Intégrité des données électroniques pour les laboratoires

L’ANSM publie un état des lieux et des recommandations clés pour les laboratoires

Le 1er avril 2025, l’Agence nationale de sécurité du médicament (ANSM) a mis en ligne sur son site une note de synthèse du 17 mars 2025 sur l’état de conformité des fabricants de médicaments et de substances actives aux exigences relatives à l’intégrité des données électroniques.

Ce document, qui avait été annoncé lors de la journée IFIS du 13 décembre 2024, repose sur :

Une revue de la réglementation applicable,
Les résultats d’une campagne d’inspections réalisée de mi-2019 à mi-2022, portant sur 27 établissements,
Les réponses à une enquête ouverte en 2023, à laquelle 239 établissements ont répondu.

Il propose des recommandations concrètes pour renforcer la maîtrise de l’intégrité des données électroniques.

Pourquoi est-ce important ?

L’intégrité des données est un pilier de la qualité pharmaceutique. Elle garantit que les données générées, traitées et stockées sont fiables, traçables et protégées contre toute altération et ce, dans le but de garantir la qualité des produits.
L’ANSM rappelle que les manquements dans ce domaine peuvent entraîner des mesures réglementaires sévères : lettres d’avertissement, injonctions, voire déclarations de non-conformité aux BPF.

Domaines de vigilance identifiés

1. Gouvernance des données, gestion du risque ^{(2.1.3 G, 2.2.3.1, 3)}

L’enquête révèle que 40,9 % des établissements n’ont pas mis en œuvre de système de gouvernance des données.

La campagne d’inspections a révélé qu’environ 1/3 des établissements ne maîtrisaient pas pleinement le concept de cycle de vie des données et n’avaient pas défini de procédure définissant la méthode d’évaluation de la criticité des systèmes ni d’inventaire de ces systèmes informatisés (SI)

Risque :
- Approche partielle, fragmentée et non cohérente de la gestion des données
Recommandations :
- Mettre en place un système de gouvernance des données couvrant tout leur cycle de vie et intégrant les principes de gestion des risques qualité
  L’ANSM rappelle que l’utilisation d’un SI conforme aux exigences ne suffit pas à maitriser ses données et qu’un système de gouvernance des données est « nécessaire pour assurer une utilisation efficace et efficiente des données »
- Appuyer cette gouvernance sur des procédures

2. Validation et maintien à l’état validé ^{(2.2.3.3, 2.2.3.6, 3)}

La campagne d’inspections montre une grande variabilité des niveaux de validation d’un établissement à l’autre et que l’évaluation périodique des systèmes n’est pas toujours réalisée.

Risques :
- Validation insuffisante des fonctionnalités critiques
- Absence de maîtrise ou maitrise incomplète des systèmes conduisant à une perte des données ou à l’utilisation de données non fiables
Recommandations :
- Baser la validation sur une évaluation détaillée des risques à chaque phase critique du cycle de vie des données
- Disposer de documents maîtres de validation
- Définir une procédure décrivant l’analyse de criticité des systèmes
- Disposer d’une liste des SI, d’un schéma décrivant les interfaces entre les SI
- Assurer une évaluation périodique des SI, à fréquence déterminée par leur criticité
- Assurer et formaliser une revue des accès, de l’audit trail, des sauvegardes et tests de restauration
- Impliquer la Qualité

3. Audit trail ^{(2.1.3 E, 2.2.3.5, 3)}

L’enquête montre que la fréquence et la portée des revues d’audit trail sont très variables. La fréquence de revue n’est pas systématiquement définie par analyse de risque.

La campagne d’inspections montre quant à elle que tous les établissements ne réalisent pas de revue d’audit trail ou réalisent une revue mais partielle ou à une fréquence inadaptée.

Risque :
- Ne pas détecter à temps des modifications ou suppressions de données non autorisées
Recommandations :
- Définir l’organisation de ces revues dans une procédure, prévoir leur formalisation
- Réaliser une revue d’audit trail pour tous les systèmes générant des données critiques (et donc basée sur les risques) et selon une fréquence basée sur l’évaluation des risques
- La revue d’audit trail doit être étendue au-delà des périodes d’activité autorisées de façon à détecter des actions non autorisées (L’ANSM donne comme exemple la libération des lots, avec une la revue de l’audit trail devant couvrir la période allant de la réception des échantillons à la validation des résultats du lot analysé)

4. Maîtrise de la sous-traitance ^{(2.1.3 C, 3)}

L’enquête révèle que 45,5 % des établissements externalisent le support informatique, 30,6 % la sauvegarde des données et 42.5% font appel à un consultant pour l’élaboration et/ou l’exécution des plans de remédiation.

