Article
Comment gérer la confidentialité des données dans les essais cliniques ?
2 Avril, 2024
Le secteur des essais cliniques est un secteur où les procédures sont complexes et robustes, ce dont les organisations doivent tenir compte dès le départ. De plus, ces procédures restent applicables tout au long du cycle de vie du projet et s’étendent jusqu’à l’autorisation de mise sur le marché du médicament. Depuis l’adoption du règlement général européen sur la protection des données (RGPD), les procédures ont doublé et les obligations en matière de protection des données sont désormais sous la surveillance des autorités de contrôle.
En outre, ces obligations ne seront pas limitées aux seules organisations établies dans l’UE. Par exemple, la conduite d’essais cliniques au sein de l’UE est considérée comme une “surveillance du comportement des personnes concernées”. Cela signifie que même si un promoteur est situé en dehors de l’UE, il peut toujours entrer dans le champ d’application du RGPD en vertu de l’article 3, paragraphe 2. Par conséquent, ledit sponsor sera toujours soumis aux obligations rigoureuses énoncées dans le RGPD. Il en va de même pour les sponsors ayant des sites au Royaume-Uni, où le niveau de protection des données dans la législation nationale est essentiellement équivalent à celui du RGPD. Examinons maintenant les considérations relatives à la protection des données lors de la réalisation d’essais cliniques dans l’UE ou au Royaume-Uni.
Qualification du rôle
L’alignement initial que les promoteurs doivent mettre en œuvre est la qualification des rôles de toutes les parties impliquées dans l’étude. Il s’agit notamment des promoteurs eux-mêmes, des hôpitaux/sites, des organismes de recherche clinique et des autres fournisseurs. Il s’agit d’une étape essentielle, car en fonction du résultat, différents contrats doivent être conclus avec les fournisseurs respectifs, chacun d’entre eux ayant ses propres droits et obligations.
Les promoteurs seront toujours considérés comme les responsables du traitement des données, car ce sont eux qui définissent la finalité (comment) et les moyens (pourquoi) du traitement en rédigeant le protocole de l’étude, en finançant l’essai clinique et en menant des activités de soutien. Parallèlement, les sites sont généralement considérés comme des responsables du traitement des données, à moins que les spécificités nationales n’en décident autrement. Par conséquent, un accord contrôleur/traitement doit être conclu entre ces parties, soit dans le cadre de l’accord sur l’essai clinique, soit séparément. Conformément au principe de “responsabilité” RGPD, il incombe au promoteur de conclure et de maintenir l’accord susmentionné.
Base juridique
Un autre principe fondamental imposé aux responsables du traitement des données est celui de la “licéité du traitement”. Le RGPD prévoit six bases légales sur lesquelles le traitement des données personnelles sera considéré comme “licite”. En revanche, les responsables du traitement qui n’utilisent pas l’une de ces bases seront en infraction avec le RGPD.
Comme indiqué précédemment, il n’y a pas non plus d’harmonisation nationale en ce qui concerne la base juridique appropriée à utiliser. Par exemple, les autorités de contrôle italiennes exigent le “consentement” comme base juridique pour traiter les données cliniques concernant les participants à une étude. À l’inverse, d’autres juridictions exigent l'”intérêt légitime” comme base juridique pour le même traitement, voire l'”obligation légale” dans le cas de l’Espagne.
Nous devons rappeler qu’en fin de compte, il incombe aux promoteurs de veiller à ce que les principes susmentionnés soient mis en œuvre dans la pratique. Par exemple, le recueil du consentement des participants au moyen d’un formulaire de consentement éclairé (FCI).
Transferts
Compte tenu de la mondialisation des essais cliniques, il est courant que les promoteurs, les ORCs, les sites, etc ; soient établis dans plusieurs juridictions. Bien que cela puisse être optimal d’un point de vue opérationnel, cela entraîne certains risques en matière de protection des données, à la fois matériels et résiduels. Les risques liés à la protection des données découlent du fait que les différentes juridictions mettent en œuvre le RGPD avec de légères nuances. Cela ébranle l’équilibre recherché par le RGPD en tant que “règlement”. Par exemple, lors du transfert de données à caractère personnel en dehors de l’UE, le transfert doit s’aligner sur les “garanties appropriées” prévues par le RGPD.
Par exemple, certains pays sont considérés comme offrant un niveau adéquat de protection des données par la Commission européenne et les sponsors se prévalent de la décision d’adéquation. Lorsque ce n’est pas le cas, les clauses contractuelles types “CCN” doivent être mises en œuvre, car elles incluent certaines obligations pour la partie destinataire (dans la juridiction d’un pays tiers), ce qui place la barre proverbiale de la protection des données à un niveau plus élevé.
Compte tenu de ce qui précède, les sponsors doivent analyser les différentes options du point de vue de la continuité des activités et des risques, tout en tenant compte des diverses obligations imposées par le RGPD.
DPIA
Le RGPD impose la réalisation d’une analyse d’impact sur la protection des données “DPIA” lors du traitement de données médicales, génétiques ou biométriques à “grande échelle”. Cela dit, le RGPD ne définit pas la notion de “grande échelle”, mais les lignes directrices publiées par les autorités de contrôle compétentes apportent un certain degré de clarté. Certains paramètres incluent la quantité d’ensembles de données collectées, la portée géographique, les éléments temporels tels que la permanence des données à caractère personnel et le nombre de patients inscrits dans une étude donnée.
Comme pour d’autres obligations, le promoteur est tenu de conclure l’DPIA avant l’arrivée du premier patient. En outre, le RGPD souligne les exigences minimales que le DPIA devrait inclure, mais ne guide pas concrètement sa mise en œuvre.
