L archivage électronique pour les laboratoires pharmaceutiques

Transcription

1 L archivage électronique pour les laboratoires pharmaceutiques Juin 2010 Tous droits d utilisation et de reproduction réservés

2 Les Auteurs Isabelle Renard Isabelle Renard est ingénieur, Docteur Ingénieur, et avocat. Elle a passé une grande partie de sa carrière dans l industrie de l informatique et des services, notamment au sein des groupes Thalès et Unisys en France et aux Etats-Unis. Avocat depuis 1999 elle a exercé au sein des Cabinets Archibald Andersen, August & Debouzy et Vaughan avant de rejoindre avec son équipe le Cabinet Racine en janvier 2010 pour créer le département du droit des Technologies de l Information. Elle a une expertise approfondie des questions juridiques liées à la dématérialisation, aux échanges électroniques et à l archivage, et a conduit de nombreuses missions dans ce domaine aux fins d analyser des processus de dématérialisation. Isabelle enseigne par ailleurs le droit des contrats au sein du Master professionnel de droit du multimédia et de l informatique de l université de Paris II depuis sa création en Elle assure également des formations dans plusieurs masters professionnels et au sein d entreprise, dans les domaines liés à la sécurité informatique, aux échanges dématérialisés, à la protection du patrimoine informationnel et à la gestion des relations contractuelles complexes. Le CEDHYS Association des directeurs des systèmes d'information des Sciences de la Vie Forum francophone de réflexion, d'initiatives et d'innovation, créé en 1977 et regroupant, aujourd'hui, une quarantaine de sociétés, permettant à ses membres d'élaborer pour leurs entreprises les meilleures stratégies de développement des technologies de l'information. Sébastien ASSELIN : Ingénieur Méthodes S.I. DIAGNOSTICA STAGO François CASSE : Responsable informatique ROCHE France Jean-Marc Rietsch Jean-Marc Rietsch ( jm.rietsch@fedisa.eu) est expert des métiers de la confiance et plus particulièrement de l archivage électronique. Ingénieur Civil des Mines, JM Rietsch a débuté sa vie professionnelle par le développement logiciel et l'offre de services pour les PME-PMI. En 1993, il oriente sa carrière vers la sécurité et plus particulièrement la sauvegarde des données informatiques et dépose un brevet sur le sujet. En 2001, JM Rietsch participe au lancement du premier tiers archiveur en France. JM Rietsch est Président de FedISA (Fédération de l ILM du Stockage et l Archivage) créée en 2005 et destinée à répondre aux attentes des utilisateurs en matière de dématérialisation au sens le plus large. Il est également le fondateur de Demateus ( organisme de formation spécialisé dans ce domaine et à l origine d un BADGE (Bilan d aptitude délivré par les Grandes Ecoles) première partie d un mastère exécutif concernant «le management de la dématérialisation et de l archivage électronique» en collaboration avec MinesParistech. Eric CHAUVEL : Directeur des Systèmes d'information Genzyme SAS Raphaël COMMARET : Responsable des Systèmes d'information FLAMEL Technologies Thierry GREHAIGNE : Directeur des Systèmes d'information STALLERGENES S.A. & président du CEDHYS Jean-Louis QUEVA : Directeur des Systèmes d'information LFB Nous tenons également à remercier tout particulièrement Thierry AMADIEU pour son aide apportée à la réalisation de cet ouvrage. 1

3 Preface Au-delà de la dématérialisation, l archivage électronique est de plus en plus un véritable sujet d actualité pour l ensemble des organisations tant publiques que privées. Bien évidemment, les laboratoires pharmaceutiques n échappent pas à la règle et c est pourquoi il nous est apparu important de réaliser cet ouvrage spécialement adapté à cet environnement afin de le rendre d autant plus pratique et efficace. Rappelons également que la compréhension de la dématérialisation ne doit pas se limiter à celle de la numérisation de documents mais doit être vue dans son sens le plus large. La dématérialisation intervient également au niveau des échanges avec l exemple des s, ainsi qu au niveau des processus métier et la dématérialisation des factures. L archivage électronique peut ainsi être vu comme une conséquence de la dématérialisation mais pas seulement. Son origine se retrouve ainsi à plusieurs niveaux et plus particulièrement dans : l augmentation extrêmement forte du volume de données électroniques gérées au quotidien du fait principalement des évolutions technologiques ; les changements dans les processus d entreprise, essentiellement en matière de dématérialisation ; de nouvelles obligations tant légales que réglementaires. Cependant il ne faut surtout pas considérer la problématique de l archivage électronique comme relevant de la simple dématérialisation des techniques traditionnelles d archivage. Outre l influence des nouvelles obligations, légales et réglementaires, ce nouveau type d archivage doit être pris en compte très en amont, dès l instant où les données peuvent être considérées comme figées. C est donc l ensemble du cycle de vie de l information qu il va falloir prendre en compte, de la création de la donnée jusqu à sa destruction, pour réaliser la mise en place d un système d archivage électronique véritablement efficient. La notion même d archivage a ainsi largement évolué. Là ou autrefois l archivage correspondait à une véritable rupture pour les organisations, du fait de l électronique, l information reste désormais accessible tout au long de son cycle de vie. Ainsi même rendue au statut d archive, la donnée doit être disponible. Cela peut également être vu comme une évolution de la GED ou gestion électronique des documents dont l objectif était justement de permettre une meilleure accessibilité aux données d entreprise. Un des enjeux de l archivage électronique, et non le moindre, est ainsi de pouvoir renforcer le système d information d une organisation et, par là même, sa compétitivité en lui permettant de disposer de la bonne information au bon moment. Par ailleurs, et de façon bien naturelle, l archivage électronique fait naître très rapidement des questions concernant les supports dont la pérennité est forcément limitée en regard des technologies actuelles. C est là le paradoxe de l archivage électronique qui consiste à devoir travailler avec des technologies dont l obsolescence est extrêmement rapide alors que l on cherche justement à conserver des données sur du long terme. Pour répondre à cette interrogation fondamentale nous verrons dans la suite de cet ouvrage qu il est en fait indispensable de dissocier pour un document la notion de support de son contenu informationnel. Enfin, au-delà de la technique et pour aborder le sujet de l archivage électronique, il est également indispensable de considérer d autres aspects très différents comme les aspects juridiques, organisationnels ou normatifs. Nous verrons également qu un tel projet doit obligatoirement prendre en compte la notion de risque ainsi que la conduite du changement. Sans être compliqué, cet environnement devient néanmoins vite complexe tout en bouleversant bon nombre de nos habitudes. D où la nécessité de pouvoir effectivement sensibiliser, informer voire rassurer et impliquer l ensemble des utilisateurs potentiellement concernés afin de leur permettre de profiter pleinement de tous les apports de ces nouvelles approches. Il s agit là d une des principales missions que FedISA s est fixée, sachant que le présent document fait suite à une série d ouvrages déjà écrits sur ce thème ayant, tous, ce même objectif de présenter l ensemble des différentes facettes d un projet d archivage électronique et surtout les rendre rapidement accessibles afin d attirer l attention sur les enjeux stratégiques qui y sont directement liés. Espérons que le présent ouvrage permettra au plus grand nombre d être à la fois rassuré et convaincu de tous les avantages qu il y a à dématérialiser et à mettre en place l archivage électronique correspondant. Désormais il ne s agit plus de décider de dématérialiser ou pas mais plutôt de savoir quand et comment. L accès quasi-permanent à l information constitue incontestablement une nouvelle richesse pour toute organisation car favorisant sa transformation en connaissance. Thierry GREHAIGNE Président du CEDHYS Jean-Marc RIETSCH Président de FEDISA 2

