Data Integrity dans les étalonnages : ALCOA+, audit trail et Part 11

Data Integrity dans les étalonnages : ALCOA+, audit trail et Part 11

Data Integrity dans les étalonnages : d’Excel aux systèmes Part 11 sans perdre le contrôle

La situation la plus fréquente qui génère des findings “gratuits”

En audit, le problème que je constate le plus souvent n’est pas un étalonnage mal réalisé. C’est un enregistrement fait trop facilement.

L’inspecteur demande une tendance d’étalonnage sur un capteur critique. L’équipe ouvre un fichier Excel. L’inspecteur pose une question simple :

« Qui a modifié cette cellule, et quand ? »

Si vous ne pouvez pas répondre avec un audit trail, vous venez de transformer un étalonnage techniquement correct en un risque de Data Integrity.

Et le point est brutal : sans Data Integrity, il n’y a pas de compliance, parce que vos données ne sont pas défendables.

Le mythe à démonter, parce qu’il est partout

Mythe : « Il suffit d’imprimer l’Excel et de le signer. Comme ça, c’est GMP. »

Pourquoi c’est inefficace et risqué : parce que, dans beaucoup de cas, l’Excel reste :

  • un brouillon permanent, copié-collé, sans contrôle de version
  • modifiable sans traçabilité, car il n’existe pas de véritable audit trail
  • sans vraie gouvernance sur les accès, les rôles et les approbations

Résultat : quand vous en avez vraiment besoin, lors d’une déviation, d’une réclamation ou d’une inspection, il ne tient pas.

ALCOA+ appliqué aux étalonnages, sans théorie de poster

ALCOA+ n’est pas un slogan. C’est une checklist opérationnelle.

Exemples pratiques sur les enregistrements d’étalonnage

Attributable : chaque entrée doit avoir un user ID unique plus une signature, manuelle ou électronique
Legible : les certificats doivent être lisibles, sans scans illisibles ni photos “type WhatsApp”
Contemporaneous : l’enregistrement doit être effectué au moment de l’activité, pas en backdating
Original : vous conservez l’original, ou un PDF contrôlé, pas seulement une transcription
Accurate : les données doivent être cohérentes, les formules vérifiées, sans copy-paste aveugle
Complete : inclure as found, conditions, standards utilisés, résultat et review
Consistent : les formats et conventions doivent toujours être identiques, y compris les IDs instruments et les unités
Enduring : les enregistrements doivent être conservés et protégés pendant la période de rétention définie
Available : les enregistrements doivent être retrouvables en quelques minutes, et non “peut-être sur ce PC”

Dans le guide GuideGxP, ce concept est explicitement rappelé en lien avec les logbooks et la gestion documentaire, y compris les pages numérotées et la discipline de remplissage.

Là où la Data Integrity se casse dans les activités d’étalonnage, schémas réels

1. Templates non contrôlés

Les formulaires d’étalonnage sont “personnalisés” par le technicien selon la journée. Les champs, critères et layouts changent. Cela rend toute review robuste impossible.

2. Absence de séparation des rôles

La même personne :

  • saisit les données
  • “ajuste” le résultat
  • l’approuve

Sans segregation of duties, c’est une red flag immédiate pour n’importe quel inspecteur.

3. Timestamps non fiables

Si le système ne possède pas de timestamps contrôlés, ou si les PC ne sont pas synchronisés via NTP time sync, le “quand” devient discutable. Et en Data Integrity, discutable signifie vulnérable.

Guide à l'intention des responsables de la validation et des responsables de l'étalonnage dans les entreprises pharmaceutiques

Papier, Excel ou système dédié ? Tableau décisionnel très concret

Solution Avantages Risques cachés Quand c’est acceptable Contrôles minimum non négociables
Logbooks papier simples, immédiats pages manquantes, corrections mal gérées, archivage lent faible volume, petit site, instruments stables registre relié, pages numérotées, stylo indélébile, corrections single-line, signatures et dates
Excel / feuilles de calcul rapide, flexible pas de vrai audit trail, copies multiples, formules modifiées seulement si traité comme un enregistrement contrôlé template contrôlé, accès restreints, version control, impression + signature, review QA, pas de fichier local
CMMS / Calibration Management System workflow, audit trail, rapports s’il n’est pas validé, le risque est encore plus grand volume moyen/élevé, multi-départements, exigences fortes RBAC, audit trail actif, e-signature, validation package, SOP d’audit trail review, backup/restore testé

À retenir
Il ne s’agit pas de papier contre digital. Il s’agit de savoir si vous pouvez démontrer qui a fait quoi, quand et pourquoi.
Le digital sans CSV ou validation peut être pire que le papier, parce qu’il est plus difficile à défendre.