DPO & DPR
Comme pour le DPIA, le RGPD oblige le responsable du traitement à désigner un délégué à la protection des données (DPO) lorsqu’il traite des catégories particulières de données à caractère personnel à “grande échelle”. L’article 39 du RGPD impose certaines obligations au DPO. Ces fonctions comprennent notamment le contrôle de la conformité au RGPD, la sensibilisation à la protection de la vie privée, le conseil en matière d’évaluation des violations de données, l’assistance aux DPIA, la coopération et la communication avec les autorités de protection des données (DPA) et le rôle de point de contact pour les personnes concernées. À cet égard, le commanditaire doit assurer la notification de délégation appropriée aux autorités de contrôle compétentes, y compris là où le site est basé.
Les essais cliniques visent également à contrôler le comportement des personnes concernées. Dans ce cas, les entités sont obligées de nommer un représentant de la protection des données (DPR), même si elles ne sont pas elles-mêmes établies dans l’UE/le Royaume-Uni, mais ont des sites et des personnes concernées qui participent à leur essai. Une autre preuve que le RGPD n’est pas seulement un point de contrôle des entreprises, il affecte la plupart des entreprises participant à des essais cliniques dans le monde entier.
ROPA
L’établissement de registres des activités de traitement (ROPA) est une exigence essentielle, mais souvent négligée. Les responsables du traitement des données sont tenus de compiler, de tenir à jour et de garantir l’exactitude de leurs ROPA. Le ROPA est un registre des activités impliquant le traitement de données à caractère personnel et sera généralement la priorité des autorités de contrôle en cas d’inspection.
Il peut s’avérer fastidieux de remplir suffisamment le ROPA pour y inclure toutes les informations obligatoires. La complexité n’en est que plus grande si l’on tient compte de la nature multi-juridictionnelle des parties et du flux continu de données un caractère personnel, en particulier lorsqu’il s’agit de transferts en dehors de l’Union européenne ou de l’espace économique européen.
Violations de données à caractère personnel
Les “violations de données à caractère personnel”, telles que définies dans le RGPD constituent généralement l’un des risques les plus élevés pour les organisations, car elles n’ont aucun contrôle sur la détermination d’un assaillant à attaquer leurs systèmes. Cela dit, l’une des formes les plus courantes de violation de données est l’envoi par erreur, par un employé, d’un courrier électronique confidentiel à un mauvais destinataire (contenant généralement plusieurs champs de données à caractère personnel). À cet égard, les organisations disposent d’un certain degré de contrôle, notamment par le biais de formations internes aux processus de validation.
Lorsqu’une organisation constate qu’elle a été victime d’une violation de données à caractère personnel, la première mesure à prendre est de procéder à une évaluation des risques afin de quantifier objectivement le niveau de droit susceptible d’être conféré aux droits et libertés des personnes concernées. Si cette évaluation aboutit à un scénario de risque “élevé”, les organisations sont tenues de notifier l’autorité de contrôle compétente dans les soixante-douze heures suivant le moment où elles ont pris connaissance de la violation. Cette notification doit comprendre les informations importantes relatives à la violation et être accompagnée de toutes les mesures d’atténuation mises en œuvre. Les entreprises doivent donc mettre en place des procédures et des rôles appropriés avant d’entamer leurs activités de traitement. L’objectif de ces mesures est d’atténuer les effets négatifs et les risques auxquels les organisations sont confrontées, notamment les plaintes, les amendes et les atteintes à la réputation.
Évaluation des fournisseurs
Un essai clinique ne peut être réalisé sans l’aide de fournisseurs pour la multitude de tâches, d’exigences réglementaires, de procédures et de soumissions. En tant que responsable du traitement des données, le promoteur est tenu de n’engager que des sous-traitants qui offrent un niveau suffisant de protection des données et des garanties adéquates, qu’elles soient techniques, organisationnelles ou contractuelles. L’un des moyens dont dispose le commanditaire pour atteindre cet objectif est de procéder à une “évaluation du fournisseur” avant de l’engager. L’objectif est de vérifier la conformité du fournisseur en matière de protection des données et de mettre en évidence toutes les mesures et garanties de sécurité en place.
Si le résultat de cette évaluation s’avère positif, le promoteur doit veiller à mettre en place les accords nécessaires avec son fournisseur. Le champ d’application de ces accords doit couvrir tous les éléments obligatoires en matière de protection des données. Il s’agit notamment de mesures visant à garantir la confidentialité, le respect des instructions documentées, les violations de données, les demandes des personnes concernées, les transferts et autres, et de procéder périodiquement à des audits pour s’assurer de l’efficacité de ces clauses dans la pratique.
Conclusions
Si les exigences susmentionnées peuvent à première vue sembler écrasantes, la mise en conformité globale peut être considérée comme un marathon, et non comme un sprint. Il est donc impératif de disséquer les exigences et de les diviser en segments plus petits et plus faciles à digérer. Cela permet non seulement de mettre en place un programme de conformité plus complet et holistique, mais aussi d’avoir une discussion franche et sincère sur les besoins des organisations. À cet égard, le RGPD autorise une approche basée sur le risque et sur mesure, qui peut varier en fonction de la taille de l’organisation, de ses ressources et de l’étendue du traitement.
MyData-TRUST se spécialise dans la protection des données exclusivement dans le secteur des sciences de la vie, offrant des solutions sur mesure et pragmatiques à sa clientèle. Nous invitons les organisations de toute taille à nous contacter pour un programme sur mesure qui répond à leurs besoins individuels, ouvrant la voie à une conformité holistique tout au long du cycle de vie d’un projet.