The basics of Data Integrity in GMP

Dans l’industrie des sciences de la vie, vous devez garantir l'intégrité des données que vous recueillez sur votre produit, et ce de la R&D à la production et jusqu’à la chaîne d'approvisionnement. Est-ce une tâche facile ? Certainement pas. Après tout, elle comprend généralement de nombreux fournisseurs, des fabricants, une chaîne d'approvisionnement et des laboratoires internationaux. Suivre toutes les réglementations requises aux différentes étapes peut être décourageant, mais s'assurer de la conformité de vos données se traduit en fin de compte par des produits de qualité sur le marché.


Quels sont donc les éléments essentiels qui permettent de répondre à toutes les exigences de conformité de l'intégrité des données ?

De la R&D à la production jusqu’à la chaîne d'approvisionnement, vous devez garantir l'intégrité des données que vous recueillez.


Où se trouvent les risques d'intégrité des données ? Ce webinaire vous donne les outils pour le déterminer :

· Process mapping

· Identification des Données & Systèmes

· Catégorisation

· Evaluation des risques

· Gestion des risques


Participez au prochain webinaire sur l'intégrité des données et découvrez comment évaluer les risques.

Inscrivez-vous ici.


Réglementations importantes


FDA 21CFR Partie 11 : Enregistrements et signatures électroniques

La réglementation de la FDA sur les enregistrements électroniques et les signatures électroniques (ERES). Généralement connue sous le nom de Part 11, elle définit les critères selon lesquels les enregistrements électroniques et les signatures électroniques sont considérés comme dignes de confiances, sérieux et peuvent être utilisés pour remplacer les enregistrements papier dans votre processus.

Selon la réglementation, les enregistrements de données doivent être fiables et précis tout au long de leur cycle de vie. À cette fin, la FDA se réfère au célèbre principe/acronyme ALCOA.


FDA : Intégrité des données et conformité aux cGMP

Outre les règlements de la partie 11, la FDA fournit également un document d'orientation qui aide à clarifier l'impact de l'intégrité des données dans un environnement cGMP. Bien qu'il ne soit pas juridiquement contraignant, il contient une excellente liste de questions-réponses qui répond à de nombreuses interrogations pratiques concernant l'intégrité des données. Si vous souhaitez vérifier l'intégrité des données de vos systèmes et processus, c'est un excellent document pour commencer.


GAMP Record & Data Integrity

Le GAMP décrit les principes et les procédures qui facilitent la production de produits de qualité. Il présente des lignes directrices utiles pour le développement de systèmes allant de la réception des matières premières à la formation et à l'hygiène du personnel (à mettre en début de paragraphe). Pour ceux qui sont impliqués dans la mise en œuvre de systèmes de production automatisés, le GAMP est utiles mais il ne s'agit pas un document législatif.

Il se concentre sur le processus de fabrication complet en stipulant que "la qualité ne peut pas être testée dans un lot de produits mais doit être intégrée à chaque étape du processus de fabrication".


EU-GMP Annex 11

Dans l'Union européenne, l'annexe 11 définit les termes de référence pour les systèmes informatisés. Il ne s'agit pas d'une réglementation, comme le FDA 21 CFR Part 11. Ces directives sont assez similaires à leur homologue américain et définissent les critères selon lesquels les enregistrements électroniques et les signatures électroniques doivent être gérés.


MHRA, PIC/S, WHO, and EMA.

Certaines organisations ont rédigé leurs propres lignes directrices, qui sont conçues pour faciliter une conformité, tout en clarifiant leur position à ce sujet et à ce qu'elles attendent des fabricants. Vous trouverez également ci-dessous d’autres lignes directrices importantes :

MHRA - GxP data integrity

PIC/S - Gestion et Intégrité des données dans les environnements réglementés GMP/GDP.

WHO - Data and record management

EMA – Data Integrity


Le principe de l'ALCOA et le cycle de vie des données

Si vous cherchez l'intégrité des données sur Google, vous ne pourrez pas échapper au principe de l'ALCOA. Même la FDA y fait référence et cet acronyme s'est avéré être un outil précieux pour fournir la preuve de la conformité et de l'intégrité opérationnelle de vos données.