4 Introduction Nous assistons depuis plusieurs années à une augmentation gigantesque de la volumétrie des données numériques qu il est en général nécessaire d archiver. On nous annonce en effet plus de Po dès cette année 2010 (source Gartner). Rappelons à ce sujet que : 100 mégaoctets (Mo) représentent le contenu d une pile de livres de 1 mètre de haut, 2 téraoctets (To 1012 octets) correspondent à tous les ouvrages d une bibliothèque universitaire et 2 pétaoctets (Po) aux fonds de toutes les bibliothèques universitaires des Etats-Unis! Face à cette augmentation de la volumétrie que subissent de plein fouet les services informatiques, la solution adoptée a souvent été une fuite en avant avec l installation de nouvelles baies de stockage capable d absorber les volumes. D un point de vue économique, cela a été rendu possible du fait de la baisse rapide des prix du stockage. Or nous atteignons actuellement de tels niveaux en matière de volumétrie à stocker que cette baisse n est plus suffisante pour garantir une sorte de stabilité du budget informatique alors même que la grande majorité des entreprises impose sa diminution. De plus la solution au problème de volumétrie de stockage ne répond pas pour autant à la capacité, pourtant essentielle à retrouver de l information parmi de tels volumes. Il est donc essentiel de mettre en place de nouvelles solutions dont la plus naturelle consiste tout simplement à rationaliser son espace de stockage en ayant une bonne connaissance des types de données concernées afin de leur appliquer le traitement adapté. Cette notion de rationalisation se retrouve ainsi à différents niveaux : Migration vers du stockage secondaire plutôt que d exploiter du support, certes performant mais onéreux, pour des données qui ne le nécessitent pas ou plus ; Archivage au sens électronique, à savoir isoler les données figées afin de pouvoir les gérer comme archives. L en représente le parfait exemple dans la mesure où il est figé dès sa création. Ce type d organisation diminue de façon drastique les volumes nécessaires y compris ceux nécessaires pour les sauvegardes ; Suppression des données après la durée de conservation requise, application d une véritable politique correspondante ; Gestion du taux d occupation des baies de stockage afin d optimiser leur utilisation. Au sujet plus précis de l et bien au-delà de son simple rôle de communication, il constitue un support de plus en plus fondamental des relations entre fournisseurs et clients et par là même occupe une place de plus en plus centrale au sein du système d information de toute organisation et doit de ce fait être considéré comme une application critique à part entière. Ainsi le Gartner estime que, en dehors des applications métier, 50 % à 75 % de l information utile dans l entreprise est échangée de personne à personne d où l accent sur la valeur juridique de l et ses implications. Il nous est donc apparu naturel de réserver un chapitre spécifique au sein du présent ouvrage pour traiter de la problématique de l archivage de l . En matière d archivage nous attirons également l attention quant au fait que contrairement à un archivage traditionnel, les exigences de l archivage électronique sont multiples et il doit ainsi permettre : D assurer l intégrité, la traçabilité, la confidentialité et la pérennité des données ; De répondre aux obligations légales et réglementaires de conservation et de restitution ; De respecter les exigences de la CNIL en matière de données à caractère personnel ; De relever le défi de l obsolescence technologique récurrente ; De faciliter l accès à l information. Bien évidemment, tout ce qui précède doit se faire au meilleur coût et avec un minimum de risques. Dans la mesure du possible, il est également important d avoir en permanence à l esprit les aspects environnementaux qui doivent être abordés non pas en termes d objectif à atteindre mais comme un élément supplémentaire permettant de guider certains choix d une solution plutôt que telle autre. Face à tous ces facteurs, à toutes ces variables, composantes et autres obligations, les responsables d entreprise se trouvent fort démunis et leur réaction fort légitime au demeurant consiste à attendre! Pourtant les enjeux sont de taille : stratégiques, financiers, juridiques, réglementaires, organisationnels, sécuritaires L objectif de ce document est ainsi d aider les responsables d entreprises et plus particulièrement des laboratoires pharmaceutiques dans cette démarche d archivage au sens électronique du terme. Afin de faciliter au maximum son apport et son accessibilité, le présent document a été construit sous forme de fiches. Chacune d entre elle a été conçue de façon à pouvoir être lue indépendamment et comporte trois parties : contexte, enjeux et recommandations. Ce choix a été dicté par un souci d efficacité destiné à permettre au lecteur de trouver rapidement les premiers éléments de réponse aux problèmes qu il se pose. A contrario, ceci provoque inévitablement certaines répétitions ou renvois le cas échéant à d autres fiches complémentaires. A l intérieur de chaque fiche on pourra retrouver un certain nombre de focus (sous forme d encadrés) au sujet de certains points importants qu il ne nous était pas possible de traiter ici plus en détail. Par ailleurs, un référentiel documentaire à la fin du présent document permettra à ceux qui le désirent de pouvoir approfondir tel ou tel aspect. 3

5 L archivage électronique pour les laboratoires pharmaceutiques Phase N Fiche Thèmes Page Le cadre 1 Besoins d archivage 5 2 Spécificités au niveau des labos 8 3 Aspects juridiques 10 4 Contraintes techniques 18 5 Stratégie d'archivage 22 Les solutions 6 Outils méthodologiques 24 7 Technologies actuelles 28 8 Les logiciels 32 9 Tiers archiveur 34 Compléments 10 Archivage des s Coûts de l archivage 39 Annexes - Exemple de durées de conservation, propres aux laboratoires - Tableau récapitulatif des exigences réglementaires principales se rattachant à la signature électronique. 41 Les points focus : N Fiche Focus Page 1 A propos de l intégrité 7 3 A propos de la confidentialité 17 4 A propos de l identification - authentification 18 4 A propos de la signature électronique 21 6 Politique d archivage 25 7 L évolution «du WORM physique vers le WORM logique» 29 4

6 Le Cadre Fiche 1 Besoins d archivage Contexte De façon très générique, l archivage correspond à la mémoire de toute organisation et répond ainsi à deux nécessités essentielles, à savoir conserver l information et surtout la retrouver relativement facilement. Les origines de l archivage électronique sont par ailleurs multiples. Nous reprenons ici tout en les complétant, les principaux facteurs déjà largement abordés en introduction au présent livre blanc, à savoir : La dématérialisation de plus en plus importante de bon nombre de procédures, fait que les volumes de données à conserver augmentent sensiblement. Il est également essentiel de prendre en compte la dématérialisation des échanges avec les s dont il n est plus nécessaire de préciser l importance ; La sécurisation de l information est extrêmement importante et la conservation fait évidemment partie des éléments qui y contribuent ; La rationalisation des espaces de stockage est également à l origine de l archivage dans la mesure où il paraît naturel de faire correspondre au mieux les besoins avec les solutions disponibles. Toutes les données n ont pas à être traitées de la même manière du fait de leur grande disparité en matière de criticité, importance ou encore valeur pour l entreprise ; Au-delà de ces besoins naturels de conservation des données s ajoutent de plus en plus des obligations tant légales que réglementaires qui pèsent sur les organisations ; Enfin la notion de patrimoine concerne plus spécifiquement la notion de mémoire évoquée précédemment, destinée à garder les éléments importants pour l histoire, y compris pour l entreprise. L ensemble de ce qui précède s applique à tout type ou forme de l information : données structurées, données non structurées, images, sons, vidéos. Aussi est-il important de traiter ici quels sont véritablement les besoins qui en découlent. Les volumes de données numériques produites et échangées augmentent continuellement sachant que par ailleurs il est évidemment essentiel de répondre à ses obligations. On peut ainsi relever un certain nombre de problèmes qui en résultent tels : Adaptation des espaces disque de stockage sur les serveurs : l archivage va permettre de pouvoir déplacer automatiquement des données figées selon des règles pré-établies vers un stockage plus adapté ; Temps de sauvegarde et de restauration : les espaces de stockage de données nécessitent d être sauvegardés très régulièrement dans leur intégralité. Le fait d en archiver une partie va permettre de très largement optimiser les sauvegardes en diminuant les volumes concernés, tout en conservant l accessibilité aux éléments archivés ; Retrouver l information : sans système prévu et organisé à cet effet, il est relativement difficile de retrouver des données. Un système d archivage efficace doit ainsi permettre d organiser et d indexer les documents de telle sorte que la recherche et l extraction de données soit facile et rapide ; Répondre à ses obligations (légales et réglementaires) : les entreprises sont de plus en plus soumises à des obligations concernant entre autre la conservation de leurs données électroniques pendant des périodes déterminées. Une solution d archivage s impose alors afin de servir de référentiel sécurisé pour les éléments exigeant un délai de conservation donné. Enjeux Si la mise en œuvre d une solution d archivage électronique doit permettre d offrir à l utilisateur une plus grande souplesse concernant l accès à l information, l archivage répond avant tout à de multiples enjeux : Organisationnel : L archivage doit participer à une exploitation aussi efficace que possible du système informatique de l entreprise ; Sécuritaire : la volumétrie des données numériques, déjà importante, croît constamment en nombre et en volume. De ce fait les procédures de sauvegarde deviennent de plus en plus délicates et c est donc la sécurité des données qui se voit remise en cause. L archivage d une partie des données doit entre autres permettre une rationalisation des espaces de stockage, allégeant d autant les temps de sauvegarde ; Juridique : en complément au point précédent, le principal risque est de ne pas pouvoir produire en cas de besoin les données requises dans une forme recevable. Rappelons à ce sujet que les données doivent être archivées en respectant a minima les caractéristiques d identification, d intégrité et d intelligibilité leur permettant d être retenues comme une preuve recevable ; Financier : au niveau financier l enjeu est multiple avec en premier lieu la conséquence sous forme d amende ou de condamnation, liée à la non production de données en cas de litige. En second lieu nous attirons également l attention sur un autre phénomène à ne pas négliger qui relève du temps passé à la recherche d information ou encore d investissements perdus dans des outils non maintenus dans le temps. Enfin de façon plus classique la mise en place d un archivage permet un gain direct au niveau des espaces de stockage et des procédures de sauvegarde ; Technique : l enjeu technique est également double avec les problèmes d interopérabilité entre systèmes, et le défi de pérennité des données sur le long terme, face à l obsolescence rapide des supports et des formats. 5

