Réglementation FDA 21 CFR Part 11 : une gouvernance des données réglementées

Adoptée par la FDA en 1997, la régulation 21 CFR Part 11 définit les critères selon lesquels les enregistrements électroniques et les signatures électroniques sont considérés comme équivalents à leurs homologues papier et manuscrits.

L’objectif de cette régulation est double : garantir l’intégrité, la sécurité et la traçabilité des données électroniques, tout en ouvrant la voie à la numérisation réglementée des processus dans les secteurs fortement encadrés.

La CFR Part 11 s’applique à toute entité soumise à inspection ou à autorisation de la FDA, c’est-à-dire principalement les entreprises pharmaceutiques, de biotechnologie, de dispositifs médicaux, de cosmétique (dans certains cas), ainsi que les prestataires qui travaillent pour elles (CRO, laboratoires de tests, sous-traitants, fournisseurs de solutions logicielles).

Toute entreprise, quelle que soit sa localisation géographique, qui développe, fabrique, teste ou distribue un produit réglementé par la FDA et utilise des systèmes électroniques pour stocker ou transmettre des données critiques est donc concernée.

Cela inclut également les entreprises étrangères – notamment françaises – qui souhaitent exporter des produits vers le marché américain ou obtenir une autorisation de mise sur le marché auprès de la FDA. Le simple fait d’envoyer des données cliniques ou analytiques sous format électronique à la FDA déclenche l’application de la Part 11.

La 21 CFR Part 11 s’intéresse de près à la manière dont les entreprises des sciences de la vie gèrent leurs données électroniques. Cet intérêt ne se limite pas aux aspects purement informatiques ou réglementaires. La régulation américaine crée un cadre juridique et opérationnel concernant les pratiques en entreprise, de la division de recherche et développement aux archives de la direction juridique, en passant par la documentation qualité et les outils de production.

Avec la 21 CFR Part 11 l’intégrité et la traçabilité des données électroniques doivent pouvoir être prouvées. Les documents électroniques doivent être aussi fiables et auditables dans le temps. Pour les entreprises, cela se traduit par des obligations techniques, organisationnelles et documentaires, qui concernent l’ensemble du cycle de vie des produits et des décisions réglementées.

Une entreprise réunit et analyse des données scientifiques dès les premières phases du développement d’un produit de santé tel qu’un médicament, un dispositif médical ou thérapie innovante. Dès lors que ces données sont créées, stockées ou transmises sous forme électronique, elles peuvent entrer dans le champ de la CFR Part 11.

Les outils typiquement concernés sont :

• Les LIMS (Laboratory Information Management Systems)
• Les instruments connectés (chromatographes, balances, spectromètres…) intégrés à des logiciels d’acquisition
• Les systèmes de gestion de projet R&D
• Les bases de données d’essais précliniques ou cliniques

Les obligations sont multiples :

• Authentification forte des utilisateurs : chaque action doit être attribuable à une personne identifiée.
• Audit trail obligatoire : toute modification d’un enregistrement doit être journalisée avec date, auteur, motif.
• Verrouillage des données : une fois validées, les données ne doivent pas pouvoir être altérées sans traçabilité.
• Archivage sécurisé : les données électroniques doivent pouvoir être conservées pendant toute la durée réglementaire (souvent plusieurs années), dans un format accessible et inaltérable.

Ces contraintes exigent que les logiciels utilisés dans la recherche soient validés (voir encadré ci-dessous), que les procédures soient formalisées (SOPs), et que les personnels soient formés à l’utilisation conforme de ces outils. L’enjeu est clair : toute donnée utilisée pour soutenir un dossier réglementaire doit être fiable et défendable en cas d’audit.

La Computer System Validation (CSV) est au cœur de la 21 CFR Part 11. Pour s’y conformer, toute entreprise doit démontrer que ses systèmes informatiques utilisés dans un contexte réglementé fonctionnent comme prévu, de manière fiable, reproductible et contrôlée.

La démarche de validation repose sur le cycle en V, avec les étapes suivantes :

• Définition des besoins utilisateurs (URS)
• Spécifications fonctionnelles et techniques
• Qualification des phases (IQ, OQ, PQ)
• Tests documentés, traçant les résultats et anomalies
• Gestion du changement, pour toute évolution du système

La validation consiste à prouver que le logiciel est adapté à l’usage prévu, dans le contexte spécifique de l’entreprise, et que toute action réalisée dans ce système est traçable, justifiable et sécurisée. Cela concerne aussi bien des logiciels métier que des plateformes collaboratives utilisées dans un cadre réglementé.

Sans validation, un système ne peut être considéré comme conforme à la CFR Part 11 – et donc pas utilisable pour produire des données soumises à la FDA.

