Validation du WMS en GDP : Data Integrity et Audit Trail pour la Responsible Person

Validation du WMS en GDP : Data Integrity et Audit Trail pour la Responsible Person

Validation du WMS en GDP : Data Integrity et Audit Trail — ce que l’inspecteur demande vraiment

Si, pendant une inspection, on vous demande : « Qui a modifié la date de péremption de ce lot, et pourquoi ? », on ne teste pas l’opérateur logistique. On teste votre système.

Et c’est bien là le point : aujourd’hui, en GDP, la compliance ne se joue plus seulement sur les chambres froides et les bons de livraison. Elle se joue sur les enregistrements électroniques, les audit trails et la gouvernance IT.

En 30 secondes

Un WMS n’est pas “GDP-compliant” parce qu’il fonctionne. Il est GDP-compliant lorsqu’il peut démontrer ce qui s’est passé, qui l’a fait et quand.
La CSV (Computer System Validation) en logistique échoue presque toujours pour les mêmes raisons : URS faibles, testing superficiel, droits d’accès trop larges et audit trail présent mais jamais revu.
Le mythe dangereux est : « On imprime un PDF et c’est bon. »
Spoiler : non.

Le vocabulaire que l’on retrouve dans les findings (LSI “langage d’inspecteur”)

Dans le périmètre GDP digital, préparez-vous à entendre, et à devoir démontrer : CSV, URS, matrice de traçabilité, IQ/OQ/PQ, GAMP 5, EU Annex 11, 21 CFR Part 11, ALCOA+, audit trail review, RBAC (role-based access control), segregation of duties, change impact assessment, backup/restore test, disaster recovery.

Quelles données du WMS sont réellement “GDP-critical”

En audit, la question implicite est toujours :
« Si cette donnée était erronée ou manipulée, pourrais-je perdre la traçabilité ou libérer un produit non conforme ? »

Tableau : données critiques et contrôles attendus

Donnée / objet dans le WMS/ERP Risque GDP si erroné Contrôle “audit-proof” attendu
Lot / batch recall incomplet, traçabilité rompue audit trail actif, rapports one-step-back/forward, contrôles à réception
Date de péremption FEFO faussé, expédition de produit périmé blocage logique, audit trail sur modification, workflow d’approbation
Statut du stock (quarantaine/libéré/bloqué) libération inappropriée quarantaine électronique, autorisations ségrégées, event log
Quantités déplacées écart d’inventaire, vols internes non détectés réconciliations, exception reports, contrôles sur adjustments
Timestamps des opérations reconstruction des événements non fiable synchronisation horaire (NTP), gouvernance des fuseaux horaires, contrôles de clock drift
Interfaces (portail de commandes, sérialisation, TMS) perte ou altération de données interface validation, contrôles de complétude, gestion des erreurs

Du point de vue de la fabrication, le WMS est souvent considéré comme “hors du périmètre GMP”. En audit GDP, au contraire, il devient un système qualité : s’il n’est pas maîtrisé, la Responsible Person se retrouve sans preuve objective.

Le responsable RGPD : Guide complet des bonnes pratiques de distribution pharmaceutique

CSV en GDP : comment la faire sans une “validation en papier mâché”

En audit, le problème le plus fréquent que j’observe est le suivant : des entreprises avec un joli “Validation Report”, mais sans logique de risque, sans traçabilité entre exigences et tests, et avec des tests qui ne couvrent pas les vrais failure modes.

Une approche pratique qui tient en inspection

1) GxP scoping et risk assessment

Identifiez les fonctions à impact GxP, par exemple :

  • blocage des péremptions
  • quarantaine
  • traçabilité
  • intégration de la sérialisation

Classez le système selon une logique de type GAMP 5 : configuré, personnalisé, SaaS ?

2) URS robustes — pas “le système doit fonctionner”

Exemple d’URS utile :

« Le système doit empêcher l’expédition de lots dont la date de péremption est antérieure à la date d’expédition et doit enregistrer l’événement dans l’audit trail. »

3) Matrice de traçabilité

Chaque URS doit se retrouver dans un ou plusieurs cas de test. Si ce lien manque, c’est un gap d’audit.

4) Testing IQ/OQ/PQ — y compris avec des cas “sales”

  • IQ : installation / environnement
  • OQ : fonctions et contrôles, comme les rôles, blocages, audit trail, timestamps
  • PQ : processus réels, par exemple réception → stockage → picking → expédition → rework

5) Data migration et master data governance

Si vous importez des master data, des données produit ou des dates de péremption, vous devez disposer de preuves montrant que vous n’avez pas “pollué” les données.