7 Recommandations Outre les besoins génériques exprimés précédemment pour lesquels l archivage apporte une véritable solution, il n en reste pas moins vrai que la première tâche consiste à évaluer ses besoins en détail, c est-à-dire archiver quoi, pourquoi et pour combien de temps? Afin d aider à cette définition de besoins, il est recommandé de répondre de manière appropriée aux questions suivantes : Quelles sont les données à archiver parmi l ensemble géré? Quelle est la criticité des données? Quelles sont les exigences de conservation? Quelles exigences d intégrité et de sécurité doit-on assurer? Quelle est la volumétrie à traiter? Quels accès? Les données à archiver constituent seulement une partie de l ensemble de celles traitées dans le cadre des activités de toute organisation. Il faut donc si possible parvenir à classifier les données afin de pouvoir décider de celles qui entreront dans le processus de conservation et si possible élaborer des priorités par rapport à des notions comme la valeur de l information, le caractère légal et réglementaire, les données à caractère personnel ou encore la mémoire historique sans oublier de prévoir la durée de conservation à respecter. Il s agit si possible d évaluer et de préciser : la sensibilité de l information (confidentielle, difficile à reconstituer), ou au contraire information courante ; la disponibilité, c'est-à-dire les conditions de la consultation (fréquence et rapidité) selon les types de données. Le système d archivage doit assurer la maintenance des données jusqu à la fin du cycle de vie de l information. Cette durée peut aller de quelques mois à plusieurs décennies, voire ad vitam aeternam. La durée de conservation est déterminée soit en application des textes légaux et réglementaires, soit par analogie avec ces textes en fonction du risque de contentieux, soit par métiers en fonction de la réutilisation prévisible de l information ainsi archivée. Si les données doivent être restituées dans un environnement juridique ou dans le cadre d un audit, il est impératif qu elles respectent certaines conditions. En fait la loi de mars 2000 (voir fiche 2 Aspect légal de l archivage numérique) fait ressortir quatre éléments fondamentaux : Intelligibilité de la donnée ; Intégrité du contenu depuis son origine (voir focus ci-après) ; Identification de l auteur ou des auteurs de l information ; Pérennité de l information. La maîtrise de cet élément est indispensable afin de pouvoir estimer correctement les besoins. La question de l accès comporte plusieurs aspects : les droits d accès, définis en fonction du profil des utilisateurs (notion d habilitation) : accès à tout ou partie des informations, restrictions d accès, évolution dans le temps ; la possibilité de recherche d information via des mots-clés (indexation automatique ou manuelle) ou à l aide d un moteur de recherche, assorti ou non d un thésaurus. 6

8 Le Cadre Fiche 1 Besoins d archivage A propos de l intégrité Ne pas recueillir d information constitue un problème d indisponibilité, tandis qu obtenir des informations fausses ou mutantes est un souci d intégrité. Ce dernier point revêt une importance particulière, il doit être abordé avec d autant plus d attention que la durée de conservation des données sera longue et donc les risques de corruption des données plus nombreux. L intégrité peut être définie comme la propriété qui assure qu une information n est modifiée que par les utilisateurs habilités dans les conditions d accès normalement prévues. On recherche donc par l intégrité, l absence de modification volontaire ou involontaire des flux et des traitements. L article 4.f du Règlement CE n 460/2004 du Parlement européen et du conseil du 10 mars 2004 instituant l'agence européenne chargée de la sécurité des réseaux et de l'information définit l intégrité des données comme : «la confirmation que les données qui ont été envoyées, reçues ou stockées sont complètes et n'ont pas été modifiées» Si l intégrité représente un critère de sécurité de base, il en est néanmoins le plus diffus et donc le plus difficile à mettre en œuvre sur la totalité de la cible du traitement de l information. L intégrité se subdivise normalement en deux sous ensembles distincts pour s approcher davantage de la mécanique du traitement de l information : L intégrité des flux de données, L intégrité des traitements. En général, les atteintes à l intégrité sont d origine malveillante. Les cas d accidents ou d erreurs sont beaucoup plus rares. Selon le CLUSIF (Club de la Sécurité des Systèmes d Information Français), sur une période de plus de 10 ans, la malveillance s accroît de près de 15 % par an, principalement au détriment de l intégrité des données et des traitements. Le monde de l Internet est en effet un champ d expérimentation mondial pour l atteinte à l intégrité des données, des messages et des traitements. Cependant il existe plusieurs interprétations possibles de l intégrité suivant que l on se place du côté purement technique ou plutôt du côté organisationnel et juridique. Par principe l intégrité technique d un document électronique est mise en cause dès l instant où un seul des bits constituant le document est modifié. A l inverse l intégrité au sens juridique d un document consiste à conserver le sens de l information qu il contient sans s attacher nécessairement à la forme. Ainsi le fait de modifier un accent dans un texte ne va pas en changer fondamentalement le sens alors que cela suffira à lui faire perdre son intégrité technique. Afin d apporter une solution à cette difficulté d interprétation, le Forum des Droits sur l Internet et la Mission Économie Numérique ont recommandé dans leur rapport 2006 que la notion d intégrité du document telle que prévue par l article du Code Civil soit assurée par le respect cumulé des trois critères suivants : Lisibilité du document, Stabilité du contenu informationnel, Traçabilité des opérations sur le document. Les enjeux de l intégrité des flux et des traitements sont fondamentaux, spécialement à l heure d Internet dans la mesure où il est indispensable de pouvoir faire «confiance» aux données constituant l élément essentiel du patrimoine informationnel. En effet la perte d intégrité peut présenter des dangers vitaux comme par exemple des mutations de données du groupe sanguin d un dossier médical partagé (stocké dans un centre d hébergement des dossiers médicaux) ou bien d un identifiant patient etc. Les cas pratiques donnant lieu ou non à des recours juridiques sont très nombreux et inquiétants, du fait de leur croissance exponentielle depuis plus de quinze ans. 7

9 Le Cadre Fiche 2 Spécificités au niveau des labos Contexte L'archivage des données dans un laboratoire pharmaceutique est soumis à deux réglementations particulières : Celle s'appliquant à toute société commerciale, selon la législation en vigueur du pays où opère la société ; Celle propre à l'activité de fabrication et commercialisation de médicaments à usage humain ou vétérinaire, édictée par des textes internationaux ou nationaux. Le propos de ce document n'est pas de traiter des contraintes légales applicables à toutes les sociétés commerciales mais de mettre l'accent sur les contraintes particulières à adresser par les laboratoires du fait de leur activité. Les contraintes spécifiques de validation des laboratoires L'industrie pharmaceutique a ceci de particulier que ses systèmes d'information qui ont un impact direct ou indirect sur la qualité des produits fabriqués sont tenus de respecter des règles communément appelées «règles GxP» (pour «Good x Practices», le x se référant, selon l'activité, à la fabrication «Manufacturing» - aux opérations de contrôle «Laboratory»- ou à la distribution «Distribution»). Ces règles, qui portent essentiellement sur les contrôles d'accès aux systèmes, la traçabilité des opérations de mise à jour de données considérées critiques, les conditions de mise en place de signature électronique et la validation des systèmes, se retrouvent dans plusieurs textes réglementaires : USA cgmp : 21 CFR Part 11 / 210 & CFR part 210 : Current Good Manufacturing Practice in manufacturing, processing, packing, or holding of drugs, general 21 CFR part 211 : Current Good Manufacturing Practice for finished pharmaceuticals 21 CFR part 11 : Electronic records ; electronic signatures Scope and Application EU - Guide to Good Manufacturing Practice, édition en vigueur, annexes incluses, notamment annexes 11 et 15 Bonnes Pratiques de Fabrication AFSSAPS : n 2007/1bis, notamment lignes directrices n 5 Des guides méthodologiques se référant à ces textes sont également disponibles : ICH Q9 : Quality Risk Management 2005 ISPE GAMP (Good Automated Manufacturing Practices) V5.0 février 2008 Et particulièrement sur le sujet de l'archivage : ISPE GAMP Electronic Data Archiving A priori, un SAE (système d'archivage électronique) mis en place dans un laboratoire devra se conformer aux règles évoquées ci-dessus, considérant que partie, au moins, des données et documents archivés ont un contenu qui a trait aux produits commercialisés. Il conviendra donc, lors de la mise en place du SAE, de valider celui-ci. Une analyse des risques encourus par l'utilisation du système sera préalablement menée, de façon à déterminer l'ampleur et la profondeur des tests à réaliser avant la mise en production du système ainsi que les conditions du maintien en état validé du système. La durée de conservation des données Les durées de conservation minimale des données sont, très largement, édictées par les textes réglementaires en vigueur. Une revue détaillée des règles découlant de ces textes est disponible dans le guide ISPE GAMP Electronic Data Archiving, mentionné ci-dessus, à l'annexe A chapitre 5.2. Le tableau ci-dessous donne, d'une façon générale, une indication de durée à respecter selon le type de donnée ou document. Catégorie de donnée Fabrication (incluant opérations de contrôle qualité) Recherche & développement Finance Ressources humaines Commentaire Enregistrements relatifs à la chaîne de fabrication des produits, des achats de composants et matières premières à la distribution des produits finis aux clients. Enregistrements relatifs aux études et travaux réalisés durant le développement d'un nouveau produit Enregistrements relatifs aux opérations comptables Données relatives aux salariés Durée de conservation conseillée 5 ans après la fabrication du produit. 30 ans 10 ans 30 ans Voir en annexe 1, un tableau un peu plus détaillé concernant ces durées de conservation. L'archivage des données d'équipements de laboratoire Les instruments de mesure utilisés dans les laboratoires de recherche ou de contrôle sont, désormais systématiquement, couplés à des logiciels permettant l'analyse, l'interprétation et la visualisation des mesures effectuées. Le problème actuellement posé est que ces logiciels sont, très souvent, propriétaires et que la lecture des données, plusieurs années après la mesure, n'est guère possible sans l'utilisation des mêmes logiciels (voire même, parfois, de 8

