernée, de la fabrication à la dispensation, les laboratoires pharmaceutiques et les CDMO (Contract Development and Manufacturing Organization), sont parmi les premiers impactés.

En tant que garant de la qualité du médicament, les laboratoires et les industriels pharmaceutiques ont pour obligation de marquer chaque boîte de médicaments mise sur le marché avec un identifiant unique Datamatrix.

Les laboratoires doivent aussi charger les données de sérialisation dans le système européen. Le hub EMVS (European Medicines Verification System) est connecté aux différents systèmes nationaux (NMVS) qui serviront de base de comparaison lors de la dispense du médicament en fin de chaine.

La mise en œuvre de cette réglementation force les entreprises pharmaceutiques à adapter leur supply chain aussi bien en termes de matériels, de processus que de logiciels.

Quels sont les impacts de la sérialisation sur les entreprises pharmaceutiques ?

Sérialisation & supply chain

Chez les industriels pharmaceutiques, la mise en œuvre de la réglementation a impacté l’ensemble de leur supply chain. Il s’agit ainsi en particulier de :

Equipements de sérialisation pharmaceutique

Mettre en place des équipements afin de générer et imprimer le numéro de série aléatoire sur chaque boîte de médicaments

Interfaces SI pour la sérialisation des médicaments

Interfacer les équipements physiques et le SI afin d’enregistrer et tracer les numéros de série au sein du Système d’information.

Flux de données de sérialisation

Gérer les flux de données permettant d’envoyer les identifiants au système européen.

Agrégation de la sérialisation

Prendre en compte des éléments facilitateurs, en complément des obligations. L’agrégation est un bon exemple : il est toujours plus rapide de scanner les palettes que les boites de manière individuelle.

Les conséquences de la sérialisation sur le Système d’information

Cette évolution en profondeur de la supply chain est aussi l’occasion de remettre à plat certains processus pharmaceutiques, sans compter des conséquences directes sur le Système d’Information :

  • Complexification des informations à gérer : nouvelles données, règles variables… Cela impose de centraliser la gestion de ces informations. Si les ERP savaient déjà gérer les numéros de lot, il faut intégrer un nouveau niveau d’identification.
  • Augmentation des flux d’informations : interfaces entre les équipements de sérialisation et le système d’information (en particulier ERP, MES et WMS), transmission des informations au hub EMVS, interfaces d’échange de données avec les fournisseurs… En effet, si un CDMO réalise les opérations de packaging, le laboratoire doit récupérer et intégrer dans son SI les informations de sérialisation !
  • Evolutivité des solutions et du SI : de nouvelles réglementations similaires mais avec des mises en œuvre hétérogènes apparaissent par pays comme par exemple en Russie (la loi fédérale n ° 425-FZ). De plus, l’ensemble de ces réglementations vont continuer d’évoluer. Vos processus métiers et vos flux devront s’adapter en conséquence, avec le minimum de contraintes techniques !

L’enjeu n’est donc pas seulement la sérialisation telle qu’elle est imposée actuellement, mais bien l’agilité de votre Système d’Information face au contexte réglementaire mouvant. La réactivité et la capacité à s’adapter rapidement dépendent d’une collaboration plus fluide entre tous les acteurs de la chaine du médicament, et de la convergence de vos services autour de la circulation de l’information dans votre entreprise.

Découvrez la solution dédiée au secteur pharmaceutique

Blueway Secteur Pharmaceutique, une plateforme pour maîtriser vos flux d’informations et renforcer votre « agilité réglementaire »

Chez Blueway, nous avons bien conscience de la pression réglementaire subie par les entreprises pharmaceutiques et de son évolution constante.

Nous avons conçu l’offre Blueway Industrie Pharmaceutique pour renforcer l’agilité et la réactivité de votre Système d’Information face à ces transformations. C’est une plateforme qui répond à vos enjeux de gouvernance de données et de performance des processus inter-applicatifs.

Elle vous assure entre autres de disposer d’un environnement d’échanges de données normalisé et maîtrisé en interne et avec votre écosystème. Elle vous accompagne aussi pour répondre plus facilement aux BPF et à la sérialisation en alignant l’entreprise autour d’un MDM produit et en harmonisant les flux d’échanges.

Échangez sur votre thématique avec un Expert Blueway

Au plaisir de discuter avec vous prochainement !

Items portfolio