Validation des systèmes informatisés dans les essais cliniques

Rédigé par
Florentin Ory
Publié le
17/7/26

Les essais cliniques reposent aujourd’hui sur une chaîne d’outils numériques : EDC et eCRF, ePRO et eCOA, eConsent, IWRS, RTSM, CTMS, eTMF, reporting, exports ou systèmes d’analyse.

Ces outils facilitent la conduite des études, mais ils concentrent aussi une partie critique de la preuve clinique. La question n’est donc pas seulement de les utiliser. Il faut pouvoir démontrer qu’ils fonctionnent comme prévu, qu’ils sont maîtrisés dans le temps et qu’ils préservent l’intégrité des données.

C’est le rôle de la validation des systèmes informatisés, souvent appelée CSV pour Computerized System Validation. Elle documente qu’un système est adapté à son usage prévu, correctement configuré, testé et maintenu dans un état validé.

Quels systèmes doivent être validés ?

Un système informatisé désigne tout outil numérique utilisé pour collecter, gérer, traiter, analyser, transmettre ou archiver des données cliniques.

Le périmètre peut couvrir plusieurs briques d’un essai moderne :

  • EDC et eCRF pour la collecte des données de l’étude ;
  • ePRO et eCOA pour les résultats cliniques électroniques, dont les données rapportées par les participants ;
  • eConsent pour le recueil et la traçabilité du consentement ;
  • IWRS ou RTSM pour la randomisation et la gestion des traitements ;
  • CTMS pour le pilotage opérationnel de l’étude ;
  • eTMF pour la documentation essentielle ;
  • outils de monitoring, reporting, export ou analyse de données.

Dès qu’un système intervient dans le cycle de vie des données cliniques ou dans un processus critique de l’étude, la question de sa validation se pose. Le niveau d’effort dépend ensuite du risque associé au système, aux données traitées et à l’usage prévu.

Pourquoi valider un système informatisé ?

La validation vise à démontrer qu’un système fonctionne conformément à son usage prévu. Ce n’est pas un exercice documentaire isolé. C’est une façon de prouver que les données produites ou gérées par le système peuvent être considérées comme fiables, traçables et exploitables.

Une validation bien menée permet de maîtriser la fiabilité des données, l’intégrité des enregistrements électroniques, la traçabilité des actions, la sécurité des accès, la confidentialité des informations, les changements de configuration, les exports et l’archivage.

Elle rend aussi la documentation disponible et exploitable en cas d’audit ou d’inspection. C’est un point clé pour les promoteurs, les CRO et les sites, car la validation ne se limite pas au lancement du système. Elle doit rester défendable tout au long du cycle de vie de l’étude.

Un système qui gère des données critiques, des consentements, des randomisations ou des critères d’évaluation ne doit pas seulement être fonctionnel. Il doit être maîtrisé dans le contexte réel de l’étude.

Datacapt

Ensemble, façonnons l'avenir des essais cliniques !

ALCOA+ : le fil conducteur de l’intégrité des données

L’intégrité des données cliniques repose sur les principes ALCOA+. Ils permettent d’évaluer si une donnée est compréhensible, fiable, traçable et exploitable tout au long de son cycle de vie.

Principes ALCOA+
Principe Signification
Attributable La donnée peut être reliée à son auteur ou à son origine.
Legible La donnée est lisible et compréhensible.
Contemporaneous La donnée est enregistrée au moment de l'action.
Original La donnée source ou son équivalent maîtrisé est préservé.
Accurate La donnée est exacte et fidèle à ce qui a été observé.
Complete La donnée est complète.
Consistent La donnée reste cohérente dans le temps et entre systèmes.
Enduring La donnée reste disponible durablement.
Available La donnée est accessible en cas de besoin, notamment en audit ou inspection.

Dans un environnement numérique, ces principes se traduisent par des exigences concrètes : comptes utilisateurs individuels, journal d’audit, horodatage, contrôle des accès, gestion des versions, sauvegardes, exports lisibles et documentation des changements.

Quels référentiels encadrent la validation ?