Attribuables – Qui a effectué une action et quand ?

Lisibles – Pouvez-vous lire le fichier de données ?

Contemporaines – Documentées en même temps que le développement de l’activité.

Originales – Enregistrement original ou copie certifiée conforme.

Exactes (Accurate) – Aucune erreur ou modification sans amendement documenté.


Outre ces principes, les enregistrements de données doivent également être complets, cohérents, durables et doivent toujours être disponibles pour un examen ou une inspection.


Ces principes s'appliquent tout au long du cycle de vie d'un enregistrement de données, dont l'EMA donne un aperçu concis :


1. Génération et enregistrement des données

2. Transformation en informations utilisables

3. Vérification de l'exhaustivité et de l'exactitude des données déclarées et des informations traitées

4. Utilisation des données (ou des résultats) pour prendre une décision

5. Conservation et extraction des données afin de les protéger contre la perte ou la modification non autorisée

6. Retrait ou élimination des données d'une manière contrôlée à la fin de leur vie


Éléments de conformité en matière d'intégrité des données

Les différentes autorités ont pafois des points de vue différents sur certains aspects de la conformité, mais les éléments suivants doivent figurer sur votre liste de contrôle si vous souhaitez mettre en place un système conforme à l'intégrité des données.


1. Piste d'audit

La piste d’audit est un enregistrement électronique sécurisé, généré par un ordinateur et horodaté, qui vous permet (ou à l'inspection) de reconstituer certains événements liés à la création, à la modification ou à la suppression d'un enregistrement électronique. Il s'agit de l'ordre chronologique de « qui, quoi, quand et pourquoi » il y a eu une modification au document. Les actions qu'une telle piste d'audit doit également capturer sont l'écrasement ou la suppression, l'interruption de l'exécution, l'antidatation ou simplement l'altération des données. Il s'agit en fait de données nécessaires pour s’assurer que les enregistrements sont corrects et n'ont pas été altérés). Il est également recommandé (FDA) de prévoir un examen régulier de la piste d'audit en fonction de la complexité du système et de son utilisation prévue.


2. Métadonnées

Les métadonnées sont les informations contextuelles nécessaires à la compréhension des données. Des valeurs telles que des nombres, par exemple, seraient inutiles sans informations supplémentaires décrivant ce qu'elles "signifient" (pensez en termes de mg, s et m, mais aussi à l'heure et au lieu des cachets électroniques). En outre, les métadonnées facilitent la récupération, l'utilisation ou la gestion des données. Tout comme l'enregistrement proprement dit, les métadonnées doivent être sauvegardées pendant toute la durée de vie légale de l'enregistrement afin de pouvoir reconstituer toute activité CGMP (dans une piste d'audit, par exemple).


3. Contrôle d'identification ID et mot de passe

Tout comme les documents eux-mêmes, les utilisateurs des systèmes qui génèrent des documents électroniques ou signés numériquement sont soumis à des règles d'identification. Des problèmes peuvent survenir avec les mots de passe, les codes d'identification (noms d'utilisateur uniques), l'absence de changements périodiques des mots de passe pour assurer la conformité et le manque de définition des rôles et du statut d'accessibilité comme opérateur et administrateur. Pour des raisons évidentes, cela peut conduire à la falsification des données dans le pire des cas.


4. Différence entre les enregistrements statiques et dynamiques

Le document guide de la FDA différencie l'utilisation des termes "statique" et "dynamique" concernant le format des enregistrements :


Statique : document de données fixes, tel qu'un enregistrement papier ou une image électronique.


Dynamique : Ce format d'enregistrement permet une interaction entre l'utilisateur et le contenu de l'enregistrement. Par exemple, un chromatogramme dont les paramètres d'intégration peuvent être modifiés.


