7 Avril, 2025
Qualification des rôles et essais cliniques en Espagne: la nouvelle décision de l’AEPD porte-t-elle atteinte à la légitimité du premier code de conduite européen en matière de protection des données pour la recherche clinique?
Le paysage réglementaire complexe de l’Espagne
Les promoteurs souhaitant réaliser des essais cliniques en Espagne sont traditionnellement confrontés à un paysage réglementaire complexe, en partie dû à la décentralisation des compétences en matière de santé entre les différentes régions et à la diversité des autorités impliquées. Du point de vue de la protection des données, l’un des points les plus controversés lors de la négociation d’un accord d’essai clinique était la qualification des rôles des parties, qui détermine leurs obligations et responsabilités. Cette qualification variait selon la région, voire l’hôpital, et les autorités sanitaires et de protection des données avaient des avis divergents sur la question.
Approbation du Code de conduite de Farmaindustria:
Avec l’approbation du Code de conduite de Farmaindustria (« CoC ») en 2022 par l’Autorité espagnole de protection des données (« AEPD »), la question de la qualification des rôles semble réglée. Le CoC expose clairement la position des parties: l’hôpital et le promoteur doivent être considérés comme des responsables de traitement indépendants.
(Figure 1: Code de conduite de Farmaindustria, page 37)
En effet, l’AEPD a ratifié le Code de conduite et en a approuvé les critères, stipulant que, si l’hôpital est responsable du traitement des données personnelles traitées par des personnes sous contrat avec d’autres parties (telles que le CRO et le contrôleur), le promoteur est responsable du traitement des données personnelles aux fins de la recherche.
Selon l’AEPD, « le Code de conduite précise et facilite le traitement des données personnelles dans le cadre des essais cliniques (…), il établit des protocoles facilitant l’application du RGPD et offre une sécurité aux entités qui y adhèrent » quant à « la position des différentes parties concernées (…)« . De plus, l’AEPD a déclaré que « en ce qui concerne la conformité du Code avec la législation nationale, notamment la LOPDPGDD, ainsi qu’avec diverses réglementations sectorielles nationales régissant les essais cliniques, les études observationnelles, la pharmacovigilance et la recherche biomédicale, le contenu du Code est pleinement conforme« . Cela a conduit à l’attente, parmi les adhérents au CoC et les adeptes de ses critères, d’être considérés comme conformes au RGPD et à la législation espagnole applicable.
Nouvelle décision de l’AEPD
Cette certitude a été ébranlée par la décision publiée ce mois-ci par l’AEPD. Le GRUPO ESPAÑOL DE TRABAJO EN ENFERMEDAD DE CHRON Y COLITIS ULCEROSA (GETECCU), promoteur d’un essai clinique mené sur plusieurs sites espagnols, a signalé une violation de données personnelles survenue sur la plateforme utilisée pour collecter les données de l’essai clinique en juin 2023. L’AEPD a déclaré que le promoteur avait enfreint l’article 28 du RGPD en ne signant pas d’accord de traitement des données avec les hôpitaux où se déroulait l’essai clinique, et lui a infligé une amende de 7 000 euros, lui ordonnant de signer les accords de traitement des données correspondants avec les sites.
Après avoir analysé les circonstances factuelles de l’affaire, l’AEPD a conclu que les parties étaient bien responsables du traitement des données. Cependant, et en ce qui concerne spécifiquement la plateforme et la base de données de l’essai clinique, les hôpitaux ont été considérés comme sous-traitants du promoteur (responsable du traitement des données).
Étonnamment, cette qualification de l’hôpital en tant que sous-traitant (et l’exigence conséquente d’un accord de traitement des données) n’a pas été mentionnée dans le CoC, ni dans les rapports antérieurs de l’AEPD.
Qu’en est-il des promoteurs dans cette situation?
Le Code de conduite (CoC) semblait être le modèle à suivre pour les essais cliniques en Espagne. Cependant, l’AEPD a infligé une amende à un promoteur pour non-respect d’une exigence absente du code. Par conséquent, si l’un des principaux critères d’approbation était la facilitation de la conformité au RGPD et à la LOPDGDD et l’apport de certitude, cette décision, contradictoire, ravive d’anciennes questions.
Comment les promoteurs peuvent-ils concrètement se conformer à cette décision de l’AEPD ? Il sera difficile de garantir la conformité avec la qualification des rôles reflétée dans la décision de l’AEPD. Outre les difficultés inhérentes à la réouverture des négociations sur les accords d’essais cliniques signés, la fragmentation du paysage des essais cliniques en Espagne complique encore la tâche. L’Espagne ne dispose pas d’un modèle unifié pour les accords d’essais cliniques, et les modèles régionaux officiels sont souvent obligatoires et non modifiables (par exemple, l’Andalousie). Plus important encore, aucun d’entre eux ne reflète cette qualification supplémentaire des sites établie dans la décision de l’AEPD.
MDT a contacté l’AEPD ainsi que les autorités régionales de protection des données pour obtenir des éclaircissements. En attendant de nouvelles directives, le sponsor devrait s’efforcer de signer des accords de protection des données avec ses sites espagnols, documentant ses efforts pour se conformer à la dernière position de l’AEPD.
