La loi sur la chaîne d'approvisionnement et la sécurité des médicaments (DSCSA) contient un trio de mots à la mode qui décrivent parfaitement la manière dont la conformité doit être assurée : sécurisée, électronique et interopérable. Les deux premiers mots semblent être des normes assez évidentes et faciles à respecter. Notre monde est électronique et, bien que rien ne soit jamais parfait à 100 %, la sécurité a toujours été une préoccupation majeure dans nos vies numériques. L'interopérabilité, en revanche, est celle qui préoccupe de nombreux acteurs de l'industrie pharmaceutique. Et si l'attention s'est surtout portée sur la capacité des partenaires commerciaux de la chaîne d'approvisionnement à communiquer entre eux - en toute sécurité et par voie électronique, bien entendu -, il est une pièce du puzzle qui a été largement ignorée : la qualité des données.
L'objectif de la DSCSA étant de rendre la distribution pharmaceutique plus sûre et plus traçable, chaque entité de la chaîne d'approvisionnement sera responsable de la génération, de la réception, du stockage et du partage d'un grand nombre d'informations. Avant la date butoir de 2023 pour la mise en conformité, ces entités doivent s'assurer qu'elles sont à la hauteur des éléments techniques. La question de savoir si leurs systèmes et logiciels actuels peuvent répondre aux exigences est devenue une préoccupation majeure. Ensuite, il s'agit de savoir si leurs partenaires commerciaux sont également prêts et capables de poursuivre leurs activités dans le cadre de ce nouveau paradigme. Toutefois, cette préoccupation concernant la conformité du backend ne doit pas se faire au détriment de la validation de toutes les données de base dont elles disposent déjà.
Ce que nous voulons dire lorsque nous parlons de données pharmaceutiques
Pour les entreprises concernées par la loi DSCSA, le type de données à prendre en compte est, en fait, presque tout. Il ne s'agit pas seulement de s'inquiéter des numéros de série au niveau du lot ou de l'unité, qui sont cruciaux pour les exigences de traçabilité, ou de connaître l'expiration des licences de vos partenaires. Tout doit être propre et précis. Les coordonnées de vos clients et de vos fournisseurs sont importantes. Il en va de même pour les codes des produits, les informations financières, les registres des ventes et des achats, les stocks... et la liste est encore longue. Chaque octet d'information que vous stockez et qui est pertinent pour votre entreprise - ce qui devrait être chaque octet d'information que vous stockez - doit être traité comme une information vitale.
Il en résulte que toutes ces données doivent être accessibles, organisées et exactes. Et chaque tentative d'utilisation des données - qu'il s'agisse de saisir de nouvelles informations, de rappeler ou de modifier d'anciennes informations, ou d'enregistrer des transactions - doit pouvoir faire l'objet d'un audit et d'un rapport. Le problème est que, pendant que tout le monde se concentre sur l'avenir et s'assure que son infrastructure est à la hauteur des exigences de la DSCSA, une grande partie de ces données existe en dehors des systèmes centraux de l'entreprise et n'est pas traitée avec le même niveau d'attention qu'elle devrait l'être. Les données existent dans des feuilles de calcul, des courriels et des documents Word, dans des canaux de communication tels que le chat Teams, ou sont stockées dans des disques partagés dans le nuage. Pendant ce temps, les processus de validation et/ou de sauvegarde des données sont sujets à l'erreur humaine : par exemple, quelqu'un transpose deux caractères dans un numéro de série, ou stocke des données critiques ou actives sur un disque partagé de faible priorité alors que des instantanés horaires sont nécessaires.
Ce ne sont là que quelques exemples de la manière dont les choses peuvent déraper, et même si chacun de ces problèmes potentiels pouvait être résolu à 100 %, il n'en reste pas moins qu'il faut consacrer du temps et de l'argent à des tâches essentielles à la mission pour que la réparation ait lieu. Mais ce n'est pas tout. En raison des exigences d'interopérabilité de la DSCSA, les données inexactes n'affectent pas seulement vos propres opérations internes. Vos partenaires commerciaux comptent sur vous pour leur fournir des données cohérentes et précises, et une erreur humaine de votre côté pourrait se propager à plusieurs autres étapes de la chaîne d'approvisionnement.
Se préparer à la réussite
À un peu moins de deux ans de l'échéance finale de mise en conformité avec la DSCSA, le moment est venu d'examiner toutes vos données et de commencer à élaborer des stratégies pour les maintenir en ordre. Tout ce que vous avez mis en œuvre, ou que vous mettrez en œuvre, pour atteindre l'objectif de conformité ne doit pas exister en vase clos. Lorsque vous investissez dans une nouvelle technologie, gardez à l'esprit vos données et processus existants et demandez-vous comment ils peuvent faire partie d'une solution plus singulière. Dans votre course vers la ligne d'arrivée de la DSCSA, gardez ces conseils à l'esprit :
- Consolider autant que possible sur une plateforme unique.
