Qualification des Fournisseurs GMP : Vendor Assurance pour le QA Pharma
Partager

Qualification des fournisseurs GMP et Quality Agreement : la gouvernance “risk-based” qui résiste aux inspections
Le problème qui explose quand il est déjà trop tard
Un fournisseur « historique » livre un excipient avec un CoA parfait. En production, cependant, un comportement anormal apparaît : viscosité instable, rendement fluctuant, augmentation des déviations.
Après quelques échanges, on découvre que le fournisseur a introduit un changement de procédé (nouveau sécheur, nouvelle source de solvant, nouveau sous-traitant) et l’a classé comme « mineur », donc non notifié.
📌 Du point de vue de la Production, l’enjeu principal est la continuité (ne pas arrêter les lignes ni les livraisons).
📌 Du point de vue du QA, le défi est inverse : démontrer que chaque maillon externe est gouverné par le PQS avec la même rigueur que le site de fabrication.
Cet article propose un framework avancé pour construire un Vendor Assurance Program capable de résister aux inspections (EU GMP / activités externalisées) et de réduire les mauvaises surprises.
1) Vendor Assurance Program : le penser comme un cycle de vie (et non comme « un audit tous les X ans »)
Un programme mature comprend 5 phases :
- Screening & onboarding (questionnaire + documents clés)
- Qualification initiale (audit/évaluation + décision basée sur le risque)
- Quality Agreement / Technical Agreement (rôles et flux d’information)
- Suivi continu (KPI + trending + réévaluations périodiques)
- Escalade / déqualification (lorsque le risque dépasse le seuil acceptable)
✅ À retenir :
L’erreur la plus coûteuse est de croire que « qualifié » signifie « conforme pour toujours ».
2) Risk ranking : ce qui rend un fournisseur réellement « critique »
C’est ici que tout se joue. Si le classement des risques est faible, le plan d’audit le sera aussi.
Tableau — Critères de Supplier Risk Assessment (SRM)
| Facteur de risque | Exemples pratiques | Impact sur audits/contrôles |
|---|---|---|
| Criticité du matériau | API, conditionnement primaire stérile, excipient fonctionnel | Audits plus fréquents + contrôles à réception renforcés |
| Type de procédé | Synthèse complexe, biologique, stérile | Focus contamination/cross-contamination, CCS/EM |
| Single source | Aucune source alternative | Nécessite plans de continuité + stock de sécurité |
| Maturité du QMS | CAPA lentes, change control faible | Escalade et audits ciblés |
| Risque data integrity | LIMS/instruments sans audit trail review | Vérifications techniques des accès, audit trail, raw data |
| Sous-traitance | Utilisation de sous-traitants non déclarés | Clauses renforcées + droit d’audit étendu |
LSI utilisés par vous et par l’inspecteur :
supplier risk assessment, QRM, audit frequency, critical material, single source, subcontractor control, data integrity, raw data, audit trail, CAPA effectiveness.
3) Audit de qualification : les questions qui font la différence (pas la checklist « standard »)
Un audit efficace n’est pas une visite guidée ; c’est un test de maîtrise.
Questions à forte valeur diagnostique
- Comment fonctionne votre change control ? Qui évalue l’impact client ?
- Montrez un exemple réel d’investigation de déviation et de CAPA associée (avec effectiveness check).
- Comment gérez-vous les OOS/OOT et le trending ? Qui décide de l’escalade ?
- Comment garantissez-vous la traçabilité et l’intégrité des données (papier/électronique) ?
- Comment gérez-vous la cleaning validation et la prévention de la cross-contamination ? (si pertinent : HBEL/PDE)
- Comment gérez-vous les sous-traitants et les activités externalisées ?
- Si vous êtes un contract lab/CMO : comment gérez-vous les batch records, la lot disposition et les déviations client ?
📌 Un problème fréquent est la « CAPA cosmétique » : rapport parfait, mais aucune preuve d’efficacité réelle. En inspection, cela devient un finding de « lack of effectiveness ».
4) Quality Agreement : les 12 clauses qui vous protègent réellement
Beaucoup d’accords sont « juridiques », mais pas inspectables. Ils doivent être opérationnels.