5. Sauvegarde des données

La sauvegarde de vos données doit être indentique à vos enregistrements originaux. La FDA la définit comme une "copie conforme des données originales, stockée de manière sécurisée pendant toute la période de conservation des enregistrements, qui doit inclure les métadonnées et être stockée de manière sécurisée pendant toute la période de conservation des enregistrements".


Vos données de sauvegarde doivent être exactes, complètes et sécurisées et elles ne doivent être modifiées en aucune façon. La simple création d'une copie de sauvegarde temporaire serait jugée insuffisante par les autorités.


6. Validation du système

La définition d'un système de validation dans ce cas est assez large et comprend non seulement le matériel et les logiciels, mais aussi les périphériques, les réseaux et les éléments du cloud. Outre ces aspects techniques, les opérateurs du système, les manuels d'utilisation et les procédures opérationnelles sont également inclus au sein de ce système, vous devez vous assurer de :


1. Valider les workflows dans le système

2. Installer des contrôles pour garantir un accès uniquement sur autorisation

3. Attribuer le rôle d'administrateur à une personne qui est indépendante du contenu de l'enregistrement

4. Tenez une liste des personnes autorisées avec leurs privilèges d'accès


7. Formation

L'influence de la culture de l'entreprise et des employés peut avoir une incidence sur l'intégrité des données. Veillez donc à former périodiquement le personnel à la détection des problèmes d'intégrité des données dans le cadre de leur manuel de formation et conservez-en également des traces.


Bien que le personnel doive avoir une compréhension de l'intégrité des données et de ses responsabilités dans le processus (en fonction de son rôle). Les propriétaires du processus, du système et des données doivent recevoir une formation supplémentaire sur les conséquences des violations de l'intégrité afin d'assurer un état d'esprit approprié à ce sujet.


Questions relatives à l'intégrité des données


1. Criticité

Tôt ou tard, vous rencontrerez un problème d'intégrité des données et vous devrez décider de sa criticité. Les deux questions suivantes sont importantes et doivent être votre principal objectif pour déterminer le degré de criticité de la situation dans laquelle vous vous trouvez. Quelle décision les données influencent-elles ? Quel est l'impact des données sur la qualité ou la sécurité du produit ?


Est-ce qu'il s'agit des :

· Altérations, suppressions, pertes ou re-créations/falsifications

· Reprises des données après un sinistre

· Processus incohérents, ouverts

· Méthodes de génération et de traitement des données

· Interfaces manuelles avec IT

· Croyances générales qu'il n'y a "aucun risque" de défaillance de l’intégrité des données


2. Trouver les faiblesses

Les directives PIC/S présentent une liste de contrôle très utile des thématiques à aborder si vous souhaitez prévenir, détecter et corriger les faiblesses en matière d’intégrité de données dans votre système de gestion de la qualité pharmaceutique :


· Gestion du risque qualité

· Programmes d'investigation

· Pratiques de révision des données

· Validation des systèmes informatiques

· Sécurité informatique

· Gestion des fournisseurs et des sous-traitants

· Programmes de formation

· Stockage et récupération des dossiers terminés, y compris les activités de stockage de données externalisées

· Supervision de l'achat d'équipements critiques GxP qui intègrent des exigences conçues pour répondre aux attentes en matière d'intégrité des données, par exemple l'URS

· Programme d'auto-inspection incluant la qualité et l'intégrité des données

· Indicateurs de performance (mesures de la qualité) et rapports à la direction


3. Traiter les problèmes de DI

Si vous avez trouvé un problème d'intégrité des données, l'approche retenue ne diffère pas des autres déviations que vous rencontrez ailleurs. Il faut :

  • Déterminer l'étendue

  • Analyser les causes racines du problème

  • Prendre des mesures correctives et préventives, y compris le principe ALCOA

  • Se baser sur des preuves scientifiques

Outre ces normes, il faut envisager une communication ouverte et transparente de ces questions et des attentes de l’intégrité des données, évaluer la vulnérabilité des systèmes informatisés et mettre en œuvre une politique spécifique



Blog by: Nick Veringmeier - Business Director NL