10 Le Cadre Fiche 2 Spécificités au niveau des labos la version du logiciel utilisée au moment de la mesure). Dans le cadre d'un système d'archivage électronique, où il n'est pas question de conserver à la fois les données et les logiciels à même de lire ces données, cela pose un problème particulièrement délicat. L'adoption de standards propres à la lecture de données d'instruments de laboratoire est encore en construction, même si, sous l'égide de l'astm, leur définition avance. En attendant l'aboutissement de ces travaux, il conviendra donc d'être vigilant dans le choix des logiciels pour favoriser ceux qui ont déjà prévu de transformer à terme leurs fichiers dans les formats standards qui seront définis. De ce qui précède, il résulte que le format logique des données archivées est effectivement essentiel car il pose le problème de l interprétation du train de bits qui doit être traduit, le moment venu, en une information intelligible par l'être humain que nous sommes. Cette information peut rester inaccessible à l opérateur qui dans quelques années souhaitera reconstituer la donnée du simple fait que le logiciel ou le format «propriétaire» n existe plus ou ne permet pas la description exhaustive et ouverte du train de bits d origine. Les règles qui président à l éligibilité des formats sont très pragmatiques et reposent principalement sur la stabilité desdits formats dans le temps. De plus les spécifications du format doivent être de préférences normalisées, voire publiques et largement répandues afin le cas échéant d'être capable d'écrire un interpréteur. Seront donc à éliminer a priori les formats «propriétaire» aux spécifications secrètes. En ce sens le format PDF/A normalisé ISO constitue une bonne avancée mais nécessite néanmoins la prudence et son utilisation doit être analysée avec soin et au cas par cas, selon la destination et le type de documents que l on souhaite pérenniser (voir le guide pratique d'utilisation du PDF/A publié par FedISA). Malgré toutes ces précautions, la migration des données au cours du temps doit également être envisagée et surtout organisée et accompagnée d une veille technologique. Rappelons que l'objectif de ces migrations de formats est de rendre les données indépendantes des matériels, logiciels et des plates-formes d'où elles émanent, de façon à pouvoir les interpréter quelles que soient les évolutions technologiques afin de les rendre intelligibles à tout moment. 9

11 Le Cadre Fiche 3 Aspects juridiques Section I - Droit et projets d archivage électronique dans le secteur pharmaceutique La typologie des documents à archiver dans le secteur pharmaceutique est très variée. S agissant des archives «cœur de métier» spécifiques à ce secteur, il s agira pour l essentiel des documents suivants : Cahiers de laboratoire des services R&D ; Rapports d'études cliniques ; Dossiers d'enregistrement de médicaments ; Dossiers de lot de fabrication (trace des évènements et opérations relatives à la fabrication d'un lot de produits ; Dossiers de pharmacovigilance. Chercher une règle juridique unique pour gérer l ensemble de ces documents est voué à l échec. Ce qui importe est l impact de la règle de droit ou de la contrainte réglementaire applicable en termes de risques. Il est à cet égard nécessaire de distinguer deux domaines : Le domaine de la preuve ; Le domaine des réglementations de conformité, ou de «compliance». I.1. Le domaine de la preuve C est le domaine de la défense des intérêts de l entreprise. Il prend toute son importance en cas de litige, lorsque la valeur probatoire de l enregistrement numérique produit par l entreprise est remise en cause. Prenons l exemple du cahier de laboratoire, document particulièrement sensible dont la dématérialisation ne s effectue que progressivement. Le cahier de laboratoire est un outil fondamental de la traçabilité des travaux des chercheurs, dont l utilité juridique est essentielle pour prouver une antériorité ou pour la rédaction d un brevet. Le cahier de laboratoire est, sous sa forme papier, un cahier relié dans lequel le chercheur consigne ses travaux, au jour le jour, à l encre indélébile. Chaque cahier possède un numéro unique. Y figurent également le nom de l'utilisateur, le nom du propriétaire et un espace en bas de chaque page numérotée pour dater et signer. Ce formalisme montre bien l enjeu lié à la capacité d une entreprise d apporter la preuve du caractère original d un cahier de laboratoire en cas de litige portant, par exemple, sur l antériorité d une découverte opposant deux laboratoires. I.1.1. Un litige sur la preuve est toujours «localisé» Si le cahier de laboratoire est sous forme numérique, le débat portera sur la fiabilité de cette preuve numérique. Celle-ci sera évaluée à l aune des règles de droit applicables au litige considéré, car un litige est toujours «localisé». Le litige sera en effet jugé par un tribunal étatique ou arbitral dans un pays donné, sur la base des règles de droit applicables : ce peuvent être les mêmes que celles du lieu où se situe le tribunal saisi, ou celles d un autre pays. La détermination du droit applicable à un litige fait l objet des règles dites de «droit international privé». On objectera que cela devient très compliqué, car dans notre exemple, la question qui se pose est la suivante : imaginons qu un laboratoire pharmaceutique français mette en œuvre des cahiers de laboratoire numériques en s assurant que ceux-ci auront une valeur probatoire au regard du droit français. Mais un litige survient, opposant ce laboratoire français à un laboratoire américain et, compte tenu du contexte, celui-ci va se juger sur le sol américain et au regard du droit américain. Que vaudra l analyse réalisée en droit français? Le droit américain reconnaîtra-t-il la valeur probatoire du cahier de laboratoire et sur quels critères? I.1.2. Appréciation de la valeur probatoire d un enregistrement numérique dans un contexte international Le droit de la preuve n est pas le même dans tous les pays. Même en Europe, la directive «Signature Electronique» (Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, portant sur un cadre communautaire pour les signatures électroniques) n est pas un texte visant à unifier le droit de la preuve numérique dans les pays européens. La Directive Signature Electronique est un texte technique, qui établit des critères de base pour la reconnaissance juridique des signatures électroniques en Europe, en se concentrant sur les services de certification. La directive définit deux nouvelles notions qui ont été transposées de façon plus ou moins fidèle dans les différents états européens : la signature électronique avancée et le certificat qualifié. La Directive n est pas, à proprement parler, un texte qui régit le droit de la preuve dans les Etats Membres. La seule indication qu elle donne à cet égard est la suivante : «Les États membres veillent à ce que l'efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique au seul motif que : la signature se présente sous forme électronique ou qu'elle ne repose pas sur un certificat qualifié ou qu'elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification ou qu'elle n'est pas créée par un dispositif sécurisé de création de signature.» 10