Cette sous-traitance est motivée par le manque d’expertise/compétence et le manque de ressources internes.

Risques :
- Perte de compétences internes et dépendance excessive à des prestataires externes
- Sur la sous-traitance des sauvegardes, perte de données si des mesures de sécurité appropriées ne sont pas mises en place et vérifiées régulièrement en interne
Recommandations :
- Établir des cahiers des charges avec les prestataires
- Contrôler les prestataires, et a minima :
  - les qualifier en évaluant leur conformité aux exigences réglementaires,
  - vérifier la maîtrise des BPF par les consultants, leur expertise
  - Auditer les prestataires
- Former le personnel interne maintenir une expertise suffisante pour contrôler les prestations

5. Difficultés de compréhension des exigences réglementaires ^{(2.1.3 B, 3)}

25% des établissements rencontrent des difficultés à comprendre des parties de l’annexe 11 et notamment : la traçabilité des modifications, la validation et l’évaluation périodique

Des difficultés ont par ailleurs été exprimées sur :

La compréhension de la conception et l’architecture des SI,
mettre en place une gestion du risque,
évaluer ses fournisseurs,
mettre en place la revue des audits trails
identifier un administrateur indépendant du service
minimiser les risques
comprendre les requis en termes de sauvegarde et de validation
comprendre les requis en termes de numérisation des originaux papiers

Risques :
- Manque de fiabilité et de traçabilité des données
- Atteinte à la sécurité des patients
Recommandation :
- Se référer aux guides et questions-réponses élaborés par les autorités

6. Formation du personnel ^{(2.1.3 F, 2.2.3.2)}

L’enquête montre que tous les établissements n’ont pas dispensé de formation spécifique sur l’intégrité des données à leur personnel (seulement 74.6%). 25,8% n’ont pas prévu de renouveler régulièrement ces formations.

La campagne d’inspection, quant à elle, a identifié 7.4% d’établissements n’ayant pas assuré de formation spécifique. Les formations observées pouvaient être inadaptées, incomplètes ou délivrées à une partie du personnel.

Risques :
- Mauvaise compréhension des exigences relatives à l’intégrité des données.
- Erreurs involontaires ou manipulations non conformes par manque de connaissance.
- Risque accru de non-conformité lors des audits ou inspections
Recommandations :
- Dispenser des formations régulières à l’ensemble du personnel, adaptées à leurs responsabilités (y compris les administrateurs systèmes)
- Évaluer l’efficacité des formations et les renouveler régulièrement
- Bien sélectionner son prestataire de formation et adapter la formation aux besoins spécifiques de l’établissement

7. Changement des équipements ou montée en version des logiciels ^{(2.1.3 D, 3)}

Les résultats de l’enquête montrent que dans le cadre de la mise en conformité des SI avec l’annexe 11 des BPFs, 65,5% des établissements ont changé d’équipement /logiciel et 67.9% ont réalisé des montées en version des logiciels utilisés pour le pilotage des équipements.

Environ 35% signalent avoir rencontré des difficultés à trouver des fournisseurs conformes à l’annexe 11 des BPF :

Les fournisseurs ne prennent pas en compte les exigences de l’annexe 11 (équipements pour les analyses biologiques et microbiologiques) ou ont une maitrise insuffisante de ces exigences
Le SI ne répond pas toujours entièrement aux exigences

53,2% des établissements ont augmenté la capacité de stockage de leurs serveurs ou ont réalisé des migrations

Risque :
- Perte de données, en cas de maitrise insuffisante des changements
Recommandation :
- Définir correctement les spécifications utilisateurs et le niveau de validation attendu (selon la criticité du système).

8. Sécurité des accès ^(2.2.3.7)

Lors de la campagne d’inspections, des lacunes ont été relevées dans la gestion des profils utilisateurs, l’utilisation de comptes génériques ou l’absence de déconnexion automatique.