En phase de production, la CFR Part 11 s’applique à tous les enregistrements électroniques liés à la fabrication, au contrôle qualité et à la libération des lots. Cela inclut :

• Les Manufacturing Execution Systems (MES) utilisés pour consigner les données de production
• Les enregistrements de batch électroniques (eBR)
• Les logiciels de supervision industrielle (SCADA) intégrés aux équipements
• Les systèmes de suivi environnemental (température, humidité, pression…)

Les obligations sont particulièrement strictes, les données de production servant souvent à justifier la conformité des lots. Toute anomalie dans les logs, falsification non détectée, ou même simplement l'incapacité à prouver l’intégrité des données peut conduire à un rejet de lot, voire à un rappel de produit.

Les entreprises doivent donc :

• Mettre en place des contrôles d’accès fins à chaque niveau de système
• Limiter les accès d’administration
• Mettre en œuvre une journalisation systématique des actions
• Définir des SOPs pour l’utilisation de chaque outil
• Former les opérateurs à la saisie électronique réglementée

La FDA est particulièrement vigilante sur les dérives potentielles (par exemple, modifications de paramètres de production non tracées, re-saisies de résultats de laboratoire sans justification, etc.).

Si la Part 11 est souvent abordée par le prisme des laboratoires et des sites de production, elle a également un impact fort sur les fonctions support : direction réglementaire, assurance qualité, direction juridique, affaires cliniques, IT, documentation, etc.
Les activités touchées incluent la gestion documentaire, la constitution de dossiers réglementaires électroniques, la gestion des changements, le pilotage des non-conformités et  déviations mais aussi la veille réglementaire et les processus de décision documentés ainsi que l’archivage long terme

Tout logiciel utilisé pour stocker, créer, signer ou transmettre ces informations entre dans le périmètre de la Part 11 s’il est utilisé pour soutenir une démarche réglementaire ou une inspection FDA.

Cela concerne notamment les GED (gestion électronique des documents), les ERP intégrant des flux qualité ou réglementaires et les systèmes de signature électronique (DocuSign, AdobeSign…)

Ces outils doivent permettre une signature électronique conforme (voir ci-dessous), une conservation pérenne et traçable des documents, des accès sécurisés et restreints et une politique de sauvegarde et de récupération en cas d’incident.

Les archives doivent être auditables, lisibles dans le temps et protégées contre l’altération. Le principe directeur est celui de l’ALCOA+ : les données doivent être Attributables, Lisibles, Contemporaines, Originales et Exactes, avec une extension vers la sécurité, la disponibilité, la durabilité et l’intégrité.

La 21 CFR Part 11 accorde une valeur légale aux signatures électroniques, à condition que certaines exigences soient respectées. Son objectif est de garantir que toute signature électronique utilisée dans un contexte réglementaire soit sécurisée, fiable, non falsifiable et traçable, au même titre qu’une signature manuscrite.

Trois éléments principaux structurent ces exigences :

1. Identification et authentification forte de l’utilisateur

La signature électronique doit être liée de manière unique à un individu, via un identifiant personnel et un mot de passe. Dans certains cas, une double authentification est requise (2FA). Le système doit empêcher l’usurpation d’identité et verrouiller l’accès après plusieurs échecs.

2 - Lien explicite entre la signature, l’action et le document

Chaque signature doit enregistrer le nom complet du signataire, la date/heure de la signature, et le sens de l’action (approbation, vérification, etc.). Elle doit être intégrée au document ou enregistrée dans un audit trail infalsifiable, permettant de reconstituer l’historique.

3 - Consentement explicite à l’usage des signatures électroniques

L’entreprise doit obtenir l’accord formel des utilisateurs à utiliser une signature électronique en lieu et place d’une signature manuscrite, souvent via un formulaire de consentement interne.

Il est également nécessaire que le système de signature soit validé (CSV) et que les rôles soient clairement définis pour éviter toute confusion ou usage non conforme. Un système non conforme à ces exigences expose l’entreprise à un rejet de ses données ou à des observations critiques lors d’une inspection FDA.

Hé Doxi, pourquoi cela concerne aussi les entreprises françaises ?

Au final, la CFR Part 11 ne peut être gérée efficacement qu’à travers une approche transversale. Elle requiert une collaboration étroite entre les fonctions métiers (R&D, production, qualité, réglementaire) et les fonctions support (IT, juridique, gouvernance documentaire). La conformité ne se limite pas à la technologie : elle repose sur des processus solides, une culture qualité forte, une documentation rigoureuse et une gestion proactive des risques.

Pour les entreprises françaises souhaitant accéder au marché américain, l’enjeu est stratégique : sans conformité à la Part 11, les données électroniques peuvent être considérées comme non recevables, ce qui compromet des années de recherche ou de développement. À l’inverse, une approche rigoureuse et anticipée permet de tirer parti de la dématérialisation, tout en renforçant la robustesse des processus internes.

FAQ