12 Le Cadre Fiche 3 Aspects juridiques La recevabilité des éléments de preuve est laissée à la discrétion de chaque Etat, que ce soit sur les aspects de fond ou sur les aspects procéduraux. Et ce qui est vrai en Europe l est bien entendu également au niveau international. I.1.3. Peut-on mettre en place un système d archivage «à valeur probante» au niveau international? Si le système d archivage mis en place se donne pour objectif de conférer une valeur probante aux enregistrements qu il contient dans un environnement international, il faudra prendre un certain nombre de précautions. En effet, les exigences organisationnelles et techniques qui permettent, en France, de donner une valeur probante à un enregistrement numérique ont de facto une valeur internationale dans la mesure où elles se rapportent à des normes reconnues au plan international. On peut donc considérer que le socle technique mis en place dans le cadre d une analyse de droit français sera reconnu dans d autres systèmes de droits, dès lors que celui-ci repose sur la conformité à une norme reconnue au plan international. Ce que l on ne connaît pas en revanche sont les spécificités éventuelles des autres systèmes de droit pour un type de document donné. Reprenant l exemple de notre cahier de laboratoire, on pourrait imaginer que, dans certains pays, sa valeur probante fasse l objet d une législation spécifique qui détermine de façon précise les exigences techniques à remplir pour que le cahier de laboratoire soit recevable comme preuve en justice. Le laboratoire pharmaceutique qui souhaite mettre en œuvre une gestion numérisée de ses cahiers de laboratoire devra donc vérifier que le socle technique mis en place en France est suffisant pour assurer la valeur probante du cahier dans les principaux pays où un litige pourrait se produire. I.1.4. Le système d archivage à mettre en place est dimensionné par l analyse de risques Le risque doit être évalué au cas par cas pour chaque typologie d enregistrement numérique géré par le laboratoire. Reprenant l exemple du cahier de laboratoire, la grille d analyse de risque à mettre en place par un laboratoire français sera la suivante : 1. Quelle est l importance accordée par le laboratoire à la reconnaissance de la valeur probante de ses cahiers de laboratoire en France? Importance faible : gestion dans un système à faible niveau de service, donc à faible coût ; Importance forte (si par exemple la situation de concurrence est telle qu il est indispensable de pouvoir produire les cahiers de laboratoire lors d un litige) : gestion dans un système d archivage à fort niveau de service au regard des règles de droit de la preuve en France. 2. Quelle est l importance accordée par le laboratoire à la reconnaissance de la valeur probante des cahiers de laboratoire à l étranger? Importance faible : le système mis en place dans le cadre de l analyse effectuée au niveau français pourra être utilisé au niveau international sans effectuer de recherches complémentaires ; Importance forte (si par exemple le laboratoire envisage des conflits possibles à l étranger) : l étude des conditions posées à la valeur probante du cahier de laboratoire au regard du socle technique mis en place en France devra être réalisée dans chacun des pays identifiés comme stratégiques. Le choix du niveau de service du système d archivage mis en place, et donc son coût, est directement lié au risque encouru, au niveau français et/ou international, si l entreprise ne peut pas démontrer que l enregistrement numérique mis en cause a une valeur probante. I.2. Le domaine de la conformité L industrie pharmaceutique est une des industries les plus réglementées au monde. Cette réglementation est d origine et de nature diverse : Nationale : en France, ce seront les décrets ou les règlements et, de façon générale, tous les textes de nature réglementaire ; Européenne : les règlements européens d application directe en droit national ; Internationale : il s agit de réglementations sectorielles ou de normes internationales adoptées par l ensemble de la profession. I.2.1. Au niveau français Au niveau français, l Agence française de sécurité sanitaire des produits de santé (Afssaps) a pour mission de garantir la sécurité d emploi, la qualité et le bon usage des produits de santé. C est un établissement public de l'etat placé sous tutelle du ministère chargé de la santé. Les attributions de l Agence sont définies à l article L du Code de la Santé Publique. L Agence est notamment chargée de l application des lois et règlements relatifs à la fabrication des médicaments à usage humain et des produits mentionnés à l article L L Afssaps élabore des documents de référence à l intention des acteurs du secteur, au titre de l ordonnance n du 1 septembre 2005 relative aux établissements publics nationaux à caractère sanitaire qui octroie certaines compétences à l Afssaps, notamment en matière d élaboration des bonnes pratiques. C est dans ce cadre que l Afssaps a élaboré en 2007 un guide des bonnes pratiques de fabrication publié par Bulletin Officiel n 2007/1 bis qui prend en compte la réglementation communautaire applicable. 11

13 Ce guide comprend un chapitre 4 «documentation» qui aborde le sujet des enregistrements numériques : «Les données peuvent être enregistrées par des systèmes de traitement électronique, par photographie ou par d autres moyens fiables ; dans ce cas, les procédures détaillées du fonctionnement du système doivent être disponibles et l exactitude des enregistrements doit être vérifiée : le fabricant doit avoir validé le système adopté en prouvant que les données pourront être correctement conservées pendant la période envisagée. Si les documents sont traités par des systèmes informatisés, seules les personnes autorisées doivent pouvoir entrer ou modifier des données dans l ordinateur et les changements ou suppressions doivent être relevés, l accès doit être protégé par des mots de passe ou d autres moyens et la saisie des données critiques doit être vérifiée indépendamment. Les dossiers de lot conservés par un système informatisé doivent être protégés, contre toute perte ou altération de données, par un transfert sur bande magnétique, microfilm, papier ou tout autre système. Il est particulièrement important, pendant toute la durée d archivage, de pouvoir restituer les données dans un délai convenable et de façon lisible, et de les transmettre sur demande à l autorité compétente». Le guide comprend également un chapitre 5 dédié aux «systèmes informatisés». Il comprend des recommandations de nature organisationnelle et technique, relatives notamment à la documentation du système d information, au contrôle d accès, à la traçabilité des opérations, et à la stabilité des données. Au plan juridique, un guide de bonnes pratiques s assimile à un état de l art, ou à un usage, dès lors qu il est à jour. Le non respect d une bonne pratique ne donne pas lieu à une amende financière ou à une sanction pénale. Mais son respect est très important en terme d image et de positionnement du laboratoire en cas de litige ou d enquête. I.2.2. Au niveau international Au niveau international, le sujet de l archivage électronique dans l industrie pharmaceutique fait l objet d un double corpus de réglementations. a) Le premier est lié à l environnement normatif de l archivage numérique, tous secteurs confondus. Il existe de nombreuses normes dans le domaine de l archivage électronique, qui portent soit sur les aspects techniques, soit sur les aspects organisationnels de l archivage. A titre d exemple, parmi les normes les plus reconnues en France et en Europe figurent : norme ISO ou modèle OAIS (Open Archival Information System) de la Consultative Committee for Space Data System, organisation et fonctionnement d'un centre d'archivage de données ; norme ISO Records Management, stratégie globale pour la traçabilité de l'information et des responsabilités ; norme ISO PDF/A format de conservation des documents ; norme AFNOR NF Z Archivage électronique - Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes modèle européen MoReq (Model Requirements for the Management of Electronic Records) ; norme ISO Systèmes de gestion de la sécurité de l'information. Voir pour plus d information sur les normes le Guide pratique publié par FedISA en 2008, actualisé en 2009 : Comprendre et utiliser les normes dans le domaine de l'archivage numérique. Comme un guide de bonnes pratiques, la norme s assimile à un état de l art ou à un usage et son ignorance n est pas, en soi, sanctionnée. Mais le respect de la norme est important car en France, les tribunaux considèrent que l existence d une norme dans un domaine est représentative d un état de l art. En cas de litige sur la valeur probante d un document archivé électroniquement, celle-ci sera reconnue plus volontiers par les tribunaux si le système d archivage a été conçu dans le respect de normes reconnues. b) Le second est lié à la réglementation sectorielle spécifique à l industrie pharmaceutique, qui est largement internationalisée. Ces règles sont de natures diverses. Elles sont référencées de façon très complète dans l ouvrage intitulé «GAMP Good Practice Guide : Electronic Data archiving» édité en juillet 2007 par l ISPE (International Society for Pharmaceutical Engineering). S agissant plus particulièrement de la signature électronique et des «electronic records», la référence universellement adoptée par la profession est la réglementation «21 CFR part 11» élaborée par l US Food and Drug Administration (FDA). Les entreprises du secteur pharmaceutique qui ne respectent pas la réglementation 21 CFR part11 peuvent faire l objet de poursuites par la FDA. En dehors des Etats Unis, le non respect de certaines règles sectorielles par les acteurs de l industrie pharmaceutique peut également les exposer à des poursuites. L enjeu lié au respect des contraintes réglementaires en matière d archivage numérique par les entreprises du secteur pharmaceutique est donc double : 1 : Le respect des bonnes pratiques et des normes créera, en cas de litige, un a priori favorable pour ce qui concerne la valeur probante et/ou la fiabilité des documents électroniques mis en cause. 2 : Lorsque les réglementations sont impératives, leur non respect sera sanctionné de différentes manières selon le pays considéré (sanction financière ou pénale) et générera un important préjudice d image. 12

