Intégrité des données (ALCOA+) : Comment préparer l’assurance qualité aux inspections (Annexe 11)

Le nouveau cauchemar des inspecteurs

Depuis dix ans, un seul problème de non-conformité domine les rapports d'inspection de la FDA, de l'EMA et de la MHRA : l'intégrité des données. Les autorités ont constaté qu'un médicament peut paraître irréprochable sur le papier (dossier de lot vierge, certificat d'analyse conforme), mais que si les données sous-jacentes ont été manipulées, supprimées ou mal enregistrées, c'est tout le système de qualité qui s'effondre.

Pour le responsable assurance qualité, garantir l'intégrité des données n'est plus un simple problème informatique, mais une responsabilité primordiale du système qualité. Assurer l'exhaustivité, la cohérence et l'exactitude des données BPF est essentiel pour réussir tout audit moderne. Cet article explique comment le responsable assurance qualité peut garantir la conformité à l'annexe 11 des BPF de l'UE et aux principes ALCOA+.

Ce que les inspecteurs recherchent : les principes ALCOA+

Lorsqu'un inspecteur évalue l'intégrité des données, il ne se contente pas de rechercher les fraudes ; il vérifie la robustesse du système. Le cadre utilisé est ALCOA+ .

• Attribuable : Qui a généré/modifié les données ? (Aucun mot de passe partagé !)
• Lisibilité : Les données sont-elles lisibles tout au long de leur cycle de vie ? (Métadonnées incluses.)
• Contemporaneous (Contemporaneo) : Les données ont-elles été enregistrées au moment même où l'action se déroulait ? (Pas d'enregistrements de fin de poste, pas de « notes volantes »).
• Original : Les données sont-elles brutes ou une copie certifiée conforme ?
• Exactitude : Les données reflètent-elles la réalité sans erreurs ?
• + (Plus) :
• Complet : Toutes les données (y compris les tests ayant échoué et les réanalyses) sont-elles présentes ?
• Cohérence : Les données sont-elles chronologiques et non contradictoires ?
• Pérennité : Les données sont-elles stockées sur un support sécurisé (et non sur du papier thermique qui se décolore) ?
• Disponibilité : Les données sont-elles accessibles pour examen et inspection ?

Annexe 11 des BPF de l'UE : Validation des systèmes informatisés (CSV)

La plupart des risques liés à l'intégrité des données résident aujourd'hui dans les systèmes informatisés (HPLC, LIMS, ERP, systèmes de supervision). L'annexe 11 des BPF de l'UE constitue le règlement de référence pour leur gestion.

Le responsable QA doit veiller au respect de l'annexe 11, souvent en collaboration avec les services informatiques et d'ingénierie.

Responsabilités de l’assurance qualité vs. informatique

Le service informatique gère l'infrastructure (serveurs, réseaux), mais l'assurance qualité est responsable des données et de la conformité du système aux bonnes pratiques de fabrication (BPF ). L'assurance qualité doit approuver chaque étape du cycle de vie du système informatisé.

Validation et qualification de l’infrastructure (CSV)

L’annexe 11 stipule que « l’application doit être validée ; l’infrastructure informatique doit être qualifiée ». Le responsable QA doit :

1. Approuver le plan de validation (VMP) : sur la base d'une évaluation des risques.
2. Protocoles d’examen (IQ/OQ/PQ) : s’assurer que les tests de validation (souvent conformes à la norme GAMP 5) couvrent les exigences des BPF.
3. Approuver le rapport de validation final : avant la mise en service du système selon les BPF.

Exigence fondamentale : la piste d’audit

La piste d'audit est l'« enregistreur de vol » du système informatisé. Il s'agit d'un journal sécurisé, généré par le système, qui enregistre qui a fait quoi et quand (création, modification, suppression).

• Ce que recherche l'inspecteur :
1. La piste d'audit est-elle active ? (Un système BPF dont la piste d'audit est désactivée constitue une anomalie critique .)
2. La piste d'audit est-elle vérifiée ? Il ne suffit pas d'en avoir une ; l'assurance qualité (ou le contrôle qualité) doit disposer d'une procédure (SOP) pour examiner périodiquement la piste d'audit afin de détecter toute activité suspecte.