Si vous utilisez Excel aujourd’hui : comment le rendre défendable sans vous raconter d’histoire

Je ne vous dis pas : « Excel est interdit. » Ce n’est pas le cas. Je vous dis : Excel est souvent mal utilisé.

Contremesures pragmatiques

  • template contrôlé sous document control, avec révision et approbation QA
  • cellules calculées protégées + vérification des formules, pour réduire les manipulations involontaires
  • archivage dans un repository contrôlé, pas sur les desktops
  • sortie finale en PDF + signature, manuelle ou électronique
  • registre de distribution et d’accès, définissant clairement qui peut éditer
  • review périodique du fichier comme GMP record

Contrarian insight : beaucoup d’entreprises se persuadent que “mot de passe sur Excel = compliance.” En audit, cette conviction s’effondre en 30 secondes.

Quand vous passez à un CMMS : l’erreur que je vois le plus souvent

Erreur typique : « C’est un logiciel commercial, donc il est déjà compliant. »

Non. C’est un système informatisé GxP, il doit donc être géré en état validé.

Ce que j’attends de voir, au minimum, dans un audit sérieux

  • URS, User Requirements Specification : ce qu’il doit faire et ce qu’il ne doit pas faire
  • Risk assessment : fonctions critiques comme audit trail, signatures, gestion OOT et reporting
  • Supplier assessment : qualification du fournisseur
  • Configuration management : qu’est-ce qui relève de la configuration et qu’est-ce qui est du custom ?
  • IQ/OQ : installation, permissions, audit trail, e-signatures
  • UAT ciblée : workflow réel d’exécution, review et approbation
  • Data migration vérifiée : si un historique est importé, la cohérence et la complétude doivent être démontrées
  • SOPs opérationnelles, incluant :
    • audit trail review, qui la réalise et à quelle fréquence
    • review périodique des accès utilisateurs
    • backup et restore testés
    • exception handling / exception reports
    • record retention

Cette approche est pleinement cohérente avec la logique du GuideGxP sur les systèmes électroniques et la Data Integrity, avec une attention spécifique à l’audit trail, à la traçabilité et au risque “d’ajuster” des records sans visibilité QA.

La perspective QA, souvent absente des projets CMMS

Du point de vue QA, le risque n’est pas « le système ne fonctionne pas ». Le vrai risque est :

  • le système fonctionne, mais vous ne pouvez pas démontrer la gouvernance sur les rôles, les reviews et la traçabilité
  • l’audit trail existe, mais personne ne le reviewe
  • la signature électronique existe, mais elle n’est pas liée à la responsabilité et à la formation

Un CMMS sans QA oversight devient une archive digitale de problèmes.

Checklist finale : 12 questions d’audit sur les étalonnages et la Data Integrity

  1. Qui peut créer ou modifier un record ? RBAC
  2. Qui exécute et qui approuve ? Segregation of duties
  3. Existe-t-il un audit trail actif qui ne peut pas être désactivé ?
  4. Qui réalise l’audit trail review, et à quelle fréquence ?
  5. Comment gérez-vous les corrections ? Ne jamais écraser sans traçabilité
  6. Le timestamp est-il fiable ? Synchronisation horaire, NTP
  7. Comment garantissez-vous la record retention et la retrouvabilité ?
  8. Backup et restore : avez-vous des preuves de test ?
  9. Comment empêchez-vous les offline records, impressions non contrôlées ou copies locales ?
  10. Les certificats externes sont-ils formellement reviewés et acceptés ?
  11. L’historique est-il cohérent, sans trous ni IDs dupliqués ?
  12. La formation du personnel est-elle documentée et traçable ?

La Data Integrity dans les étalonnages n’est pas de la bureaucratie IT. C’est la condition minimale pour pouvoir dire :

  • « Cet instrument était sous contrôle. »
  • « Cet ensemble de données est fiable. »
  • « Cette décision GMP est défendable. »

Si vous voulez réduire les findings faciles et augmenter la vraie robustesse, c’est ici que se fait le saut : contrôler les records, les accès, l’audit trail et le workflow.

👉 Pour un framework complet sur les étalonnages, les logbooks, les systèmes électroniques, les audits et l’intégration avec la validation, le guide GuideGxP est un accélérateur pratique avec exemples et modèles prêts à l’emploi.

Retour au blog

Vous cherchez quelque chose de spécifique ?