14 Le Cadre Fiche 3 Aspects juridiques Section II - Les critères juridiques de la valeur probante d un document en droit français II.1. La valeur probante des documents conservés II.1.1 L introduction dans notre système juridique de la définition de la preuve littérale Le droit de la preuve en France a été réformé en profondeur par la loi n du 13 mars 2000, portée aux articles 1316 et suivants du Code Civil. Aux termes de l article 1316 du Code civil : «La preuve littérale, ou preuve par écrit, résulte d une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d une signification intelligible, quels que soient leur support et leurs modalités de transmission». Désormais, la preuve n est plus liée au support autrefois considéré comme seul valable : le papier. Le fait que l information soit dissociée de son support ne prive pas l information numérique de valeur probante : le tout est qu elle reste intelligible. Mais la valeur probante est toujours une notion relative : le document est valable tant qu il n est pas remis en cause. S il est remis en cause, il faudra faire la démonstration de sa fiabilité. Là est toute la difficulté de la valeur probante du document numérique, qui aura subi de nombreuses transformations tout au long de son cycle de vie depuis sa naissance jusqu à sa restitution : transmission, transformation de format, stockage sur différents supports, risque d accès non contrôlé. II.1.2 Les critères juridiques de la valeur probante Ces critères figurent à l article du Code Civil, texte fondamental introduit par la loi du 13 mars 2000 : «L écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu il soit établi et conservé dans des conditions de nature à en garantir l intégrité». Il s infère de cet article que la qualité de la conservation de l écrit électronique est une condition de la validité de la preuve, mais la loi ne traite pas des modalités d archivage. Cela n est pas une lacune : la loi doit être indépendante de la technologie. La technologie est le domaine du règlement ou de la norme et c est là que les normes relatives à l archivage, dont nous avons parlé plus haut, prennent toute leur importance dans la construction d un système d archivage à «valeur probante». La loi ne donne pas non plus de définition de la notion d «intégrité», voir focus fiche 1. Nous rappelons ici la définition qui en est donnée par le Forum des Droits sur l Internet, largement reconnue par les experts du domaine. Selon cette définition l intégrité se rapporte à : la lisibilité ; la stabilité du contenu informationnel (c'est-à-dire sa fidélité par rapport au document d origine et la capacité de détecter toute modification des documents conservés) ; la traçabilité des opérations effectuées sur le document, c'est-à-dire la capacité d enregistrer toutes les opérations effectuées sur les documents stockés (auteur de l opération, date et heure de l opération). Le critère d identification se rapporte quant à lui à la notion d imputabilité : un document n est générateur de droits et d obligations que si l on sait qui est «responsable» de l exécution de ces obligations, ou qui peut se prévaloir de ces droits. Cela n implique pas nécessairement, dans le domaine professionnel, que le document soit signé : la plupart des documents générés par une entreprise ne sont pas signés, et en matière commerciale la preuve est libre. Mais on sait les imputer à l entreprise car ils sont émis sur un support caractéristique de celleci : papier en tête, apposition d un logo. L équivalent de cette imputabilité en matière dématérialisée est la capacité à montrer que le document a été généré sous la responsabilité et le contrôle de l entreprise. II.1.3 Les documents pour lesquels un écrit est requis ad validitatem Les documents ad validitatem sont ceux pour lesquels la loi ou la jurisprudence a posé le principe selon lequel, en l absence d écrit, l acte considéré est entaché de nullité. Ces documents peuvent être maintenant dématérialisés, mais sous réserve d être conformes aux articles à du Code Civil. En clair, et sous réserve d une confirmation de cette interprétation par la jurisprudence à venir, cela signifie qu ils doivent être signés électroniquement avec une signature électronique avancée au sens où l entend la Directive Signature Electronique [cf. Section I]. S agissant des documents générés lors du processus de développement et de fabrication d un médicament, cette règle du droit français interfère largement avec la réglementation 21 CFR Part 11, qui a justement pour objet de sécuriser et de fiabiliser les enregistrements numériques associés aux différents stades de la conception, de la mise au point et de la fabrication des médicaments. On peut se poser la question théorique de savoir si la signature requise par la réglementation 21 CFR Part 11 répond de façon complète aux exigences du droit français. Cette question a été débattue au sein de certains laboratoires pharmaceutiques français mais n a pas donné lieu à ce stade à des conclusions définitives. II.2. Rappel sur le déroulement d une contestation relative à la valeur probante d un enregistrement en France Notre système juridique, au travers de dispositions contenues tant dans le Code Civil que dans le Nouveau Code 13

15 de Procédure Civile, a laissé au juge un pouvoir d appréciation important quant à la validité de la preuve, notamment numérique, qui lui est soumise. Art Code Civil : «Lorsque la loi n a pas fixé d autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu en soit le support». Art 287 NCPC : «Si la dénégation ou le refus de connaissance porte sur un écrit ou une signature électroniques, le juge vérifie si les conditions, mises par les articles et du code civil à la validité de l écrit ou de la signature électronique sont satisfaites» Le juge devra donc, en particulier, vérifier que le document a conservé son intégrité, ou qu il est bien imputable à l entreprise dont il est censé émaner. En pratique, cette vérification passera par une analyse complète du cycle de vie du document. La qualité de la documentation du processus suivi par l enregistrement numérique, régulièrement remise à jour, revêt donc une importance fondamentale. Rappelons que la production de cette documentation peut être exigée par la partie qui conteste le document par voie judiciaire (injonction, mesure d instruction). L incapacité à produire dans des délais très brefs une documentation à jour aura un impact extrêmement négatif sur la fiabilité du processus mis en œuvre. Cette documentation prendra généralement la forme d une «politique d archivage», qui décrira notamment la gestion des extractions ou des exports d archive, la gestion des transferts d archive, le contrôle d intégrité des données, le contrôle de non altération des supports, la migration des supports, la migration cryptographique, la gestion de la destruction des archives. Elle devra être remise à jour périodiquement, et séquestrée lors de sa création et à chaque mise à jour pour lui donner date certaine. L élaboration de la politique d archivage rejoint et complète l exigence générale de documentation propre à l utilisation du système d information dans le secteur pharmaceutique, notamment exprimée par le guide Afssaps des bonnes pratiques de fabrication mentionné plus haut en I.2.1. II.3. Extension internationale Les exigences posées par le droit français pour pouvoir attribuer une valeur probante à un enregistrement numérique (imputabilité, intégrité) amènent, au travers de l application des normes organisationnelles et techniques, à la définition d un socle technique pour tout système d archivage. Des modalités techniques d implémentation de ce socle, et de son prix, dépendront la qualité et la fiabilité du système d archivage. Se pose la question de savoir si ce socle permettra de répondre aux exigences probatoires de tous les pays dans lesquels un laboratoire pharmaceutique risque de devoir faire face à un litige portant sur la valeur probante d un enregistrement numérique. La réponse précise à cette question ne peut être apportée que par une analyse au cas par cas, dans chaque pays concerné, de l existence d une exigence probatoire spécifique pour le type de document considéré, sur le fond ou en matière procédurale. En l absence d exigence spécifique, on peut affirmer que le respect par le système d archivage du socle technique issu de notre analyse en droit français permettra à tout le moins de prouver l intégrité et l imputabilité de l enregistrement considéré dès lors que le système respecte une norme reconnue au niveau international et, a fortiori, si il a été certifié par un organisme indépendant comme étant conforme à cette norme. Section III - La signature électronique : articulation des règles juridiques et sectorielles III.1. La signature électronique en droit français Avant la Loi du 13 mars 2000, aucun texte législatif ne définissait la notion de signature. Il était couramment acquis, par la jurisprudence et la doctrine, que celle-ci matérialisait l engagement que prenait le signataire de respecter les obligations à sa charge contenues dans l acte signé. La Loi du 13 mars 2000 a formalisé cette définition dans l article du Code Civil : «La signature nécessaire à la perfection d un acte juridique identifie celui qui l appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte». «Lorsqu elle est électronique, elle consiste en l usage d un procédé fiable d identification garantissant son lien avec l acte auquel elle s attache» Précisons un point important : ces dispositions légales ne sont pas une transposition de la Directive Signature Electronique. Elles sont indépendantes de tout choix technologique. C est le décret n du 30 mars 2001 qui a réalisé cette transposition, en adaptant en France la notion de «signature avancée», qui devient la «signature sécurisée» dès lors que le prestataire qui la fournit a été certifié dans les conditions définies par les textes. Les textes réglementaires font directement référence aux systèmes reposant sur les technologies cryptographiques à clés publiques (ou asymétriques, ou encore PKI), distribuées et garanties par des entités qui jouent un rôle de «tiers de confiance» dans le dispositif. Le tiers de confiance («Prestataire de Service de Certification Elec- 14

