Règles pour les enregistrements électroniques de la Chambre de stabilité environnementale

Sous-partie A--Dispositions générales
Art. 11.1 Portée.

(a) Les règlements de cette partie énoncent les critères selon lesquels l'agence considère que les enregistrements électroniques, les signatures électroniques et les signatures manuscrites apposées sur des enregistrements électroniques sont dignes de confiance, fiables et généralement équivalents aux enregistrements papier et aux signatures manuscrites apposées sur papier.

(b) Cette partie s'applique aux enregistrements sous forme électronique qui sont créés, modifiés, conservés, archivés, récupérés ou transmis, conformément aux exigences en matière d'enregistrements énoncées dans les réglementations de l'agence. Cette partie s'applique également aux enregistrements électroniques soumis à l'agence en vertu des exigences du Federal Food , Drug, and Cosmetic Act et Public Health Service Act, même si ces enregistrements ne sont pas spécifiquement identifiés dans les réglementations des agences. Toutefois, cette partie ne s'applique pas aux documents papier qui sont ou ont été transmis par voie électronique.

(c) Lorsque les signatures électroniques et leurs enregistrements électroniques associés satisfont aux exigences de la présente partie, l'agence considérera que les signatures électroniques sont équivalentes aux signatures manuscrites complètes, aux initiales et aux autres signatures générales requises par les réglementations de l'agence, sauf exception spécifique par le(s) règlement(s) en vigueur à compter du 20 août 1997.

(d) Les enregistrements électroniques qui satisfont aux exigences de la présente partie peuvent être utilisés à la place des enregistrements papier, conformément à 11.2, à moins que des enregistrements papier ne soient spécifiquement requis.

(e) Les systèmes informatiques (y compris le matériel et les logiciels), les contrôles et la documentation associée conservés dans le cadre de cette partie doivent être facilement disponibles et soumis à l'inspection de la FDA.

(f) Cette partie ne s'applique pas aux enregistrements qui doivent être établis ou conservés par 1.326 à 1.368 de ce chapitre. Les enregistrements qui satisfont aux exigences de la partie 1, sous-partie J du présent chapitre, mais qui sont également requis en vertu d'autres dispositions légales ou réglementaires applicables, restent soumis à la présente partie.

Seconde. 11.2 Mise en œuvre.

(a) Pour les dossiers devant être conservés mais non soumis à l'agence, les personnes peuvent utiliser des dossiers électroniques au lieu de dossiers papier ou des signatures électroniques au lieu de signatures traditionnelles, en tout ou en partie, à condition que les exigences de la présente partie soient respectées.

(b) Pour les enregistrements soumis à l'agence, les personnes peuvent utiliser des enregistrements électroniques au lieu d'enregistrements papier ou des signatures électroniques au lieu de signatures traditionnelles, en tout ou en partie, à condition que :

(1) Les exigences de cette partie sont remplies ; et
(2) Le document ou des parties d'un document à soumettre ont été identifiés dans le dossier public n° 92S-0251 comme étant le type de soumission que l'agence accepte sous forme électronique. Ce dossier identifiera spécifiquement quels types de documents ou parties de documents sont acceptables pour la soumission sous forme électronique sans documents papier et l'unité ou les unités de réception de l'agence (par exemple, un centre spécifique, un bureau, une division, une succursale) à laquelle ces soumissions peuvent être faites. Les documents destinés à l'unité ou aux unités réceptrices de l'agence non spécifiés dans le dossier public ne seront pas considérés comme officiels s'ils sont soumis sous forme électronique ; les formulaires papier de ces documents seront considérés comme officiels et doivent accompagner tout enregistrement électronique. Les personnes sont censées consulter l'unité de réception de l'agence prévue pour plus de détails sur la manière (par exemple, la méthode de transmission, les supports, les formats de fichier,

Seconde. 11.3 Définitions.

a) Les définitions et interprétations des termes contenus à l'article 201 de la loi s'appliquent à ces termes lorsqu'ils sont utilisés dans la présente partie.

(b) Les définitions suivantes des termes s'appliquent également à cette partie :
(1) Loi désigne la loi fédérale sur les aliments, les médicaments et les cosmétiques (sec. 201-903 (21 USC 321-393)).
(2) Agence désigne la Food and Drug Administration.
(3) La biométrie désigne une méthode de vérification de l'identité d'un individu basée sur la mesure des caractéristiques physiques de l'individu ou des actions répétables où ces caractéristiques et/ou actions sont à la fois uniques à cet individu et mesurables.
(4) Système fermé désigne un environnement dans lequel l'accès au système est contrôlé par des personnes responsables du contenu des enregistrements électroniques qui se trouvent sur le système.
(5) Par signature numérique, on entend une signature électronique basée sur des méthodes cryptographiques d'authentification de l'auteur, calculée à l'aide d'un ensemble de règles et d'un ensemble de paramètres permettant de vérifier l'identité du signataire et l'intégrité des données.
(6) Enregistrement électronique désigne toute combinaison de texte, de graphiques, de données, d'audio, d'images ou d'autres représentations d'informations sous forme numérique qui est créée, modifiée, conservée, archivée, récupérée ou distribuée par un système informatique.
(7) Signature électronique signifie une compilation de données informatiques de tout symbole ou série de symboles exécutés, adoptés ou autorisés par un individu comme étant l'équivalent juridiquement contraignant de la signature manuscrite de l'individu.
(8) Signature manuscrite désigne le nom écrit ou la marque légale d'un individu écrit à la main par cet individu et exécuté ou adopté avec la présente intention d'authentifier une écriture sous une forme permanente. Le fait de signer avec un instrument d'écriture ou de marquage tel qu'un stylo ou un stylet est préservé. Le nom scripté ou la marque légale, bien qu'appliqués de manière conventionnelle au papier, peuvent également être appliqués à d'autres dispositifs qui capturent le nom ou la marque.
(9) Système ouvert désigne un environnement dans lequel l'accès au système n'est pas contrôlé par les personnes responsables du contenu des enregistrements électroniques qui se trouvent sur le système.

