DIRA Data Integrity Risk Assessment pour les audits GMP
DIRA Data Integrity Risk Assessment : comment la rendre audit-proof
Lors des audits EMA, FDA et PIC/S, l’intégrité des données est l’un des premiers thèmes examinés. La DIRA – Data Integrity Risk Assessment est l’outil qui démontre la capacité d’une entreprise à identifier et contrôler les risques liés aux données.
Une DIRA faible ou inexistante peut conduire à des observations critiques, en particulier lorsqu’il manque des contrôles concernant ALCOA+, l’audit trail, les sauvegardes et le cycle de vie des données.
Cadre réglementaire : ce que demandent les autorités
- OMS 2021 : exige une DIRA pour tous les systèmes et processus générant des données GxP.
- PIC/S PI 041 : la Data Governance doit inclure l’évaluation et la mitigation des risques d’intégrité des données.
- EMA Annexe 11 / EU GMP : exige des contrôles proportionnés à la criticité des données.
- FDA 21 CFR Part 211/11 : intégrité des enregistrements, audit trail, accès individuels.
Les inspecteurs vérifient que la DIRA soit documentée, à jour, complète et liée à des CAPA réelles.
Ce que recherchent les inspecteurs
1. Cartographie claire des flux de données
Les auditeurs demandent souvent : « Montrez-moi où cette donnée est générée. »
Ils veulent s’assurer que l’entreprise connaît l’ensemble du cycle de vie des données et ses points de vulnérabilité.
2. Évaluation des risques basée sur ALCOA+
L’absence d’analyse de Attributable, Original ou Available conduit presque systématiquement à une observation.
3. Contrôles techniques et organisationnels cohérents
Exemples :
- audit trail actif et révisé régulièrement
- accès utilisateurs individuels
- sauvegardes vérifiées et testées
- SOP mises à jour et appliquées
4. Actions de mitigation réellement mises en œuvre
Les inspecteurs demandent des preuves : captures d’écran, journaux, registres, formations.
5. Mise à jour et gouvernance
Une DIRA vieille de 3 ans sans révision est considérée comme non conforme.
Comment éviter des observations critiques
Extraits des stratégies de la guide :
✔️ 1. Relier chaque risque à une phase du Data Lifecycle
Les inspecteurs apprécient les analyses reflétant des risques concrets :
perte de données lors de l’archivage, manipulations durant le traitement, antidatation lors de l’enregistrement, etc.
✔️ 2. Identifier clairement la criticité des données
Les données de libération de lot et les résultats QC présentent un risque intrinsèque élevé.
✔️ 3. Appliquer des contrôles robustes sur l’audit trail
Les Warning Letters citent fréquemment des audit trails inactifs ou non révisés.
✔️ 4. Valider les feuilles Excel et les calculs manuels
Les auditeurs demandent systématiquement la validation des calculs critiques.
✔️ 5. Supprimer les comptes partagés
Violation directe de l’attribut ALCOA Attributable → observation garantie.
🗂️ Audit-readiness : documents essentiels
- DIRA complète et signée
- cartographie du data flow
- liste des risques avec notation
- preuves des mesures de mitigation mises en place
- procès-verbaux du Data Integrity Committee
- registres de revue d’audit trail
- tests de sauvegarde & restauration
- CAPA associées et suivi de progression
🔴 Erreur typique → ✔️ Action corrective recommandée
Erreur : DIRA générique avec notations « moyen » non justifiées
Correction : définir des critères numériques et inclure des exemples concrets de modes de défaillance
Erreur : DIRA non liée aux processus réels
Correction : cartographier de vrais flux de données avec captures d’écran ou références systèmes
Erreur : mesures de mitigation non mises en œuvre
Correction : ouvrir des CAPA, définir les responsabilités et suivre l’avancement dans le Quality Council
Conclusion
Une DIRA solide démontre à l’inspecteur que l’entreprise comprend ses données, ses risques et ses vulnérabilités — et qu’elle dispose d’un système de Data Governance mature.
Gardez votre entreprise audit-ready. Découvrez la guide complète sur GuideGxP.com