Les Good Manufacturing Practices (GMP) européennes s'appliquant à l'industrie pharmaceutique consacrent leur annexe 11 aux systèmes informatisés. Ces exigences sont reprises, au niveau français, dans l'annexe 5 des Bonnes Pratiques de Fabrication (BPF).

Elles s'appliquent aux systèmes informatisés dans les systèmes de fabrication des médicaments (stockage, distribution et contrôle de la qualité) et posent le principe suivant : "lorsqu’un système informatisé remplace une opération manuelle, il ne faut pas que la qualité du produit ou l’assurance de la qualité en soit affectée" et il "faut tenir compte du risque de perdre certains aspects du système précédent en réduisant l’implication des opérateurs".

Cependant, ces dispositions s'appliquent progressivement à tous les systèmes informatisés couvrant des opérations pharmaceutiques que celles-ci concernent la fabrication ou encore l'exploitation des médicaments.

Tous ces systèmes informatisés doivent faire l'objet d'une validation. "Le degré de validation nécessaire dépend d’un certain nombre de facteurs et notamment de l’usage auquel le système va être destiné, de sa nature prospective ou rétrospective et de l’introduction ou non de nouveaux éléments. La validation doit être considérée comme une partie de l’ensemble du cycle de vie d’un système informatique. Ce cycle comprend plusieurs étapes qui sont la planification, la spécification, la programmation, les essais, la réception, la documentation, l’exploitation, le contrôle et les modifications".

Sont ensuite abordés successivement dans cette annexe les thèmes suivants :

Les dispositions concernant la documentation détaillée et écrite du système.

Le développement du logiciel conformément à un système d’Assurance de la Qualité.

La nécessité d'un contrôle minutieux avant la mise en service.

La gestion contrôlée des droits d'accès au système et l'existence de procédures de gestion de l'attribution de ces droits.

L'existence de « succession d’audits » ou « piste pour audits ».

L'existence de procédures définies prévoyant des dispositions relatives à la validation, au contrôle, à l’autorisation et à la mise en oeuvre de la modification.

La génération de sorties en clair de données stockées électroniquement en cas d’audit qualité.

Le stockage des données et la protection de ces données stockées.

La protection des données au moyen d'opérations de sauvegarde effectuées à intervalles réguliers.

L'existence de procédures de fonctionnement "en mode dégradé" (mesures de remplacement adéquates permettant le fonctionnement des systèmes qui doivent être mis en oeuvre en cas de panne).

L'existence de procédures validées à suivre en cas de défaillances ou d’arrêts et l'enregistrement de toutes les défaillances et les mesures prises pour y remédier.

L'existence d'une procédure validée pour l’enregistrement et l’analyse des erreurs et pour leur correction.

Une définition contractuelle des responsabilités en cas d'appel à une entreprise extérieure pour une prestation de service dans le domaine de l’informatique.