Pour la plupart des entreprises, c'est sur une plateforme de planification des ressources de l'entreprise, ou ERP, que se fait l'essentiel de l'informatique critique. C'est particulièrement vrai pour toute entreprise faisant partie d'une chaîne d'approvisionnement, et les ERP ont été au centre des préoccupations des entreprises pharmaceutiques qui tentent de se mettre en conformité. Ce logiciel est l'épine dorsale des opérations, et il est donc logique d'intégrer autant de données que possible dans le système. Il fut un temps où une telle consolidation était considérée comme dangereuse, où une telle configuration n'était rien d'autre qu'un point de défaillance unique. Dans les environnements informatiques modernes d'aujourd'hui, avec des serveurs virtuels accessibles dans le nuage et une large gamme d'options de sauvegarde, ces inquiétudes sont dépassées. Aujourd'hui, la consolidation des données sur votre logiciel ERP est davantage un point de vérité unique. - Pour qu'un point de vérité unique soit à la hauteur de son nom, les capacités d'audit et d'établissement de rapports sont indispensables.
Des erreurs se produisent. Il est évident que les gens se trompent de temps en temps, et cela ne devrait pas être la fin du monde. Un bon logiciel laissera des miettes de pain numériques au fur et à mesure que des actions sont entreprises, laissant une piste d'audit qui permet d'identifier rapidement et précisément comment, quand et par qui des données ont été saisies ou modifiées par erreur. - Prévenez les erreurs avant qu'elles ne se produisent en contrôlant l'accès aux données en fonction des rôles et des responsabilités de chacun.
Veillez à ce que tout système dans lequel vous investissez soit doté de fonctions solides permettant de définir les rôles des utilisateurs et les données auxquelles ils ont accès. Exemple : l'équipe financière n'a pas besoin des mêmes informations que l'équipe de l'entrepôt ; il n'y a aucune raison qu'elle ait accès à des données telles que les inventaires de stocks et les listes de prélèvement. Ils ne peuvent pas modifier par erreur des données auxquelles ils n'ont pas accès. - Pour toute donnée ou tâche qui ne peut être traitée par un ERP, assurez-vous que le système que vous utilisez peut s'y intégrer.
Bien que l'objectif soit la consolidation, il n'est pas réaliste de penser que vous pourrez répondre à tous vos besoins informatiques à l'aide d'une seule plateforme. Dans ce cas, l'interopérabilité interne devient cruciale. Lorsque vous étudiez de nouvelles solutions potentielles pour répondre à vos besoins technologiques, vous devez vous assurer que les développeurs proposent des intégrations prêtes à l'emploi avec vos autres plateformes ou, au moins, que le logiciel dispose d'une interface de programmation d'applications (API) ouverte pour faciliter une intégration personnalisée. - Les politiques de conservation des données ne doivent pas se limiter à ce qui est stocké sur un disque dur.
Que cela nous plaise ou non, nous utilisons encore le papier à un degré étonnant, tandis que les documents électroniques qui existent en dehors des logiciels compatibles avec l'EDI et l'EPCIS sont toujours la norme. Les réglementations en matière de conservation ne s'appliquent pas seulement aux éléments d'information discrets trouvés dans vos systèmes ERP et autres, même si les données ont été importées à partir de ces documents de la vieille école. Tous ces documents, ainsi que les courriers électroniques, doivent être sauvegardés conformément aux dispositions des règlements qui régissent leur conservation, et doivent être pris en compte lorsque vous définissez vos processus de mise en conformité. - L'accès aux données et leur protection sont des éléments essentiels de votre stratégie globale.
Comme indiqué dans le premier conseil, la plupart des logiciels d'entreprise sont hébergés dans le nuage, dans une couche informatique virtuelle qui, de par sa conception, offre une disponibilité des systèmes et une protection des données à des années-lumière de ce qui était réaliste il y a encore cinq ans. Cela ne signifie pas que vous pouvez vous reposer sur vos lauriers et supposer que les développeurs de logiciels ou les hébergeurs de serveurs visent le même niveau que celui dont vous aurez besoin. Les données doivent être accessibles de n'importe où, en toute sécurité, à tout moment de la journée. Entre-temps, les sauvegardes de données doivent être planifiées comme si toutes ces données cruciales pouvaient soudainement disparaître sans préavis et que vous n'ayez rien perdu.
Bien que tous ces conseils soient, en général, des pratiques exemplaires en matière d'informatique et ne soient pas nécessairement spécifiques à l'industrie pharmaceutique, cela ne signifie pas qu'ils sont moins pertinents. L'adoption de la DSCSA a amené de nombreux acteurs du secteur à se concentrer sur les exigences de la loi, mais il est important de se rappeler que la conformité n'est qu'une partie de votre stratégie informatique globale. Ignorer tous ces aspects pour respecter l'échéance de 2023 peut accélérer vos efforts à court terme. Mais la loi est censée être une solution à long terme, et sa planification correcte doit inclure toutes ces autres considérations.