16 Le Cadre Fiche 3 Aspects juridiques tronique» ou «PSCE» dans les textes juridiques ) attribue à une personne dont il vérifie l identité les moyens qui vont lui permettre d apposer une signature électronique sur des enregistrements numériques : la personne signe le document au moyen d une «clé privée» qu elle est seule à détenir (par exemple logée sur une carte à puce), et le destinataire vérifie l intégrité du document et l identité du signataire au moyen d informations qui sont fournies et garanties par le tiers de confiance. En France, la ANSSI (Agence Nationale de la Sécurité des Systèmes d Information) a élaboré des documents qui font figure de référence, et notamment le RGS (référentiel général de sécurité) à l intérieur duquel on retrouve la PRIS (Politique de Référencement Intersectorielle de Sécurité), qui permet aux prestataires de définir leurs offres dans le cadre du développement de l administration électronique. III.2. Les déclinaisons pratiques de la signature électronique La signature électronique dans sa version très sécurisée décrite par la PRIS est pour l instant réservée à un petit nombre d applications de la sphère publique. La plupart des implémentations «commerciales» de la signature électronique se sont orientées vers des solutions plus simples à mettre en œuvre au regard notamment des modalités de distribution des outils de signature. S agissant de son utilisation par les laboratoires pharmaceutiques, il est important de garder à l esprit que : La signature électronique n est pas obligatoire pour qu un enregistrement ait une valeur probante. En France, c est le respect des deux conditions posées par l article du Code Civil qui fonde la valeur probante d un enregistrement numérique : imputabilité de l enregistrement et garantie de son intégrité ; La signature électronique au sens de la réglementation CFR 21 part 11 n est pas au niveau d exigence de la PRIS ; La signature électronique serait obligatoire pour les enregistrements pour lesquels un écrit serait requis ad validitatem [Cf. II.1.3], mais cette exigence est largement recouverte par les règles CFR 21 part 11 ; L archivage des documents signés électroniquement est un processus complexe. Il n est donc pas souhaitable de signer électroniquement les documents si cela ne découle pas d une obligation légale ou réglementaire. Section IV Les conventions de preuve : solution universelle? La convention de preuve est une commodité connue depuis longtemps au niveau international par les professionnels au travers de l EDI (échange de données informatiques). La convention de preuve permet, dans le cadre d une relation d affaire préétablie, de poser les critères de recevabilité d un enregistrement numérique par tous les acteurs adhérant à cette convention de preuve. La validité de la convention de preuve est maintenant reconnue de façon générale par le droit français, y compris visà-vis de non professionnels (Art Code Civil). La convention de preuve est très bien adaptée aux situations fermées, dans lesquels le nombre d acteurs est limité. On pourrait ainsi imaginer qu en France, les échanges dématérialisés entre les différents acteurs du secteur fassent l objet d une convention de preuve, voire d une convention de branche, sans qu il soit nécessaire de recourir à la signature électronique pour sécuriser les échanges. La seule limite de la convention de preuve est son caractère relatif. Totalement valable entre ses signataires, elle ne peut pas être opposée à un tiers. Il faut donc en relativiser la portée. En cas de litige avec un tiers portant sur le caractère probant d un document, il sera nécessaire de retracer le cycle de vie complet du document au travers de la politique d archivage qui reste, en tout état de cause, un élément indispensable de la construction de systèmes d archivages fiables et pérennes. Section V Comment l analyse juridique conduit à la détermination des niveaux de service du système d archivage L analyse juridique intervient à différents niveaux pour déterminer les niveaux de services que devra remplir un système d archivage pour une typologie de documents considérés. V.1 La détermination des fonctionnalités du socle technique d un système d archivage Le droit détermine les fonctionnalités de haut niveau que doit remplir un système d archivage pour que les enregistrements numériques aient une valeur probante (imputabilité, intégrité). Ces fonctionnalités de haut niveau sont ensuite déclinées au travers des textes normatifs pour déterminer un socle technique, qui sera plus ou moins fiable selon la prise de risque acceptable en matière de démonstration de la valeur probante d un document. V.2 La détermination du risque encouru si la valeur probante d un enregistrement numérique n est pas reconnue en cas de litige. A chaque type de document conservé par un laboratoire pharmaceutique est associé un risque spécifique si, lors d un litige, sa valeur probante n est pas reconnue. 15

17 Ce risque, qui découlera d une analyse juridique in concreto de l ordre de grandeur du montant de dommages intérêts en cas de condamnation du laboratoire, déterminera s il est nécessaire de procéder à une analyse internationale de la reconnaissance de la valeur probante dans les différents pays concernés, et déterminera le niveau de service (fort ou faible) du système d archivage associé. V.3 La détermination de l environnement réglementaire applicable Tous les enregistrements faisant l objet d une réglementation impérative à peine de sanction (comme CFR 21 part 11) devront être archivés conformément à cette réglementation. Ceux-ci sont déjà bien identifiés par les acteurs de l industrie pharmaceutique mais leur archivage doit maintenant être intégré dans une perspective plus globale de socle technique, incluant les exigences de reconnaissance probatoire. Section VI Archivage de données personnelles L archivage de documents contenant des données à caractère personnel doit faire l objet des formalités requises par la loi du 6 janvier 1978 (ou «Loi Informatique et Libertés»). A ce titre, l entreprise doit : soit effectuer de nouvelles formalités préalables relatives à la gestion de l archivage électronique ; soit modifier les formalités préalables qui avaient déjà été effectuées en vue d y introduire l archivage des données. En vertu de l article 32 de la Loi Informatique et Libertés, l entreprise doit notamment informer les personnes concernées par le traitement de son identité en tant que responsable du traitement, des finalités poursuivies par le traitement, et des destinataires des données, sous peine de sanctions pénales. En outre, l entreprise doit prévoir la possibilité de rectification des données archivées par la personne concernée. Cependant, ainsi qu il résulte de l article 39 II de la Loi Informatique et Libertés, dès lors que le traitement des archives se limite à assurer la conservation à long terme des documents, sans aucun risque d atteinte à la vie privée des personnes concernées, le responsable du traitement n est pas tenu de donner suite aux demandes d accès aux données archivées. Ainsi, le laboratoire doit être en mesure d assurer que les moyens d archivage employés sont de nature à exclure manifestement tout risque d atteinte à la vie privée des personnes concernées. En matière d archivage probatoire, c est la durée de prescription applicable au document qui va déterminer la durée de conservation. La loi du 17 juin 2008 a modifié les délais de prescription en matière civile. Le délai de droit commun de la prescription est désormais de 5 ans à compter du jour où le titulaire du droit a connu ou aurait dû connaître les faits lui permettant de l exercer. Au-delà de la durée de conservation légale, il convient de mettre en œuvre des procédures d anonymisation en particulier lorsque la finalité de l archivage est patrimoniale. L entreprise doit enfin prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des données (voir focus ci-après), conformément à l article 34 de la loi de 1978, sous peine d engager sa responsabilité pénale. La Commission nationale de l informatique et des libertés (Cnil) précise que les principes visés ci-dessus s appliquent aux trois catégories d archives précitées : courantes, intermédiaires et définitives (Délibération n du 11 octobre 2005). La Cnil recommande à ce titre que : s agissant des archives intermédiaires, l accès à cellesci soit limité à un service spécifique et qu il soit procédé a minima à un isolement des données archivées au moyen d une séparation logique (gestion des droits d accès et des habilitations) ; s agissant des archives définitives, celles-ci soient conservées sur un support indépendant, non accessible par les systèmes de production, n autorisant qu un accès distinct, ponctuel et précisément motivé auprès d un service spécifique seul habilité à consulter ce type d archives ; afin de garantir l intégrité des données archivées, soient mis en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ; soient mis en œuvre des dispositifs de traçabilité des consultations des données archivées ; soient utilisées des procédures d anonymisation. Par ailleurs, l entreprise doit conserver les données à caractère personnel archivées sous une forme permettant l identification des personnes concernées pour une durée n excédant pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (article 6-5 de la loi de 1978) sous peine de sanctions pénales. 16

18 Le Cadre Fiche 3 Aspects juridiques A propos de la confidentialité En matière de sécurité la confidentialité est une caractéristique très importante abordée également au niveau du contrôle d accès. En fait la confidentialité revêt à la fois la notion de secret et de diffusion restreinte à un petit nombre de personnes. La confidentialité représente une propriété qui assure que dans les conditions normalement prévues, seuls les utilisateurs autorisés (ou habilités) ont accès aux informations concernées. La principale limite de la confidentialité tient au fait qu une personne ne peut être tenue pour responsable d'aucune divulgation si les éléments révélés étaient déjà dans le domaine public ou si elle en avait déjà connaissance ou pouvait les obtenir de tiers par des moyens légitimes. Les informations confidentielles sont évidemment importantes : confidentialité médicale (personne atteinte du VIH etc.), confidentialité du code de carte bancaire, mot de passe personnel pour le contrôle d accès physique et (ou) logique dans l entreprise, etc. Comme évoqué précédemment la confidentialité intervient également au niveau du contrôle d accès. Il peut être ainsi judicieux d anticiper la situation où des personnes non autorisées parviendraient néanmoins à accéder au système d information. Dans ce dernier cas la confidentialité des données peut cependant être préservée grâce à la mise en œuvre d un système de chiffrement. La caractéristique principale d un tel système est de rendre les données illisibles par toute personne ne possédant pas la clé pour les déchiffrer. Cependant la connaissance et l accès à cette clé peuvent poser beaucoup de difficultés, surtout au bout de nombreuses années. En synthèse, il existe trois principaux moyens pour assurer la confidentialité : La mise en place d un système de contrôle d accès ; Le chiffrement des données ; L externalisation des données. De part les engagements et les responsabilités prises par l hébergeur, une solution externe doit permettre d éviter tout problème de confidentialité en interne dans l entreprise. Rappelons à ce sujet que près des 2/3 des délits informatiques ont des origines internes. Pour un maximum de sécurité on pourra avoir recours à une externalisation de données chiffrées. 17

