Intégrité des données ou data integrity

Introduction : rappel sur l’intégrité des données

Assurer l’intégrité des données correspond à la capacité de garantir l’exhaustivité, la précision, l’exactitude et la validité des données durant tout leur cycle de vie. Cette démarche rend compte du cycle de vie de la donnée et des altérations fortuites ou intentionnelles que la donnée a pu subir.

De nombreux documents officiels font référence à la notion d’intégrité des données. Voici quelques-unes des définitions proposées :

  • Selon la norme ISO/CEI 27000:2016, « l’intégrité est la propriété d’exactitude et de complétude ».
  • Le Référentiel Général de Gestion des Archives définit l’intégrité comme la « qualité d’un document ou d’une donnée qui n’a pas été altéré. Dans le monde numérique, un document ou une donnée est réputé intègre si son empreinte à un temps t+1 est identique à l’empreinte prise à un temps t. »
  • Selon l’Instruction Générale Interministérielle n°1300, c’est la « propriété assurant qu’une information ou un traitement n’a pas été modifié ou détruit de façon non autorisée ».

Assurer l’intégrité des données signifie donc que les informations transmises ou stockées resteront fiables, cohérentes, exactes, vérifiables quels que soient leur durée de conservation et leur usage. C’est l’une des dimensions de la Gouvernance des Données.

De manière pratique, derrière la notion d’intégrité des données, il y a de nombreuses questions : « Savez-vous qui effectue des modifications sur vos données ? Etes-vous capable d’identifier tous les changements qui ont impacté vos données ? Comment pouvez-vous prouver à des tiers que vos données n’ont pas été altérées ? Comment garantissez-vous à chaque instant que vos données soient fiables et valides ? »

Cet article traitera de l’intégrité des données stockées sur des supports numériques. En effet l’intégrité des données peut aussi concerner des supports papier par exemple. De même on se concentrera sur l’intégrité logique plutôt que sur l’intégrité physique.

Il y a plusieurs types d’intégrité logique: intégrité de l’entité, intégrité référentielle ou de relation, intégrité de domaine et l’intégrité définie par l’utilisateur (c’est-à-dire selon des règles spécifiques que les trois autres types d’intégrité ne couvrent pas).

Quels types de données numériques sont concernés ?

L’intégrité concerne tous les types de données numériques. De manière générale, on retrouve en particulier deux grandes catégories :

  • Les fichiers : documents bureautiques, vidéos, images… mais aussi les fichiers liés à l’exploitation du SI comme les journaux d’événements ou les fichiers de configurations ainsi que les programmes informatiques.
  • Les données au sein des bases de données, aussi bien métier que technique

Focus sur l’intégrité des données dans le système qualité pharmaceutique

L’intégrité des données concerne tous les secteurs d’activité. Bien sûr, les exigences seront d’autant plus fortes que le secteur gérera des données critiques avec des impacts financiers, humains ou stratégiques : l’industrie pharmaceutique est donc parmi les premiers secteurs concernés ! L’intégrité des données y est une contrainte légale forte.

L’intégrité des données est considérée, à juste titre, comme un élément important de la responsabilité de l’industrie pharmaceutique pour assurer la sécurité, l’efficacité et la qualité des médicaments, et de la capacité des agences de santé à protéger la santé publique.

En France

En France, l’annexe 11 du Guide des Bonnes Pratiques de Fabrication de l’ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) sur les systèmes informatisés fait référence à l’intégrité des données : contrôles intégrés pour garantir l’exactitude et la sécurité des entrées et des traitements de données, contrôle d’exactitude sur les données, intégrité des données sauvegardées et archivées, traçabilité des modifications…  Il est clairement indiqué que la gestion du risque doit prendre en compte l’intégrité des données.

Aux Etats-Unis

Aux Etats-Unis, la FDA  (Food and Drug Administration) accorde aussi une place critique à l’intégrité des données. C’est une exigence primordiale du système qualité pharmaceutique défini dans les GMP (Good Manufacturing Practices). L’acronyme ALCOA pour Attributable, Legible, Contemporaneous, Original et Accurate est utilisé pour définir les cinq qualités nécessaires pour maintenir l’intégrité des données. Les principes initiaux d’ALCOA ont été complétés par ALCOA+ avec « Complete », « Consistent », « Enduring » et « Available ». Les données doivent ainsi être attribuables, lisibles, contemporaines, originales, pertinentes, complètes, cohérentes, durables et disponibles.