Sous-partie B--Enregistrements électroniques
Art. 11.10 Commandes pour les systèmes fermés.
Les personnes qui utilisent des systèmes fermés pour créer, modifier, conserver ou transmettre des enregistrements électroniques doivent utiliser des procédures et des contrôles conçus pour garantir l'authenticité, l'intégrité et, le cas échéant, la confidentialité des enregistrements électroniques, et pour garantir que le signataire ne peut pas facilement répudier l'enregistrement signé comme pas authentique. Ces procédures et contrôles doivent inclure les éléments suivants :

(a) Validation des systèmes pour garantir l'exactitude, la fiabilité, la cohérence des performances prévues et la capacité de discerner les enregistrements non valides ou altérés.

(b) La capacité de générer des copies exactes et complètes des dossiers sous forme lisible par l'homme et sous forme électronique convenant à l'inspection, à l'examen et à la copie par l'agence. Les personnes doivent contacter l'agence si elles ont des questions concernant la capacité de l'agence à effectuer un tel examen et une telle copie des dossiers électroniques.

(c) Protection des enregistrements pour permettre leur récupération précise et rapide tout au long de la période de conservation des enregistrements.

(d) Limitation de l'accès au système aux personnes autorisées.

(e) Utilisation de pistes d'audit sécurisées, générées par ordinateur et horodatées pour enregistrer indépendamment la date et l'heure des entrées et des actions de l'opérateur qui créent, modifient ou suppriment des enregistrements électroniques. Les modifications apportées aux enregistrements ne doivent pas masquer les informations précédemment enregistrées. Cette documentation de piste d'audit doit être conservée pendant une période au moins aussi longue que celle requise pour les enregistrements électroniques en question et doit être disponible pour examen et copie par l'agence.

(f) Utilisation de vérifications du système opérationnel pour appliquer la séquence autorisée d'étapes et d'événements, le cas échéant.

(g) Utilisation de contrôles d'autorité pour s'assurer que seules les personnes autorisées peuvent utiliser le système, signer électroniquement un enregistrement, accéder à l'opération ou au dispositif d'entrée ou de sortie du système informatique, modifier un enregistrement ou effectuer l'opération en cours.

(h) Utilisation de vérifications de l'appareil (par exemple, terminal) pour déterminer, selon le cas, la validité de la source des données d'entrée ou de l'instruction opérationnelle.

(i) Détermination que les personnes qui développent, maintiennent ou utilisent des systèmes d'enregistrement électronique/de signature électronique ont l'éducation, la formation et l'expérience nécessaires pour accomplir les tâches qui leur sont assignées.

(j) L'établissement et le respect de politiques écrites qui tiennent les individus responsables des actions initiées sous leurs signatures électroniques, afin de dissuader la falsification des enregistrements et des signatures.

(k) Utilisation de contrôles appropriés sur la documentation des systèmes, y compris :
(1) Contrôles adéquats sur la distribution, l'accès et l'utilisation de la documentation pour l'exploitation et la maintenance du système.
(2) Réviser et modifier les procédures de contrôle pour maintenir une piste d'audit qui documente le développement et la modification séquencés dans le temps de la documentation des systèmes.

Seconde. 11h30 Contrôles pour les systèmes ouverts.

Les personnes qui utilisent des systèmes ouverts pour créer, modifier, conserver ou transmettre des enregistrements électroniques doivent utiliser des procédures et des contrôles conçus pour garantir l'authenticité, l'intégrité et, le cas échéant, la confidentialité des enregistrements électroniques depuis leur création jusqu'à leur réception. Ces procédures et contrôles doivent inclure ceux identifiés en 11.10, le cas échéant, et des mesures supplémentaires telles que le cryptage des documents et l'utilisation de normes de signature numérique appropriées pour garantir, si nécessaire dans les circonstances, l'authenticité, l'intégrité et la confidentialité des enregistrements.

Seconde. 11h50 Manifestations signatures.

