Intégrité des Données (ALCOA+) en SaaS/Cloud : contrôles et audit trail
Partager

Intégrité des Données (ALCOA+) en SaaS/Cloud : audit trail, accès, signatures électroniques et contrôles opérationnels
En contexte GxP, la question de l’auditeur est toujours implicite :
« Comment démontrez-vous que vos données sont fiables ? »
Dans le cloud, cette question est encore plus centrale parce que :
- les systèmes sont fortement interconnectés,
- les accès sont souvent distants,
- les mises à jour sont fréquentes,
- et une partie des contrôles techniques est sous la responsabilité du fournisseur.
La réponse n’est pas une simple « politique ». C’est un ensemble cohérent de :
- contrôles techniques,
- processus opérationnels,
- gouvernance.
La guide résume cela par un concept clé : l’Intégrité des Données by design, en combinant des contrôles techniques (audit trail, permissions, signatures) et procéduraux (SOP, revue des audit trails, double vérification) afin de garantir ALCOA+ pour les enregistrements électroniques.
ALCOA+ (expliqué comme je l’utiliserais dans une URS)
ALCOA+ n’est pas une théorie : c’est un ensemble d’exigences traduisibles en configurations et en procédures.
- Attributable : qui a fait quoi (identité, signature, rôle)
- Lisible (Legible) : données lisibles et interprétables
- Contemporain (Contemporaneous) : enregistrées au moment de l’action
- Original : la source originale est préservée
- Exact (Accurate) : exactitude, contrôles et prévention des erreurs
- Complet / Cohérent / Pérenne / Disponible : données complètes, cohérentes, conservées dans le temps et disponibles (y compris lors des audits)
Où le cloud peut créer des écarts (si ce n’est pas anticipé)
Exemples typiques :
- rôles « admin » trop puissants,
- audit trail présent mais jamais revu,
- comptes partagés ou utilisateurs de test laissés actifs,
- mises à jour SaaS modifiant les workflows ou réinitialisant les configurations,
- manque de clarté sur le backup/restore et la localisation des données.
L’Annexe 11, par exemple, met l’accent sur la gestion des risques, l’audit trail, les sauvegardes et la sécurité ; dans le cloud, elle requiert également un focus sur la localisation des données, le chiffrement, la séparation des données entre clients, ainsi que sur la manière dont l’entreprise vérifie périodiquement l’intégrité des données (par ex. ré-extractions et réconciliations).
Cadre pratique : les 5 contrôles d’Intégrité des Données à « fermer » en SaaS
1) Identity & Access Management (IAM) + séparation des fonctions
En SaaS, vous ne contrôlez pas les serveurs, mais vous pouvez parfaitement contrôler :
- qui accède,
- avec quel rôle,
- et avec quelles permissions.
Bonnes pratiques :
- principe du moindre privilège,
- séparation des fonctions (par ex. QA ≠ administrateur technique),
- revues périodiques des accès.
La guide recommande également une Matrice des Rôles et des Permissions comme document audit-ready pour démontrer la séparation des fonctions et les contrôles d’autorité (Part 11).
2) Audit trail (actif, protégé, « révisable »)
Questions auxquelles vous devez savoir répondre :
- quels événements sont tracés ? (connexions, changements, approbations, suppressions, etc.)
- l’audit trail est-il immuable ?
- qui peut le consulter et qui (le cas échéant) peut le modifier ?
- comment est-il revu (fréquence, échantillonnage, critères) ?
3) Signatures électroniques et contrôles Part 11
Il ne suffit pas de dire « il y a une signature » :
- elle doit être attribuable de manière unique à l’utilisateur,
- elle doit être liée à l’enregistrement et à sa signification (approbation, revue, etc.),
- une gouvernance doit exister pour les mots de passe, sessions, timeouts, etc.
Dans l’URS, il est utile de mapper les exigences de conformité aux références réglementaires (Part 11 / Annexe 11) afin d’assurer complétude et traçabilité.
4) Cycle de vie des données : conservation, export, disponibilité
Dans le cloud, il faut aussi penser à la sortie :
- export des données dans un format lisible,
- conservation et archivage,
- accessibilité en fin de contrat.
(Ces aspects sont souvent couverts par le Quality Agreement et la stratégie de sortie.)
5) Contrôles procéduraux : SOP + revue + formation
Les contrôles techniques sans procédures sont fragiles.
Minimum requis :
- SOP de gestion des comptes,
- SOP de revue de l’audit trail,
- SOP de change control (y compris mises à jour SaaS),
- formations documentées et périodiques.
« Revue de l’audit trail » bien menée : mini-procédure opérationnelle (exemple)
Pour être crédible, définir clairement :
- Fréquence : mensuelle / trimestrielle, basée sur le risque
- Rôle : QA ou personnel délégué sous supervision QA
- À rechercher : tentatives de connexion anormales, changements de rôle, suppressions, contournement des workflows
- Preuves : rapports/extractions, enregistrements de revue, éventuelles déviations/CAPA
Si vous souhaitez des checklists et modèles pour vérifier l’Intégrité des Données, configurer rôles et permissions, construire des URS “compliance-by-design” et présenter des preuves solides en audit, vous les trouverez dans la guide « SaaS & Cloud Validation : guide d’implémentation GxP » sur guidegxp.com.