Risques :
- Impossibilité d’identifier les actions individuelles sur les systèmes.
- Accès non autorisé à des fonctions critiques (modification, suppression de données).
- Risque de falsification ou de suppression de données sans traçabilité.
Recommandations :
- Formaliser la gestion des profils et accès pour chaque SI
- Respecter le principe du moindre privilège, basé sur des habilitations formalisées, individualiser les comptes, mettre en place des systèmes de déconnexion automatique.

9. Systèmes informatisés autonomes ^{(2.1.3 A, 3)}

L’utilisation de systèmes non connectés reste fréquente (41 % des systèmes recensés chez 68% des établissement ayant répondu à l’enquête)

Risques :
- Perte de données critiques en cas de défaillance matérielle (pouvant compromettre des investigations approfondies pour identifier les causes racines notamment en cas de problèmes de santé publique)
- Carences dans les mesures de sécurité (absence de gestion centralisée, de mise à jour continues, d’audit trail,…)
Recommandations :
- Mettre en place des sauvegardes régulières, dont la fréquence est fondée sur une analyse de risque formalisée.
- Assurer la traçabilité des opérations effectuées sur ces systèmes via des registres (audit trail ou registre manuel) pour détecter toute activité non autorisée.

10. Système d’alerte et gestion des incidents (2.1.3 H, 3)

L’enquête révèle que 19,7 % des établissements n’ont pas mis en œuvre de système de signalement des incidents liés à l’intégrité des données.

Risques :
- Manque de réactivité
- Manque de visibilité de la Direction sur les problèmes existants et allocation insuffisante des ressources
Recommandation :
- Mettre en place un système d’alerte/de signalement des incidents

11. Pour les établissements multisites

Risque :
- Non-conformité réglementaire, perte de chance de mise en conformité
Recommandation :
- Disposer d’un système de partage des écarts observés afin d’étendre systématiquement les actions correctives et préventives à tous les sites

Conclusion

Si l’ANSM juge le niveau de conformité des établissements inspectés satisfaisant, elle rappelle la responsabilité des opérateurs sur la mise en place d’une organisation et d’un système qualité robuste. Elle met en exergue :

La formation et sensibilisation du personnel, la maîtrise de l’intégrité passant par une bonne compréhension des risques et des systèmes
L’intégration de la vérification des l’intégrité des données dans le cadre des audits internes et les qualifications des prestataires
La remontée des incidents

La note de synthèse de l’ANSM constitue une opportunité d’amélioration continue pour les établissements souhaitant s’assurer de leur conformité réglementaire.

Elle rappelle que la maîtrise de l’intégrité des données ne repose pas uniquement sur les SI utilisés, mais sur une approche globale intégrant gouvernance des données, gestion des risques, formation, supervision des prestataires et formalisation de cette maîtrise.

Un certain nombre de constats relevés dans ce rapport font l’objet de thématiques abordées dans le projet de révision du chapitre 4 et de l’annexe 11 des BPF, actuellement en cours d’enquête publique. Ces projets renforcent ainsi les exigences en matière d’analyse de risque, de piste d’audit ou encore de vérification du maintien de l’état validé des systèmes.

Source : https://ansm.sante.fr/uploads/2025/04/01/20250401-note-synthese-etat-des-lieux-medicaments-usage-humain.pdf

Contactez-nous !

Discutons de vos projets

Besoin d’aide pour faire un état des lieux de votre système par rapport à ces recommandations, vous aider à évaluer vos prestataires et systèmes ou vous former ? Contactez-nous BELLEVILLE PHARMEXPERTS !

Restez informés avec BELLEVILLE PHARMEXPERTS ! Suivez-nous pour les dernières mises à jour et actualités pharmaceutiques et bénéficiez de nos conseils spécialisés pour optimiser vos pratiques.

DERNIÈRES ACTUALITÉS

DPC 2023-2025 : Comment enregistrer vos actions avant le contrôle de l’Ordre ?