Qu’est-ce qu’un défaut d’intégrité sur les données ? Quelles sont ses causes et ses conséquences ?

Un défaut d’intégrité correspond à une altération ou une destruction des données. L’impact peut être immédiat ou non. Si dans certaines situations le défaut peut n’avoir aucun impact comme par exemple dans le cas un document conservé à titre d’archivage légal, dans d’autres les conséquences peuvent être très graves !

Les causes courantes d’altération des données

  • Les tentatives de fraudes internes, les nuisances externes (ex : cybercrime),  les virus informatiques
  • Les défaillances techniques du Système d’Information (ex : un bug dans une application qui supprime la mauvaise donnée, une validation inadéquate…)
  • Les erreurs lors des transferts d’informations ou des réplications
  • Les erreurs humaines de saisie, d’exploitation ou de manipulation
  • Les risques matériels (incendie, panne…)

Les conséquences des défauts d’intégrité des données

Ces causes peuvent entrainer la création d’enregistrements inexacts ou incomplets, l’antidatation d’informations, la fabrication de données incohérentes, l’élimination de données, la détérioration des informations…

Et débouchent sur des risques pour l’entreprise :

  • Prise de décisions stratégiques sur des données erronées
  • Perte de productivité et perte de temps et d’argent pour corriger les erreurs, identifier leurs causes etc.
  • Sanctions légales
  • Déficit d’image de marque

De la théorie aux retours d’expérience concrets, toutes les clés pour réussir votre projet MDM.

Comment assurer l’intégrité des données ? Quelles sont les bonnes pratiques à suivre ?

Protéger l’intégrité des données implique de pouvoir identifier les modifications anormales de données et, si nécessaire, de retrouver une version des données antérieure. Il s’agit aussi de pouvoir prouver que les données n’ont pas été modifiées.

Si la sécurité des données est l’une des facettes permettant d’assurer leur intégrité (la « protection »), ce n’est que l’une d’elles ! Il ne faut pas confondre les deux. La gestion des systèmes d’information ou les mécanismes de détection de fraudes sont tout aussi importants.

Ainsi, assurer l’intégrité des données requiert de :

  • Fiabiliser la collecte des données. Toute entrée doit être vérifiée et validée et être cohérente avec le dictionnaire de données.
  • Contrôler les permissions et les droits d’accès et de modification
  • Centraliser et garantir l’unicité de vos bases de données. L’intégrité repose aussi sur le fait que l’information qui est utilisée est la bonne !
  • Surveiller toutes les modifications effectuées sur les données (ajout, suppression, modification…) et disposer d’un historique complet et non-falsifiable.
  • Assurer la sauvegarde les données et la capacité à restaurer des informations
  • Réaliser de manière périodique des audit trails : écrasement de données, traitements interrompus, tests de conformité, suppression de données, antidatage, modifications…
  • Former, préparer et impliquer le personnel ! Le maillon humain est souvent le plus critique. Il faut documenter les procédures, définir les règles et les obligations, faire comprendre les enjeux… Les fournisseurs et les partenaires ont aussi leur rôle à jouer dans la chaine d’intégrité des données.  Il faut définir avec eux les responsabilités, les contrôles à mener et préciser les processus de communication et leur matérialisation informatique.

Gouverner les données pour garantir leur intégrité

L’intégrité des données désigne aussi bien un état qu’un processus. Nous sommes convaincus chez Blueway qu’elle repose sur la complémentarité entre les différentes dimensions de l’échange de données afin d’assurer leur gouvernance : les référentiels, les processus ainsi que la circulation des informations entre les applications internes et externes du SI. L’adhérence des processus au Système d’Information n’est pas une option pour contrôler l’exactitude, la traçabilité ou l’évolution des données pendant tout leur cycle de vie !

Nous accordons aussi une place importante à la dimension humaine. La rupture entre les besoins des utilisateurs et les solutions informatiques sont une des sources de défaut d’intégrité (solution palliative, problème de sécurité…).

De plus, la traçabilité et la non-répudiation des modifications ne suffisent pas toujours à assurer l’intégrité des informations au sein de la base de données. Il est toujours possible à quelqu’un disposant des droits d’aller directement dans la base de données pour supprimer ou modifier des éléments. La non-falsifiabilité est aussi essentielle, et c’est pour cela que Blueway innove avec l’association entre blockchain et Master Data Management.

Vous souhaitez échanger sur l’intégrité des données ? Prenez-rendez vous avec un expert Blueway

Au plaisir de discuter avec vous