La validation des systèmes informatisés s’inscrit dans plusieurs cadres réglementaires et méthodologiques. Leur application dépend du type d’étude, des pays concernés, des données collectées et de l’usage réglementaire prévu.

ICH E6(R3), GCP et approche proportionnée au risque

Les bonnes pratiques cliniques imposent une maîtrise des systèmes, des données, des accès et de la documentation associée. ICH E6(R3) renforce cette logique avec une approche qualité par conception, proportionnée au risque.

L’idée est simple : l’effort de validation doit être adapté à la criticité du système. Un outil qui impacte la sécurité des participants, l’intégrité des critères principaux ou la fiabilité des résultats attend un niveau de contrôle plus élevé qu’un outil annexe de reporting interne.

Des référentiels comme GAMP 5 peuvent aider à structurer cette approche, notamment pour calibrer l’effort de validation selon l’usage prévu, le niveau de risque et la complexité du système.

La guideline européenne sur les systèmes informatisés

Adoptée en 2023, la guideline européenne Guideline on computerised systems and electronic data in clinical trials précise les attentes relatives aux systèmes informatisés et aux données électroniques dans les essais cliniques.

Elle couvre notamment la validation, le cycle de vie du système, la gestion des utilisateurs, les rôles et permissions, le journal d’audit, la sécurité, les sauvegardes, la restauration, l’archivage, la gestion des changements et la disponibilité de la documentation en inspection.

Ses principes sont particulièrement structurants pour les essais de médicaments. Ils restent aussi utiles comme référence pour cadrer les systèmes informatisés dans d’autres contextes cliniques, selon les exigences applicables.

Un point mérite d’être souligné : le recours à un fournisseur ou à une solution cloud ne transfère pas la responsabilité du promoteur. Le sponsor doit rester capable de démontrer que le système est adapté à l’usage prévu de l’étude et que les données restent maîtrisées.

Le 21 CFR Part 11 côté FDA

Aux États-Unis, le 21 CFR Part 11 s’applique aux enregistrements électroniques et signatures électroniques utilisés pour répondre à des exigences FDA applicables. Il devient donc central pour les essais soumis à la FDA ou susceptibles d’alimenter un dossier réglementaire américain.

Le texte encadre notamment la validation du système, les contrôles d’accès, le journal d’audit, la protection des enregistrements électroniques, les copies exploitables des données et le lien entre signature électronique et enregistrement signé.

La FDA a aussi finalisé en 2024 une guidance dédiée aux systèmes électroniques, enregistrements électroniques et signatures électroniques dans les investigations cliniques. Elle précise ses attentes sur la fiabilité, l’intégrité et l’équivalence des enregistrements électroniques avec les documents papier lorsque les exigences applicables sont respectées.

Une convergence entre Europe et FDA

Les textes européens et américains ne sont pas identiques, mais ils reposent sur des logiques proches : usage prévu, approche basée sur les risques, intégrité des données, traçabilité, sécurité des accès et maîtrise du cycle de vie du système.

Pour un essai international, il est donc préférable de concevoir l’environnement numérique de manière cohérente dès le départ, plutôt que de traiter chaque référentiel de façon isolée.

Comment valider un système informatisé ?

Une démarche de validation suit généralement une logique progressive. Elle doit rester proportionnée au risque, mais certains blocs reviennent presque toujours.

Les grandes étapes consistent à :

  • définir l’usage prévu du système ;
  • identifier les exigences utilisateurs, ou URS ;
  • réaliser une analyse de risques ;
  • évaluer et qualifier le fournisseur ;
  • définir le plan de validation ;
  • tester le système et sa configuration ;
  • documenter les résultats ;
  • gérer les anomalies ;
  • approuver le rapport de validation ;
  • maîtriser les changements ;
  • maintenir l’état validé dans le temps.

Trois notions reviennent souvent dans ce processus :

Qualification IQ OQ PQ
Étape Objectif
IQ
Installation Qualification
Vérifier que le système est correctement installé ou mis à disposition.
OQ
Operational Qualification
Vérifier que les fonctionnalités clés fonctionnent comme prévu.
PQ
Performance Qualification
Vérifier que le système répond à l'usage prévu dans les conditions réelles d'utilisation.