(a) Les enregistrements électroniques signés doivent contenir des informations associées à la signature qui indiquent clairement tous les éléments suivants :

(1) Le nom imprimé du signataire ;
(2) La date et l'heure auxquelles la signature a été exécutée ; et
(3) La signification (telle que révision, approbation, responsabilité ou paternité) associée à la signature.

(b) Les éléments identifiés aux paragraphes (a)(1), (a)(2) et (a)(3) de cette section doivent être soumis aux mêmes contrôles que pour les enregistrements électroniques et doivent être inclus dans tout document lisible par l'homme. forme de l'enregistrement électronique (telle que l'affichage électronique ou l'impression).

Seconde. 11.70 Liaison signature/enregistrement.
Les signatures électroniques et les signatures manuscrites exécutées sur des enregistrements électroniques doivent être liées à leurs enregistrements électroniques respectifs afin de garantir que les signatures ne peuvent pas être supprimées, copiées ou autrement transférées pour falsifier un enregistrement électronique par des moyens ordinaires.

Sous-partie C--Signatures électroniques

Art. 11.100 Exigences générales.

(a) Chaque signature électronique doit être unique à un individu et ne doit pas être réutilisée par, ou réattribuée à, quelqu'un d'autre.

(b) Avant qu'une organisation n'établisse, n'attribue, ne certifie ou n'autorise autrement la signature électronique d'un individu, ou tout élément d'une telle signature électronique, l'organisation doit vérifier l'identité de l'individu.

(c) Les personnes utilisant des signatures électroniques doivent, avant ou au moment de cette utilisation, certifier à l'agence que les signatures électroniques dans leur système, utilisées le 20 août 1997 ou après, sont destinées à être l'équivalent juridiquement contraignant des signatures manuscrites traditionnelles.
(1) La certification doit être soumise sous forme papier et signée avec une signature manuscrite traditionnelle, au Bureau des opérations régionales (HFC-100), 5600 Fishers Lane, Rockville, MD20857.
(2) Les personnes utilisant des signatures électroniques doivent, à la demande de l'agence, fournir une certification ou un témoignage supplémentaire selon lequel une signature électronique spécifique est l'équivalent juridiquement contraignant de la signature manuscrite du signataire.

Seconde. 11.200 Composants et contrôles de signature électronique.

(a) Les signatures électroniques qui ne sont pas basées sur la biométrie doivent :
(1) Utiliser au moins deux éléments d'identification distincts tels qu'un code d'identification et un mot de passe.

(i) Lorsqu'un individu exécute une série de signatures au cours d'une seule période continue d'accès contrôlé au système, la première signature doit être exécutée en utilisant tous les composants de la signature électronique ; les signatures ultérieures doivent être exécutées à l'aide d'au moins un composant de signature électronique qui est uniquement exécutable et conçu pour être utilisé uniquement par la personne.

(ii) Lorsqu'un individu exécute une ou plusieurs signatures non effectuées au cours d'une seule période continue d'accès contrôlé au système, chaque signature doit être exécutée en utilisant tous les composants de la signature électronique.

(2) Être utilisé uniquement par leurs véritables propriétaires ; et

(3) Être administré et exécuté de manière à garantir que toute tentative d'utilisation de la signature électronique d'un individu par une personne autre que son véritable propriétaire nécessite la collaboration de deux ou plusieurs individus.

b) Les signatures électroniques fondées sur la biométrie doivent être conçues de manière à garantir qu'elles ne peuvent être utilisées par personne d'autre que leurs véritables propriétaires.

Seconde. 11.300 Contrôles des codes d'identification/mots de passe.
Les personnes qui utilisent des signatures électroniques basées sur l'utilisation de codes d'identification en combinaison avec des mots de passe doivent utiliser des contrôles pour assurer leur sécurité et leur intégrité. Ces contrôles doivent inclure:

(a) Le maintien de l'unicité de chaque code d'identification et mot de passe combinés, de sorte que deux personnes n'aient pas la même combinaison de code d'identification et de mot de passe.

(b) S'assurer que les émissions de code d'identification et de mot de passe sont périodiquement vérifiées, rappelées ou révisées (par exemple, pour couvrir des événements tels que le vieillissement du mot de passe).

(c) Suivre les procédures de gestion des pertes pour annuler électroniquement l'autorisation des jetons, cartes et autres dispositifs perdus, volés, manquants ou potentiellement compromis qui portent ou génèrent un code d'identification ou un mot de passe, et pour émettre des remplacements temporaires ou permanents à l'aide de contrôles appropriés et rigoureux.

(d) Utilisation de garanties de transaction pour empêcher l'utilisation non autorisée de mots de passe et/ou de codes d'identification, et pour détecter et signaler de manière immédiate et urgente toute tentative d'utilisation non autorisée à l'unité de sécurité du système et, le cas échéant, à la direction de l'organisation.

e) Essais initiaux et périodiques des dispositifs, tels que les jetons ou les cartes, qui portent ou génèrent des informations de code d'identification ou de mot de passe pour s'assurer qu'ils fonctionnent correctement et n'ont pas été modifiés de manière non autorisée.