Pouvez-vous copier des données GxP en toute sécurité ?

À l'issue de notre webinaire « Intégrité des données GxP : ce que vous ignorez peut être à l'origine d'une non conformité », nous avons reçu une question intéressante concernant la copie d'informations et d'enregistrements dans les applications GxP. 

Cher Paul, 

Dans l'un de vos webinaires, vous affirmiez que copier un document POS dans le but de l'étudier à la maison constituait  une violation manifeste. 

Autant que je sache, copier tout document GXP ou POS qui n'est pas contrôlé signifie qu'il n'est pas mis à jour. Par conséquent, cela ne présente aucun risque réel. La copie des données n'entraînerait donc aucun danger quant à la conformité réglementaire de l'entreprise. 

Supposons, par exemple, que les données GXP soient archivées sur le lecteur d'un ordinateur et que seule une partie du personnel puisse y accéder. Et ceci afin de contrôler  l’accès aux données, faire en sorte quְ’elles restent valides et assurer leur intégrité. 

Si l'une des personnes ayant accès aux données devait en copier une partie et la stocker ailleurs, pour permettre à d'autres employés de l'utiliser, serait-ce une violation ? 

À mon avis, les données sont archivées dans un lieu spécifique à contrôler à des fins de présentation éventuelle à un auditeur.  Copier des données pour les partager avec d'autres employés ne constitue en rien une menace pour l'entreprise. En cas de modification des données  copiées, il y aura un écart  avec les données sources. Ces différences sont manifestes. Puisque les données sources sont les seules données considérées comme fiables, quel mal peut-il y avoir à en copier certaines ?

 Merci de me dire si je mon raisonnement est erroné…

Cordialement, S

Cher S,

Vous avez tout à fait raison de dire que les informations GxP, qu’elles soient sous forme électronique ou papier, doivent être contrôlées afin de les préserver de toute modification.  Vous avez également raison :  les copies doivent être étiquetées comme telles.

Prenons le cas d'un employé qui prend une photo avec son téléphone. Le problème, auquel vous faites allusion à juste titre, est que si lui ou un tiers utilise la photo à titre de référence, il se peut qu'il n'utilise pas d'informations à jour.  

La procédure adéquate consisterait à se rendre au département de documentation QA pour obtenir une copie officielle, qui serait estampillée en tant que telle (si cela était autorisé par les politiques de l'entreprise).  Cela dit, il est probable que l'employé ait déjà enfreint la politique de l'entreprise en prenant des photos au travail.  

Mon exemple du webinaire était un exemple pédagogique pour montrer comment une personne pour laquelle les procédures de gestion de la documentation GxP sont peu familières en association avec une nouvelle technologie peut commettre, par inadvertance, des erreurs GxP.  L'employé ne doit pas prendre de photos de documents, ni faire de copies de documents en dehors du site. Le domicile reste un lieu, espérons-le, sûr pour quiconque ; cela dit, il n'est pas un lieu sûr pour un document GxP contrôlé. 

À propos des archives, je suis d'accord avec vous quant au but d'une archive, qui consiste à stocker des données de manière contrôlée, afin qu'elles ne puissent pas être modifiées, supprimées, etc.  Je suppose également que parce que les données archivées ont une valeur GxP (c'est pourquoi elles sont archivées pour commencer), elles pourraient avoir besoin d’être protégées. Les données pourraient constituer des éléments de propriété intellectuelle dans certains cas.  Probablement pas pour les données de surveillance de la température, mais un dossier de lot archivé ou des résultats de test de laboratoire archivés pourraient contenir suffisamment d'informations pour constituer des éléments de propriété intellectuelle.  

Il existe donc des raisons commerciales de protéger les données archivées contre la copie.  L’unique personne qui devrait avoir accès aux données archivées reste l'archiviste ou le gestionnaire d'archives, et ils devraient pouvoir décider au cas par cas si les données archivées peuvent être copiées et distribuées en toute sécurité, et s'il y a des limites à la distribution.  

Nous sommes donc à la recherche de solutions, et pas de solutions de contournement. 

•    Chaque fois que des données sont copiées, il convient d’estampiller les copies en tant que telles pour ne pas les confondre avec les originaux. 
•    Les copies doivent (toujours) être protégées ou gérées conformément à la politique de l'entreprise.  
•    Le personnel responsable de la protection et du contrôle des informations (documentation AQ, archiviste) est tenu de respecter des politiques.
•    Les politiques peuvent ou non autoriser les activités que vous proposez (par exemple, rapporter les données à la maison ou ailleurs pour analyse.)
•    Ces politiques seront probablement basées sur les risques associés aux données que vous souhaitez copier.

Dans une application GxP fonctionnelle, l'état d'esprit de la culture de la qualité peut sembler excessif ou, au mieux, inefficace.  La sauvegarde des données sources doit devenir la norme par défaut. La recherche d'échappatoires ou de raccourcis vous engage sur un terrain glissant. 