Dans un environnement SaaS, une partie de la documentation peut être fournie par le prestataire. Cela ne suffit pas toujours à couvrir l’usage spécifique de l’étude. La configuration propre au protocole, aux rôles, aux workflows, aux formulaires et aux données attendues doit aussi être maîtrisée.

Sponsor, CRO, fournisseur : qui est responsable ?

L’utilisation d’un fournisseur SaaS ne transfère pas l’intégralité de la responsabilité au prestataire.

Le fournisseur peut proposer une plateforme validée, des procédures qualité, une documentation technique, des rapports de tests, une gestion contrôlée des versions et un support aux audits. Mais le promoteur reste responsable de démontrer que le système est adapté à l’usage prévu de son étude.

La répartition des responsabilités doit être claire entre sponsor, CRO et fournisseur. Elle doit être documentée dans les contrats, les procédures, les plans de validation et les plans de supervision fournisseur.

En pratique, cette supervision doit couvrir les responsabilités de chaque partie, les livrables de validation disponibles, la configuration spécifique de l’étude, les accès utilisateurs, la formation, la gestion des changements et les modalités d’export ou d’archivage.

Le maintien de l’état validé est aussi important que la validation initiale. Une mise à jour, un changement de configuration ou l’ajout d’un module peut modifier le niveau de risque et nécessiter une évaluation documentée.

Les erreurs les plus fréquentes

Certaines erreurs reviennent souvent dans les projets de validation.

La première consiste à considérer qu’un outil SaaS est automatiquement couvert parce qu’il est commercialisé pour les essais cliniques. La deuxième consiste à confondre la documentation fournisseur avec la validation de l’usage réel par le sponsor.

D’autres erreurs sont plus opérationnelles :

  • utiliser des comptes partagés au lieu de comptes individuels ;
  • ne pas documenter les tests réalisés ;
  • négliger la configuration spécifique de l’étude ;
  • ne pas contrôler rigoureusement les droits d’accès ;
  • ne pas revoir le journal d’audit lorsque cela est nécessaire ;
  • ne pas anticiper les exports ou l’archivage ;
  • ne pas maîtriser les prestataires cloud impliqués ;
  • ne pas évaluer l’impact des mises à jour ;
  • maintenir des procédures déconnectées de l’usage réel du système.

Ces écarts ne sont pas toujours visibles au lancement. Ils apparaissent souvent au moment d’un audit, d’une inspection, d’un gel de base ou d’un export final.

Ce qu’une plateforme eClinical doit faciliter

Une plateforme eClinical pensée pour les essais cliniques doit faciliter les fondamentaux : comptes utilisateurs individuels, rôles et permissions, journal d’audit, gestion des versions, exports exploitables, documentation qualité, archivage et gestion contrôlée des changements.

Lorsque le contexte l’exige, elle doit aussi permettre de gérer les signatures électroniques dans un cadre maîtrisé.

L’intérêt n’est pas de promettre qu’un outil rend l’étude “conforme” à lui seul. L’enjeu est de fournir un environnement sécurisé, validé, traçable et documenté, qui aide les sponsors et CRO à démontrer la maîtrise de leurs systèmes selon l’usage prévu.

La validation des systèmes informatisés est une condition structurante des essais cliniques digitalisés. Elle permet de démontrer que les outils utilisés sont adaptés à leur usage prévu, maîtrisés dans le temps et capables de préserver l’intégrité des données.

L’enjeu n’est pas seulement technique. Il concerne la qualité des données, la protection des participants, la responsabilité du promoteur et la capacité à répondre à un audit ou une inspection.

Une bonne démarche de validation repose sur une approche proportionnée au risque, une documentation claire, une supervision fournisseur maîtrisée et un maintien continu de l’état validé.

Florentin Ory
PDG et cofondateur

Florentin associe le savoir-faire de la recherche clinique à une véritable passion pour la conception de produits. Soucieux du détail et obsédé par l'expérience utilisateur, il veille à ce que Datacapt reste une plateforme performante, intuitive et accessible à tous les utilisateurs.

Blog & News Datacapt

Les derniers articles, guide et tutoriels.