L’Analyse de Risques appliquée aux Systèmes Informatisés de l’Industrie Pharmaceutique

La gestion des risques fait partie intégrante du process qualité de nombreuses entreprises provenant aussi bien du secteur de l’aéronautique, de la finance, de l’automobile ou de la santé. Dans l’industrie pharmaceutique, il permet de garantir la qualité des systèmes au cours de leur cycle de vie tout en limitant les risques pour la santé du patient et l’intégrité des données, en conformité avec les exigences réglementaires. 

L’analyse de risques fait partie intégrante du management des risques des projets qualités soumis aux BPx. La méthodologie la plus répandue est celle décrite dans le GAMP 5.

Qu’est-ce qu’une analyse de risques ?

L’analyse de risques est l’estimation du risque associé à la défaillance identifiée. Il s’agit du process quantitatif et/ou qualitatif permettant d’associer la probabilité d’occurrence et la sévérité d’une défaillance. Dans certains outils de gestion du risque, la probabilité de détecter la défaillance (détectabilité) est aussi un des facteurs de l’estimation des risques (Q9 ICH Guideline).

Dans l’industrie pharmaceutique, l’analyse de risques a pour objectif l’identification et la réduction des risques impliquant la sécurité du patient, la qualité du produit, l’intégrité des données, ainsi que le respect de la réglementation en vigueur. L’analyse de risques permet de définir les moyens de réduire les risques identifiés, par l’établissement d’un effort de tests nécessaires et/ou de process et la mise en place de contrôles afin de limiter à un niveau acceptable les risques résiduels.

L’analyse de risques est généralement réalisée suivant les recommandations du GAMP 5 et suit un process qualitatif par l’estimation de différentes priorités de risques (élevé, modéré, faible) plutôt que quantitatif (calcul de scores).

Comment réaliser une analyse de risques ?

L’analyse de risques est réalisée sur la base des spécifications du système, de son environnement technique et de la réglementation en vigueur. Elle doit être réalisée en début de projet et finalisée avant le lancement des tests d’un nouveau système ou d’un système existant subissant un changement. Elle doit être documentée.

Il est recommandé d’impliquer plusieurs membres du projet (business, IT, réglementaire, …) lors de l’élaboration de l’analyse de risques afin d’assurer la couverture d’un maximum de risques. Chaque entité pourra ainsi identifier plus spécifiquement les risques liés à leurs propres process, liés à l’utilisation du système, l’infrastructure et la règlementation notamment.

La méthodologie la plus couramment mise en place est celle décrite dans le GAMP 5 qui est tirée de l’AMDEC. Elle associe la sévérité du risque (S), la probabilité d’occurrence de la défaillance (P) et la détectabilité de la défaillance (D) afin de calculer la priorité du risque (R) :

R = S x P x D

Sévérité du risque (S) : Quel est l’impact sur la sécurité du patient, la qualité du produit ou l’intégrité des données ? D'un point de vue règlementaire ?

Probabilité d’occurrence de la défaillance (P) : quelle est la probabilité de survenue de la défaillance ?

Détectabilité de la défaillance (D) : quelle est la probabilité de détection de la défaillance ? 

(Figure M3.5: Risk Assessment Method - ISPE GAMP 5 A Risk-Based Approach to Compliant GxP Computerized Systems)

Chaque paramètre est évalué suivant trois valeurs : Elevé, Moyen, Faible. L’équipe projet doit en priorité s’accorder sur la signification de ces valeurs pour chacun des paramètres avant de débuter l’analyse de risque. Par exemple, y a-t-il un impact direct pour la sécurité du patient ? Si oui, la Sévérité sera Elevée. La détection de la défaillance est elle difficile et ne peut être faite que manuellement ? Si oui, la Détectabilité est Faible.

Cette méthode permet le calcul de trois priorités de risque : Elevé, Moyen, Faible. Plus la priorité sera élevée, plus l’effort réalisé afin de contrôler le risque sera important. Il existe différents moyens de contrôles visant à supprimer ou réduire les risques identifiés : tests fonctionnels spécifiques, redesign du système, procédures, formations ...

Comment maintenir l’analyse de risques :           

L’analyse de risques doit être alimentée et mise à jour tout le long de la vie du système, dès lors que le système et ses spécifications évoluent. Si des nouveaux risques sont identifiés, ils doivent être inclus dans l’analyse de risque existante. Si les risques déjà identifiés et traités sont impactés par la modification d’une fonctionnalité, ils doivent être réévalués.

De même, les moyens de contrôles mis en place suite à l’analyse de risque doivent être suivis et résolus dès lors que cela est possible.

Conclusion

 L’analyse de risques est devenue incontournable dans la démarche qualité de la validation des systèmes informatisés de l’industrie pharmaceutique. Elle permet de s’assurer que le système utilisé garanti une gestion des risques maitrisés pour la sécurité des patients, la qualité du produit et l’intégrité des données, en accord avec la réglementation à laquelle l’entreprise est soumise.