C’est souvent là que commencent des incidents comme :
unité de mesure mal interprétée, box vs pack → expéditions erronées.

6) Go-live avec un quality gate

L’IT ne doit pas décider seule. Le go-live doit comporter un quality gate, avec les preuves minimales formellement clôturées.

À retenir

Un WMS n’est pas validé parce que le vendor dit qu’il l’est.
Il est validé lorsque vous pouvez démontrer que la configuration et l’utilisation du système dans votre processus GDP sont sous contrôle.

Audit trail : l’activer ne suffit pas — il faut le revoir

Contrarian insight, mythe courant :
« On active l’audit trail et, si besoin, on le regardera plus tard. »

C’est une pratique obsolète parce qu’elle :

  • transforme l’audit trail en outil réactif, et non en mécanisme de contrôle
  • laisse la porte ouverte au data integrity drift, c’est-à-dire à des erreurs répétées ou à des comportements opportunistes

Ce que signifie “audit trail review” dans la pratique

Commencez par définir les champs critiques :

  • date de péremption
  • lot
  • statut
  • ajustements de quantité
  • override des blocages

Définissez ensuite une fréquence de revue basée sur le risque :

  • mensuelle sur échantillons
  • trimestrielle sur tendances
  • ad hoc sur événements spécifiques

Recherchez des patterns typiques :

  • modifications répétées des dates de péremption
  • suppressions ou overrides anormaux
  • activité “hors horaires” non justifiée
  • usage excessif de profils admin

En audit, la question clé est :
« Pouvez-vous me montrer la preuve que l’audit trail est revu avant qu’un problème ne se transforme en recall ? »

Accès, rôles et ségrégation : même les bonnes entreprises tombent ici

Le problème le plus fréquent que j’observe en audit est un compte partagé sur des terminaux ou handhelds, comme “MAGASIN1”, ou des profils trop puissants “par commodité”.

Des contre-mesures qui fonctionnent vraiment

  • RBAC : rôles minimaux nécessaires
    picking ≠ master data ≠ release/quarantaine
  • Processus Joiner–Mover–Leaver : pour créer, modifier et désactiver les accès
  • User access review périodique : au moins annuelle, mieux semestrielle pour les rôles critiques
  • MFA lorsque c’est possible, surtout pour les accès distants et les rôles admin
  • Segregation of duties : la personne qui crée ou met à jour les master data ne devrait pas approuver les exceptions

Le responsable RGPD : Guide complet des bonnes pratiques de distribution pharmaceutique

Patches et upgrades : quand l’IT “améliore” et que la GDP se dégrade

Mettre à jour un système est normal. Le faire sans contrôle est un risque GDP.

Checklist pratique

  • chaque patch ou upgrade passe par un change impact assessment
  • il existe un environnement TEST séparé
  • vous réalisez des regression tests sur les processus GDP-critical
  • le résultat et la mise en production sont documentés
  • pour le SaaS : vendor qualification plus preuve des release notes et de l’évaluation d’impact

Du point de vue IT, un changement logiciel semble souvent “routine”.
Du point de vue GDP, il peut être à l’origine de :

  • blocages de péremption qui ne fonctionnent plus
  • audit trail dégradé
  • rapports de traçabilité qui ne sont plus reproductibles

Encadré de synthèse

  • CSV en GDP = processus + preuves, pas un PDF dans un dossier partagé
  • Audit trail = actif + protégé + revu
  • Les 3 grands killers en audit : droits d’accès, absence de revue, changements IT non maîtrisés
  • Si vous perdez la data integrity, vous perdez aussi la capacité à exécuter un recall efficace

FAQ

La 21 CFR Part 11 est-elle nécessaire dans une entreprise européenne ?

Pas toujours comme obligation légale directe. En revanche, les concepts sous-jacents, comme l’audit trail, les signatures électroniques et les contrôles d’accès, sont souvent attendus comme best practice lorsqu’on gère des enregistrements électroniques GxP.

Quels systèmes faut-il valider en GDP ?

Tous les systèmes qui impactent la traçabilité, le statut du stock, les dates de péremption, la température, la sérialisation et le reporting de recall. Typiquement :

  • WMS / ERP
  • systèmes de monitoring de température
  • modules de sérialisation
  • interfaces de commande

À quelle fréquence faut-il faire l’audit trail review ?

La meilleure approche est risk-based : mensuelle sur échantillons pour les champs critiques, et plus souvent si vous avez beaucoup d’exceptions.

Retour au blog

Vous cherchez quelque chose de spécifique ?