Comment éviter les écarts critiques en matière d'intégrité des données (études de cas réels)

Les lettres d'avertissement de la FDA et les rapports de non-conformité de l'EMA regorgent d'exemples :

• Constat critique n° 1 : Identifiants et mots de passe partagés.
• Ce que voit l'inspecteur : L'analyste HPLC utilise le compte « Admin » ou le compte superviseur pour traiter les données. Plusieurs analystes peuvent également utiliser le compte « LAB_01 ».
• Pourquoi c'est grave : Cela enfreint le principe d'« imputabilité ». Il est impossible de savoir qui a réellement effectué l'analyse ou modifié les données.
• Action d'assurance qualité : Mettre en œuvre des politiques d'accès strictes. Chaque utilisateur doit disposer d'un compte unique. Les privilèges d'administrateur doivent être distincts et limités aux équipes informatiques et d'assurance qualité.
• Constat critique n° 2 : « Tester la conformité ».
• Constat de l'inspecteur : L'historique d'audit révèle cinq injections chromatographiques non conformes (OOS), annulées ou non enregistrées. Seule la sixième, conforme, figure dans le dossier de lot.
• Pourquoi c'est grave : Cela viole les principes d'« exhaustivité » et d'« exactitude ». Il s'agit d'une falsification de données.
• Action AQ : La procédure opérationnelle standard OOS doit être intégrée à l’intégrité des données. Le responsable AQ doit former le personnel à la sauvegarde et à l’analyse de toutes les données (même celles interrompues ou ayant échoué). Les revues de journalisation doivent rechercher spécifiquement ces séquences suspectes.
• Constat critique 3 : Données électroniques non contrôlées.
• Ce que l'inspecteur constate : des données critiques (par exemple, des données de surveillance environnementale) stockées sur des clés USB ou des ordinateurs locaux non connectés au réseau, sans sauvegarde.
• Pourquoi c'est grave : Violation des principes de « pérennité » et de « disponibilité ». Les données peuvent être perdues, manipulées ou indisponibles lors de l'inspection.
• Action AQ : S'assurer que tous les systèmes BPF sont connectés au réseau de l'entreprise et inclus dans les procédures de sauvegarde et de restauration (reprise après sinistre) validées.

Préparation à l'audit : Documents et enregistrements prêts pour l'intégrité des données

Pour être prêt pour un audit , le responsable QA doit posséder :

1. Politique d'intégrité des données de l'entreprise : un document de haut niveau qui définit les principes et les responsabilités d'ALCOA+.
2. Inventaire des systèmes informatisés (CSV) : Une liste de tous les systèmes BPF, leur statut de validation et leur criticité.
3. Procédures système (SOP) :
• Procédure opérationnelle normalisée pour la validation des systèmes informatisés (CSV).
• Procédure opérationnelle normalisée pour l'examen périodique des pistes d'audit (précisant ce qu'il faut examiner et à quelle fréquence ).
• Procédure opérationnelle standard pour la gestion des accès et des mots de passe.
• Procédure opérationnelle standard pour la sauvegarde et la restauration.
4. Rapports de validation : Tous les rapports VMP, IQ, OQ, PQ et de validation finale.
5. Documents : Preuve des revues de piste d'audit (par exemple, listes de contrôle signées).

Conclusion : L’intégrité des données est une question de culture

Garantir l'intégrité des données n'est pas un exercice technologique, mais bien une démarche axée sur la culture de la qualité. Le responsable de l'assurance qualité est le garant de cette culture. Il doit fournir au personnel les outils adéquats (systèmes validés, accès appropriés) et la formation nécessaire (principes ALCOA+), mais surtout, il doit créer un environnement où la transparence et l'exactitude des données sont des valeurs fondamentales.

Pour un guide détaillé sur la manière de mettre en œuvre un programme d'intégrité des données robuste, de valider les systèmes par rapport à l'annexe 11 et de préparer des procédures opérationnelles normalisées (SOP) pour l'examen des pistes d'audit, le guide pratique « Le rôle du responsable de l'assurance qualité » de GuideGxP.com est la ressource de référence.