Guide pratique pour les pharmaciens hors exercice en biologieDans une publication du 19 février, l’Ordre national des pharmaciens a rappelé les modalités d’enregistrement des actions de Développement Professionnel Continu (DPC)

23 février 2026

2026 : un moment charnière pour la politique du médicament en Europe

L’année 2026 devrait marquer un tournant pour l’Union européenne face à un double impératif : garantir l’accès équitable aux innovations thérapeutiques tout en reconstruisant une autonomie stratégique mise à mal

9 février 2026

Ne pas confondre Politique Qualité et déclinaison opérationnelle

Lors de nos audits à blanc (E14) Charte, réalisés au sein des entreprises, nous constatons pour les entreprises pharmaceutiques, qu’il y a souvent une confusion entre la politique qualité et

19 janvier 2026

Intégrité des données électroniques pour les laboratoires

L’ANSM publie un état des lieux et des recommandations clés pour les laboratoires

Pourquoi est-ce important ?

Domaines de vigilance identifiés

1. Gouvernance des données, gestion du risque ^{(2.1.3 G, 2.2.3.1, 3)}

2. Validation et maintien à l’état validé ^{(2.2.3.3, 2.2.3.6, 3)}

3. Audit trail ^{(2.1.3 E, 2.2.3.5, 3)}

4. Maîtrise de la sous-traitance ^{(2.1.3 C, 3)}

5. Difficultés de compréhension des exigences réglementaires ^{(2.1.3 B, 3)}

6. Formation du personnel ^{(2.1.3 F, 2.2.3.2)}

7. Changement des équipements ou montée en version des logiciels ^{(2.1.3 D, 3)}

8. Sécurité des accès ^(2.2.3.7)

9. Systèmes informatisés autonomes ^{(2.1.3 A, 3)}

10. Système d’alerte et gestion des incidents (2.1.3 H, 3)

11. Pour les établissements multisites

Conclusion

Discutons de vos projets

DERNIÈRES ACTUALITÉS

DPC 2023-2025 : Comment enregistrer vos actions avant le contrôle de l’Ordre ?

2026 : un moment charnière pour la politique du médicament en Europe

Ne pas confondre Politique Qualité et déclinaison opérationnelle

Comprendre et maîtriser le système d'information Exploitant

PROCHAINES SESSIONS :
Mardi 17 mars 2026
Mardi 14 avril 2026

News

Intégrité des données électroniques pour les laboratoires

L’ANSM publie un état des lieux et des recommandations clés pour les laboratoires

Pourquoi est-ce important ?

Domaines de vigilance identifiés

1. Gouvernance des données, gestion du risque (2.1.3 G, 2.2.3.1, 3)

2. Validation et maintien à l’état validé (2.2.3.3, 2.2.3.6, 3)

3. Audit trail (2.1.3 E, 2.2.3.5, 3)

4. Maîtrise de la sous-traitance (2.1.3 C, 3)

5. Difficultés de compréhension des exigences réglementaires (2.1.3 B, 3)

6. Formation du personnel (2.1.3 F, 2.2.3.2)

7. Changement des équipements ou montée en version des logiciels (2.1.3 D, 3)

8. Sécurité des accès (2.2.3.7)

9. Systèmes informatisés autonomes (2.1.3 A, 3)

10. Système d’alerte et gestion des incidents (2.1.3 H, 3)

11. Pour les établissements multisites

Conclusion

Discutons de vos projets

DERNIÈRES ACTUALITÉS

DPC 2023-2025 : Comment enregistrer vos actions avant le contrôle de l’Ordre ?

2026 : un moment charnière pour la politique du médicament en Europe

Ne pas confondre Politique Qualité et déclinaison opérationnelle

Comprendre et maîtriser le système d'information Exploitant

PROCHAINES SESSIONS : Mardi 17 mars 2026 Mardi 14 avril 2026

1. Gouvernance des données, gestion du risque ^{(2.1.3 G, 2.2.3.1, 3)}

2. Validation et maintien à l’état validé ^{(2.2.3.3, 2.2.3.6, 3)}

3. Audit trail ^{(2.1.3 E, 2.2.3.5, 3)}

4. Maîtrise de la sous-traitance ^{(2.1.3 C, 3)}

5. Difficultés de compréhension des exigences réglementaires ^{(2.1.3 B, 3)}

6. Formation du personnel ^{(2.1.3 F, 2.2.3.2)}

7. Changement des équipements ou montée en version des logiciels ^{(2.1.3 D, 3)}

8. Sécurité des accès ^(2.2.3.7)

9. Systèmes informatisés autonomes ^{(2.1.3 A, 3)}

PROCHAINES SESSIONS :
Mardi 17 mars 2026
Mardi 14 avril 2026