Pour conduire une investigation clinique en France, il est impératif de se conformer au RGPD. Les experts de l'AFCROs rappellent les exigences de ce règlement européen quant à la collecte de données personnelles. Ils exposent aussi la manière, pour les promoteurs, d'attester de leur mise en conformité.

Marie Caillaud (source : Axelys Santé)

Anne-Claire Thieulin (source : eCCF Normandie)

Par Anne-Claire Thieulin et Marie Caillaud du groupe AFCROs-DM

À l’heure où les technologies numériques, notamment l’intelligence artificielle, permettent une exploitation massive des données, la protection des données personnelles dans le cadre des investigations cliniques constitue un enjeu essentiel.

Le Règlement européen (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit Règlement Général sur la Protection des données (RGPD), impose un cadre strict visant à garantir la protection des données personnelles des participants aux investigations cliniques. Afin d'être en conformité avec le cadre juridique européen, la loi française « Informatique et Libertés » a été révisée. En cas de manquement, les risques sont significatifs : des sanctions pénales et administratives peuvent être appliquées, incluant des amendes susceptibles d’aller jusqu’à plusieurs millions d’euros, sans compter l’impact sur l’image de l’entreprise.

Collecter des données personnelles lors d'une investigation clinique

Le RGPD décrit deux acteurs principaux : le responsable de traitement (RT) et le sous-traitant (ST) qui agit pour le compte du RT. Dans le cadre d’une investigation clinique, le promoteur est le RT. À ce titre, il définit les finalités et les moyens du traitement des données. Ces dernières doivent être déterminées dès la phase de design et de rédaction des documents tels que protocole et CRF. Elles sont explicites et légitimes au regard des objectifs de la recherche.

Les données traitées doivent être licites - c’est-à-dire conformes à la loi - et limitées à ce qui doit être nécessairement collecté au regard de la finalité poursuivie. La licéité du traitement des données est donc essentielle, les données collectées pourront être analysées si et seulement si elles ont été obtenues en respectant une des bases légales [ou fondement juridique du traitement des données] décrites à l’article 6 du RGPD. Concernant les investigations cliniques, plusieurs bases légales peuvent être retenues par le RT : l’intérêt légitime (obligations réglementaires du promoteur, objectif scientifique motivé par une meilleure connaissance du dispositif), l’exécution d’une mission d’intérêt public (organismes investis d’une mission de service public comme les groupements hospitaliers par exemple) ou le consentement (le participant a consenti au traitement de ses données ; cette base légale n’est pas recommandée par les autorités pour les investigations cliniques⁽¹⁾).

La désignation d’un Délégué à la Protection des Données (DPO) est essentielle dans le cadre des investigations cliniques, notamment en raison de la sensibilité des données traitées puisque relatives à la santé. Les coordonnées du DPO doivent être présentes dans la NICE (Note d'Information et Consentement Eclairé) afin que les participants de l’investigation puissent le contacter à tout moment pour faire exercer leurs droits.

Chaque partenaire, comme les CRO, impliqué dans la réalisation de certaines tâches (gestion des données, monitoring, etc.) pour le compte du promoteur agit en tant que sous-traitant (ST) du RT au sens de l’article 28 du RGPD. Cette collaboration doit être formalisée au travers d’un contrat définissant les obligations de chaque partie en matière de protection des données.

Démontrer la conformité au RGPD d'une investigation clinique

Afin de faciliter les démarches des RT dans le cadre d'une investigation clinique menée en France, la CNIL a mis en place des Méthodologies de Référence (MR) permettant de montrer leur conformité au RGPD, à la condition que le traitement des données soit conforme à ce qui est décrit dans la MR. La MR-001 est celle pouvant être appliquée dans le cadre des investigations cliniques régies par le Règlement (UE) 2017/745^(2,3). Il est recommandé de dédier une section spécifique de la NICE à ces droits, en indiquant les modalités d’exercice de leur retrait / droit à l’oubli (par l’intermédiaire de l’investigateur par exemple) en reprenant le contenu de l’article 13 du RGPD (voir encadré).

De plus, la MR-001 distingue les destinataires des données directement identifiantes et ceux des données indirectement identifiantes. Les membres de l’équipe investigatrice ainsi que les personnes responsables du contrôle qualité des données (monitoring) peuvent avoir accès aux données directement identifiantes. L’ensemble de ces personnes est habilité à exercer ces fonctions et est soumis au secret professionnel et à la confidentialité. La MR laisse également la possibilité à des sous-traitants d’avoir accès à ces données pour certaines tâches précises, telles que le remboursement des frais, le suivi de l’investigation clinique (envoi d’un lien vers un questionnaire en ligne par exemple). Il est recommandé de décrire avec précision le traitement des données dans le protocole et de vérifier, par des audits par exemple, la conformité de la démarche du ST au RGPD par la mise en place de mesures de limitation d’accès ou de minimisation aux personnes habilitées. Les données personnelles des professionnels de santé impliqués dans l’investigation clinique, au même titre que celles des patients, doivent être traitées conformément aux exigences de la MR-001 et aux principes du RGPD, garantissant ainsi leur protection et leur conformité réglementaire.

Si le traitement des données ne peut pas être conforme à la MR-001, une demande d’autorisation doit être déposée auprès de la CNIL (après obtention de l’avis favorable du comité de protection des personnes) détaillant les aspects juridiques et techniques du traitement envisagé.

En complément, le RT doit également démontrer la conformité de son investigation clinique au RGPD en documentant et mettant régulièrement à jour les mesures mises en place. Ainsi, le RT doit tenir à jour un registre de ses traitements de données personnelles et, pour chaque investigation clinique, réaliser une analyse d’impact relative à la protection des données (AIPD). Ce document décrit les mesures techniques et organisationnelles adoptées pour assurer un niveau de sécurité adapté aux risques identifiés. Dans le cadre d’une investigation clinique impliquant une CRO agissant en tant que ST, chaque partie (RT et ST) doit compléter l’AIPD.

En conclusion

Se conformer au RGPD fait donc partie intégrante de la mise en place d’une investigation clinique. Les organismes doivent assurer une protection adaptée des données traitées et être en mesure de la démontrer en documentant leur conformité. Des fiches et modèles sont disponibles sur le site de la CNIL. En trois mots : décrire, justifier et documenter !

--------------------------------------------------

¹ faq_rgpd_dgs_08_09_2021.pdf

² Recherches dans le domaine de la santé avec recueil du consentement | CNIL

³ Dispositifs médicaux - Demander une autorisation pour une inves - ANSM

www.afcros.com