19 Le Cadre Fiche 4 Contraintes techniques Contexte Les objectifs auxquels doit répondre l archivage sont multiples. Ces objectifs ne pourront être atteints qu avec le respect d un ensemble de mesures dont une grande partie repose sur des aspects purement techniques. Il en est ainsi de l intégrité, de la sécurité et de la pérennité des données pour lesquelles il faudra savoir gérer et anticiper le principe de l obsolescence technologique récurrente tout en facilitant leur accès. En parallèle, il est indispensable de pouvoir prouver les garanties apportées à un inspecteur d une agence réglementaire ou à une instance juridique. Une des difficultés réside dans le fait que les textes réglementaires n abordent pas les moyens à mettre en œuvre pour rester valable dans un contexte d obsolescence rapide des technologies et ne pas favoriser de solution technique. De ce fait les solutions sont plus ouvertes mais leur conception et leur intégration technique est également plus difficile à évaluer et à qualifier par l acquéreur du système d archivage. Les différentes contraintes peuvent se résumer ainsi : retenir un format logique de document par rapport à différents types (traitement de texte, bureautique, données brutes, image, ) en fonction de divers critères de choix (pérennité, conversion, coût) ; choisir un format physique ou type de support (magnétique ou optique) selon différents critères (pérennité, conversion, coût) ; analyser les possibilités de migrations tant du point de vue des formats logiques que des supports physiques ; prendre en compte certaines spécificités comme celles liées à la signature électronique et s assurer de pouvoir la vérifier ou apporter la preuve de cette vérification au besoin ; avoir en permanence à l esprit les aspects de performance. Les contraintes technologiques sont d autant plus importantes qu une fois en place, un système d archivage inefficace aura beaucoup de mal à être corrigé compte tenu du volume d information à traiter. Enjeux Le fait de savoir répondre aux contraintes techniques posées par l archivage électronique est déterminant afin d obtenir un système efficace permettant de disposer de la bonne information au moment opportun. Les enjeux à prendre en considération se retrouvent à différents niveaux : technique, si par exemple le système d accès n a pas été suffisamment bien étudié tant en termes de définition des index que des outils mis en place, l information archivée se retrouvera ainsi pratiquement inexploitable car difficilement accessible. Cette difficulté d accès pourra se situer au niveau de la recherche proprement dite ainsi qu au niveau des temps de réponse beaucoup trop longs ; juridique, que faire si le format logique ou physique utilisé pour conserver l information a été mal choisi et qu il ne permet pas l intelligibilité de l information lorsqu on en a besoin ou ne peut garantir son intégrité? réglementaire, un bon ciblage des exigences réglementaires et du périmètre à considérer peut minimiser l effort nécessaire pour valider le système et le maintenir dans un état conforme. Les exigences pharmaceutiques traitent particulièrement de la conservation et de l intégrité des données des dossiers à présenter, ce qui rejoint certaines des raisons d être de l archivage. En outre face aux exigences de la CNIL et compte tenu des moyens d accès mis en place il faudra bien mesurer le respect de la confidentialité des données concernées ; sécuritaire, au-delà de la simple réglementation il est évident que les informations archivées ne devront être accessibles que sous certaines conditions pour tout ou partie en fonction des personnes qui interrogent et surtout elles devront être bien protégées grâce à un système de sauvegarde adapté ou tout autre système de redondance de l information ; financier, du fait de l obsolescence d un système d archivage comment effectuer la migration rapide de volumes importants de données à moindre coût et surtout dans des délais raisonnables et sans perturber le fonctionnement au quotidien? Face à ces enjeux, la prise en compte des différentes contraintes techniques doit ainsi contribuer à la mise en place d un système d archivage efficace répondant aux attentes et, entre autres, à celle de pouvoir augmenter sans pour autant remettre en cause l existant, grâce à une bonne anticipation des besoins et le choix d un système aussi évolutif que possible. A propos de l identification authentification Authentifier une personne procède d une démarche élaborée consistant à certifier le lien entre la personne et son identification. Il est important de pouvoir protéger l information en identifiant aussi parfaitement que possible les personnes y ayant accès afin entre autres de respecter la confidentialité des données. Identifier quelqu un consiste à établir l identité de la personne c est-à-dire son caractère permanent et fondamental tandis qu authentifier revient à certifier l exactitude de son identité. L article 4.e du Règlement CE n 460/2004 du Parlement européen et du conseil du 10 mars 2004 définit l authentification comme «la confirmation de l'identité prétendue d'entités ou d'utilisateurs». La dualité de ces deux notions d identification et d authentification est chose importante en matière de contrôle d accès afin d authentifier la personne après l avoir identifié. 18

20 Le Cadre Fiche 4 Contraintes techniques Cela touche le système d information mais aussi le contrôle d accès physique à tel ou tel bâtiment. Au sujet du terme authentification En réalité, le terme authentification ne s applique qu aux objets et l on parle régulièrement, par exemple, d authentifier une œuvre d art. Ainsi, l usage de ce terme en informatique est souvent employé à tort pour signifier «identification». L origine de cette erreur provient d un anglicisme lié au terme anglais authentication, faux ami qui veut dire à la fois «identification» et «authentification». Mais en français, seul le terme «identification» convient pour déterminer si un objet ou une entité est bien untel ; il s agit d une certaine façon d un véritable contrôle d identité. À l inverse, l «authentification» sert à déterminer si un objet, et non plus une personne, a les caractéristiques prétendues. Le principe est en général d identifier la personne grâce à un système d identifiant (login) assorti d un mot de passe. Malheureusement rien n indique de façon certaine qu il s agit bien de la bonne personne. En effet même si l identifiant et le mot de passe sont corrects, il se peut très bien que l utilisateur qui se connecte les ait dérobés à leur propriétaire. Afin de pallier cet inconvénient majeur en terme de sécurité, on aura en général recours à ce que l on a coutume d appeler un système d «authentification forte» consistant à vérifier avec quasi certitude que la personne qui s identifie est bien celle qu elle prétend être. Nous reprenons ci-après les sept systèmes d identification/authentification les plus utilisés, à savoir : 1. Identifiant (login) et mot de passe (password) : dispositif le plus courant mais très peu sûr. 2. Identifiant et OTP (One-Time Password) : L utilisateur dispose d un token ou «calculateur» qui lui fournit un mot de passe (à usage unique et à durée limitée) au moment où il se connecte. Pour pouvoir utiliser son calculateur, il doit tout d abord y introduire un mot de passe. 3. Le certificat électronique sur carte à puce ou clé USB : L utilisateur dispose d un certificat électronique stocké sur son support et activé grâce à un code PIN. Cette solution nécessite l existence d une infrastructure PKI afin de pouvoir délivrer et suivre la vie des certificats. 4. La clé «Confidentiel Défense» : Il s agit en fait d une déclinaison particulière du cas précédent. En général le support est multifonctions et permet ainsi le stockage de certificat X509, de données, de ressource cryptographique (pour le chiffrement à la volée du disque dur et des flux applicatifs). Afin de contrer les risques des «key loggers» (enregistrement des touches frappées à l insu de l utilisateur), le code PIN doit être composé directement sur la clé sans passer par le clavier (exemple du dispositif utilisé par la Gendarmerie Nationale où la souris fait office de lecteur de carte et dispose d un clavier numérique pour frapper le code PIN). 5. La carte à puce avec identifiant et mot de passe : Ce système correspond à une version allégée de la troisième solution dans la mesure où elle ne nécessite pas d infrastructure PKI. L authentification de l utilisateur est faite directement à partir de l annuaire d entreprise (par exemple en s appuyant sur le protocole LDAP (Lightweight Directory Access Protocol). 6. Les solutions biométriques qui utilisent des lecteurs biométriques (iris de l œil, index, configuration de la face, contour de la main, etc.) pour contrôler les accès. Cependant le critère choisi est plus ou moins facile à mettre en œuvre et présente une force variable. De fait la configuration de l index avec ses points de contrôle reste encore aujourd hui le mécanisme biométrique le plus abouti. La police scientifique de la fin du XIXème siècle avait fait le bon choix avant que des lecteurs électroniques du doigt ne soient mis au point, cent ans plus tard! Trois possibilités sont offertes afin de conserver les données à comparer au moment de la lecture biométrique, à savoir : au niveau du poste de travail, au niveau d une carte cryptographique ou au niveau d un serveur (se pose alors le problème légal du stockage de données biométriques centralisées en un seul endroit). 7. Le RFID (Radio Frequency Identification) actif : Cette technologie permet d identifier l utilisateur sans contact physique, à quelques mètres de distance. Le badge de l utilisateur possède une alimentation propre qui lui permet de dialoguer avec une antenne connectée au poste de travail. Ce dernier détecte alors l arrivé ou le départ d un utilisateur sans aucune autre action particulière de sa part si ce n est d indiquer son mot de passe, au moins une fois. En résumé, l authentification d une personne est basée sur l un au moins des trois critères suivants : Ce que sait la personne, par exemple un mot de passe ; Ce que possède la personne, un token ou un certificat électronique ; Ce qu est la personne, aspect biométrique. Recommandations Devant l ensemble de ces contraintes nous donnons cidessous un certain nombre de recommandations qu il nous parait primordial de respecter. Choix du format logique Sans entrer dans le détail des différents formats disponibles, nous recommandons d utiliser un format aussi ouvert que possible qui permette l intelligibilité, soit en lecture directe (exemple du TXT, CSV), soit par utilisation d un interpréteur relativement standard (cas du PDF). Concernant ce dernier il fait aujourd hui l objet d une norme (ISO 19005) dans sa version PDF/A (A pour archive) que l on aura tendance à privilégier sachant toutefois qu elle est extrêmement gourmande en espace de stockage. On aura par contre soin d éliminer tous types de formats propriétaires issus de traitements ou de logiciels dont la pérennité ne peut être assurée. 19