Tableau — Clauses essentielles (version QA)
| Clause | Contenu opérationnel attendu | Intérêt pour l’inspecteur |
|---|---|---|
| Notification des changements | délais, seuils, classification | Évite surprises et dérive de procédé |
| Déviations & OOS/OOT | qui notifie, quand, niveau de détail | Transparence et décisions rapides |
| Right to audit | audits on-site/remote, accès zones et enregistrements | Oversight réel |
| Sous-traitance | interdiction ou approbation préalable | Contrôle de la chaîne |
| Data integrity | gestion des accès, audit trail review, rétention raw data | Réduction du risque de falsification/perte |
| Réclamations & recall | flux, délais, rôles | Protection patient et conformité |
| Conservation documentaire | durées, formats, disponibilité | « Available/Enduring » sur le cycle de vie |
| KPI & performance review | indicateurs et réunions périodiques | Preuve de suivi continu |
| Transport (si applicable) | responsabilités, température, écarts logistiques | Intégration GDP/cold chain |
| Échantillons de rétention | qui conserve, combien de temps, comment | Support aux investigations/stabilité |
| Formation & qualification | exigences minimales, matrice de compétences | Réduction de la variabilité humaine |
| Escalade & déqualification | triggers, actions, stop-ship | Démontre la gouvernance du risque |
✅ À retenir :
Un Quality Agreement sans mécanisme de notification des changements ni règles de sous-traitance est une bombe à retardement.
5) CoA et « skip testing » : avantage compétitif ou piège ?
Insight contrarien (mythe à démonter) :
« Si le CoA est conforme, on peut réduire les tests sans réfléchir. »
La réduction des tests, lorsqu’elle est défendable, est un projet piloté par le QA, pas un raccourci supply chain.
Approche robuste (audit-friendly)
- Identity test toujours lorsque requis et justifié par le risque
- Vérifications périodiques planifiées (fréquence définie et justifiée)
- Comparaison des tendances CoA vs tendances internes (détection de dérive)
- Gestion des écarts CoA comme des déviations avec escalade
📌 Production : moins de tests = lead time plus court.
📌 QA : moins de tests sans gouvernance = risque accru de « défaut silencieux ».
6) Gestion des changements fournisseur : le « Supplier Change Control »
Pour zéro surprise, il faut un processus interne couvrant :
- la réception des change notifications
- l’impact assessment (Quality/Regulatory/Production/Validation)
- la décision de bridging (comparabilité, études, contrôles additionnels)
- la mise à jour des spécifications/instructions et variations réglementaires si applicables
- la clôture avec preuves et mise à jour du risk ranking
LSI utiles : supplier change control, impact assessment, comparability, specification update, deviation escalation, risk acceptance criteria.
7) KPI fournisseurs : quoi mesurer pour anticiper les problèmes
Un programme moderne utilise des Supplier Quality Metrics.
Exemples (prêts pour dashboard)
- OTD (on-time delivery) et right-first-time
- Taux de discordance CoA (même mineure)
- Taux de déviations par lot attribuables au matériau
- Délai de clôture des findings d’audit
- Rapidité de notification des changements
- Taux de réclamations liées au matériau/packaging
- Corrélation entre lots fournisseur et échecs internes
✅ À retenir :
KPI sans action = théâtre. KPI avec triggers = gouvernance
(ex. « closure time > X jours → escalade et requalification »).
8) Quand le fournisseur est en crise : contenir sans arrêter le business
Ici, le QA devient aussi risk manager.
Stratégie concrète
- Quarantaine des lots suspects + arbre décisionnel d’utilisation
- Renforcement temporaire des contrôles à réception
- Audit extraordinaire ou ciblé (data integrity, change control)
- Plan de continuité (seconde source, stock de sécurité, packaging alternatif)
- Communication interne claire (Production/QC/Supply/RA)
📌 En inspection, les auditeurs apprécient de voir contrôle et pragmatisme ensemble : pas « tout arrêter », mais contenir avec des critères et démontrer un risque maîtrisé.
Checklist « 10 minutes » pour la revue d’un Quality Agreement
- Notification des changements : seuils + délais + canal + approbation préalable
- Déviations/OOS/OOT : délais de notification + accès aux preuves
- Sous-traitance : déclarée + approbation préalable
- Data integrity : accès, audit trail, conservation raw data
- Recall/réclamations : rôles et SLA clairs
- KPI et réunions périodiques de performance
FAQ
- Tous les fournisseurs doivent-ils être audités on-site ?
Non. L’approche doit être risk-based. Il faut toutefois démontrer le rationnel (supplier risk assessment + preuves alternatives) et le réévaluer périodiquement. - Qui doit signer le Quality Agreement ?
Généralement le QA (et/ou le QP selon le système), avec le support du Legal/Achats. L’essentiel est que le document soit opérationnellement utilisable. - Qu’est-ce que la Written Confirmation pour les API importées ?
C’est une exigence/document de chaîne d’approvisionnement que le QA doit gérer lors de l’importation d’API depuis des pays hors UE, garantissant la conformité GMP du fabricant.
Si vous souhaitez standardiser ces processus avec des templates et checklists (supplier risk assessment, structure de rapport d’audit, clauses de quality agreement), le guide opérationnel du QA Manager est le conteneur idéal d’outils immédiatement exploitables.
