Pour les industries pharmaceutiques, dispositifs médicaux, cosmétiques et agroalimentaires sensibles, la GMAO ne se choisit pas seulement sur les fonctionnalités — la conformité réglementaire est un prérequis. 21 CFR Part 11 (FDA), Annexe 11 EudraLex (EMA), ISO 13485, GMP, BPF : chacune impose des exigences techniques précises. Voici le guide pour s'y retrouver.
Les 4 réglementations majeures à connaître
21 CFR Part 11 (FDA, États-Unis)
S'applique à tout dossier électronique soumis à la FDA. Exigences :
- Signature électronique sécurisée (login + mot de passe complexe)
- Audit trail complet et inviolable (qui, quoi, quand, pourquoi)
- Contrôle d'accès par rôle, déconnexion automatique
- Validation du système (IQ/OQ/PQ documentées)
- Archivage long terme (≥ 5 ans, parfois 10+ selon nature du produit)
Annexe 11 EudraLex (Europe)
Pendant européen du 21 CFR Part 11, applicable aux fabricants pharmaceutiques en UE. Exigences similaires + spécificités :
- Évaluation des risques (Risk-based approach)
- Cycle de vie du système documenté
- Gestion des changements (Change Control formalisé)
- Sauvegarde et restauration validées
GMP / BPF (Bonnes Pratiques de Fabrication)
Pour la maintenance d'équipements en contact produit pharma/cosmétique :
- Qualification IQ (Installation Qualification) : conformité installation aux specs
- Qualification OQ (Operational Qualification) : fonctionnement aux paramètres définis
- Qualification PQ (Performance Qualification) : performance en production réelle
- Requalification après modification ou maintenance majeure
ISO 13485 (Dispositifs médicaux)
Pour les fabricants de dispositifs médicaux. Maintenance des équipements de production = activité maîtrisée avec :
- Plans de maintenance préventive documentés et validés
- Traçabilité des interventions par numéro de série équipement
- Évaluation d'impact qualité de chaque intervention
- Audits internes annuels
Fonctionnalités GMAO requises pour la conformité
Authentification et accès
- Login unique par utilisateur (pas de compte partagé)
- Mot de passe complexe avec rotation périodique
- MFA (authentification multi-facteurs) recommandée
- Profils par rôle (technicien, responsable, QA, lecteur seul)
- Déconnexion automatique après inactivité (15-30 min)
Signature électronique
- Double authentification pour signer (mot de passe + raison)
- Signature horodatée et liée à l'utilisateur (impossible à modifier après coup)
- Conformité avec eIDAS en Europe (qualifiée pour usage critique)
- Workflow d'approbation multi-niveaux (créateur → validateur → QA)
Audit trail
- Enregistrement automatique de toute modification (qui, quand, ancien et nouveau valeur)
- Inviolable : aucun utilisateur, même admin, ne peut effacer l'audit trail
- Recherche par date, utilisateur, type d'action
- Export pour inspection (PDF signé, CSV avec hash)
Validation du système
- IQ : installation conforme au cahier des charges
- OQ : tests fonctionnels documentés (chaque module testé)
- PQ : performance sur 1-3 mois en conditions réelles
- Plan de revalidation en cas de mise à jour (URS, configuration)
Comparatif des GMAO conformes
| GMAO | 21 CFR Part 11 | Annexe 11 | Prix indicatif |
|---|---|---|---|
| Carl Source PHARMA | ✅ Out-of-the-box | ✅ | 80-150 €/user/mois |
| IBM Maximo for Pharma | ✅ | ✅ | 150-300 €/user/mois |
| SAP PM (avec module GxP) | ✅ Add-on | ✅ | Inclus suite SAP |
| Coswin 8i Pharma | ✅ | ✅ | 60-120 €/user/mois |
| BlueMountain RAM | ✅ Spécialiste pharma | ✅ | 120-200 €/user/mois |
| Yuman / Mainti / Twimm | ❌ Pas adapté pharma | ❌ | 15-40 €/user/mois |
Coûts d'implémentation et de validation
| Poste | Coût indicatif |
|---|---|
| Licence logiciel (par an, 10 users) | 15 000-30 000 € |
| Implémentation (configuration, données) | 30 000-80 000 € |
| Validation IQ/OQ/PQ | 25 000-60 000 € |
| Formation utilisateurs (15-30 personnes) | 8 000-15 000 € |
| Support et maintenance annuelle | 5 000-15 000 € |
| Total année 1 | 83 000-200 000 € |
| Total année 2+ (récurrent) | 20 000-45 000 € |
Étapes d'un projet GMAO conforme
- URS (User Requirements Specification) — 4-8 semaines
- Sélection éditeur et négociation contrat — 6-12 semaines
- FS / DS (Functional / Design Specs) — 4-8 semaines
- Configuration et personnalisation — 8-16 semaines
- IQ (Installation Qualification) — 1-2 semaines
- OQ (Operational Qualification) — 4-8 semaines
- PQ (Performance Qualification) — 4-12 semaines en production
- Mise en service et formation — 4-8 semaines
Total typique : 8 à 18 mois selon la complexité du site.
Erreurs courantes à éviter
- Sous-estimer la validation (souvent 30-40% du budget total)
- Personnaliser excessivement (chaque dev custom = revalidation)
- Négliger la formation (cause #1 d'audit FDA défavorable)
- Pas de plan de continuité (que se passe-t-il si la GMAO tombe ?)
- Confondre conformité technique et processus métier (les 2 sont nécessaires)
Nous accompagnons les sites pharma et dispositifs médicaux du bassin lyonnais (Sanofi Brignais, Bayer Saint-Priest, Boehringer PIPA) dans leurs projets GMAO conformes. Audit gratuit pour évaluer votre maturité.
❓ Questions fréquentes
Faut-il une GMAO 21 CFR Part 11 pour un site européen ?
Oui si vous exportez vers les États-Unis ou produisez pour clients US. L'Annexe 11 européenne couvre les exigences UE. La plupart des éditeurs (Carl Source, Maximo, Coswin) couvrent les deux référentiels en standard.
Combien de temps dure la validation d'une GMAO ?
Validation initiale IQ/OQ/PQ : 3-6 mois pour un site moyen. Revalidation après mise à jour majeure : 1-3 mois selon impact. Maintenir un système 'validation-ready' (procédures, tests) coûte 20-30% du budget annuel maintenance logicielle.
Peut-on utiliser une GMAO low-cost en mode pharma ?
Non en production directe (lots, qualification équipements). Possible pour la maintenance de zones non GMP (utilités, bureaux). En pratique : un site pharma utilise souvent 2 GMAO — une validée pour production critique, une plus légère pour le reste.
Qui doit valider la GMAO : le fournisseur ou le client ?
Le client porte la responsabilité finale. Le fournisseur fournit la documentation de validation (templates IQ/OQ), le client la complète et valide pour SON contexte. Beaucoup font appel à un consultant validation spécialisé pour le projet.
Besoin d'un expert en maintenance industrielle ?
Audit gratuit de votre installation sous 24h, intervention dans le Rhône, Ain, Isère, Loire.
Demander un devis gratuit →📚 Articles à lire ensuite
📋 Recevez gratuitement notre Checklist Audit Maintenance
Recevez par email le lien de téléchargement (gratuit, sans engagement).