L'interaction entre le règlement sur les essais cliniques (REC) et le règlement général sur la protection des données (RGPD).
Le 31 janvier 2022, le nouveau règlement 536/2014 sur les essais cliniques (ci-après CTR) est entré en vigueur. Avec la mise en œuvre de la CTR, l’accent a été mis sur la protection des données personnelles au cours des essais cliniques.
Dans ce blog, nous discuterons de l’importance du CTR et de son interaction avec le GDPR.
1. L'émergence de la CTR
Le RCT est entré en vigueur le 31 janvier 2022 et remplace la directive sur les essais cliniques (CE) n° 2001/20/CE. Elle s’applique à tous les essais cliniques menés dans l’UE.
Un essai clinique est une étude menée pour évaluer la sécurité ou l’efficacité d’un médicament. Souvent, des volontaires humains coopèrent à ces essais cliniques, par exemple en donnant leur sang.
L’objectif du CTR est de créer un environnement plus cohérent et plus propice à la recherche clinique à grande échelle, avec des normes élevées de transparence et de sécurité pour les participants aux essais cliniques.
Pour garantir cette transparence et cette sécurité, la CTR a mis en place le système d’essais cliniques (ci-après dénommé “CTIS”). Le CTIS est une base de données sur les essais cliniques dans laquelle les données relatives aux essais de médicaments sont soumises, enregistrées et accessibles. En outre, la soumission de la recherche sur les médicaments à un examen médical et éthique se fait également par l’intermédiaire du CTIS.
Le RTC harmonise la procédure d’évaluation, d’autorisation et de supervision des essais cliniques dans l’ensemble de l’UE en obligeant les promoteurs à soumettre leurs demandes d’essais via le portail CTIS. En outre, la base de données CTIS vise à accroître la transparence en rendant les informations sur les essais cliniques et leurs résultats accessibles au public.
2. l'interaction entre les CTR et le GDPR
Les deux législations sont
simultanément
applicable, la CTR, en tant que loi sectorielle, contenant des dispositions spécifiques pertinentes du point de vue de la protection des données. Selon l’EDPB, le RTC ne contient aucune dérogation aux exigences du GDPR.
Le CTR réglemente la conduite des essais cliniques en établissant des règles visant à garantir “les droits, la sécurité, la dignité et le bien-être des sujets et à s’assurer que les essais produisent des données fiables et solides”. Le GDPR garantit la protection des individus en ce qui concerne le traitement de leurs données personnelles (c’est-à-dire toute information concernant une personne identifiée ou identifiable), y compris les données personnelles relatives à la santé.
Données personnelles relatives à la santé :
Elles comprennent toutes les données relatives à l’état de santé d’un sujet. Ces données peuvent inclure des informations sur l’état de santé physique ou mental passé, présent ou futur de la personne concernée.
Les sujets se voient souvent attribuer un numéro, un symbole ou une caractéristique qui les identifie de manière unique à des fins médicales. En outre, dans le contexte des essais cliniques, les informations dérivées des tests ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris les données génétiques et les échantillons biologiques, seront également souvent échangées, ainsi que toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, des antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de l’individu.
Il s’agit indubitablement de données à caractère personnel (sensibles) qui relèvent des principes du GDPR. C’est le cas même si les données de l’essai ne sont plus identifiées (ou “pseudonymisées”), car ces données restent des données à caractère personnel au sens du GDPR.
D’une part, le RCT prévoit que le GDPR doit s’appliquer au traitement des données effectué dans le cadre des essais cliniques, ainsi qu’à la recherche scientifique qui utilise des données collectées pour un essai mais qui se déroule en dehors du protocole de l’essai clinique.
Les États membres de l’UE doivent tenir compte du respect de la protection des données lorsqu’ils évaluent le rapport d’évaluation. D’autre part, la directive sur la protection des données exige que les données personnelles soient traitées de manière licite. Les considérants du GDPR ajoutent que le traitement des données personnelles à des fins scientifiques doit être conforme à la législation pertinente, telle que celle applicable aux essais cliniques.
Lors de l’entrée en vigueur du RTC, la relation entre le RTC et le GDPR était confuse. Par exemple, certains se sont demandés si le RTC ne pouvait pas être utilisé comme une exemption pour la conformité au GDPR dans certains cas.
Le Comité européen de la protection des données (CEPD) a examiné cette interaction dans son avis 2/2019.
L’avis fait la distinction entre l’utilisation primaire des données et l’utilisation secondaire des données dans les essais cliniques.
Utilisation principale des données
L’utilisation primaire des données comprend “tous les traitements liés à un protocole spécifique d’un essai clinique tout au long de son cycle de vie, depuis le début de l’essai jusqu’à l’élimination des données à la fin de la période d’archivage”.
Il existe deux grandes catégories de traitement primaire :
- Traitement à des fins de fiabilité et de sécurité : C’est le cas lorsque le CTR exige un traitement à des fins de fiabilité et de sécurité. Par exemple, les rapports de sécurité et l’archivage des dossiers d’essais cliniques. La base juridique appropriée pour ce traitement est la ou les “obligations légales auxquelles le responsable du traitement est soumis”. Dans le cas de données personnelles sensibles, cela signifie que le traitement est “nécessaire pour des raisons de santé publique”.
- Traitement pour les activités de recherche : Cette catégorie comprend les activités de traitement à des fins de recherche qui ne sont pas requises par la loi. L’EDPB identifie quatre bases juridiques appropriées : le consentement explicite, l’intérêt public, les intérêts légitimes et, lorsque les données sont sensibles, les finalités scientifiques. Il existe une distinction importante entre le consentement au titre du RCT et le consentement au titre du GDPR :
- Le consentement éclairé à participer à un essai clinique au titre du RCT doit être distingué de la base juridique du consentement explicite au titre du GDPR.
- Le consentement en vertu du RCT peut ne pas être suffisant en vertu du GDPR : le manque d’équilibre des pouvoirs entre un participant et un donneur d’ordre peut empêcher que le consentement soit donné librement.
- Le retrait du consentement éclairé en vertu du RCT n’est que prospectif et n’affecte pas les activités déjà réalisées ni l’utilisation des données obtenues sur la base du consentement éclairé avant son retrait. En revanche, le retrait du consentement en vertu du GDPR est rétrospectif et toutes les activités de traitement des données basées sur le consentement doivent être arrêtées.
Utilisation secondaire des données
L’utilisation secondaire est le traitement des données à des fins scientifiques, mais en dehors du cadre du protocole de l’essai clinique.
En vertu du règlement, une base juridique distincte est requise pour l’utilisation secondaire des données. S’il s’agit d’un consentement, il doit être demandé en même temps que le consentement éclairé à participer à l’essai clinique.
Cependant, l’EDPB suggère que la présomption de compatibilité du GDPR s’applique ici. Il est donc supposé que l’utilisation secondaire n’est pas incompatible avec l’objectif initial (et entre donc dans le champ d’application du protocole). si les données sont traitées à des fins d’archivage d’intérêt public, de recherche scientifique, de recherche historique ou à des fins statistiques, et que des garanties appropriées sont mises en place.
L’avis de l’EDPB apporte quelques éclaircissements sur la relation entre le RCT et le GDPR. Les sponsors, qui sont généralement les responsables du traitement des données, bénéficieront tout particulièrement des conseils sur les bases juridiques.
Conclusion
Le RCT confirme et renforce les obligations en matière de protection des données qui doivent être respectées en vertu du GDPR lors de la réalisation d’essais cliniques dans l’UE (par exemple, la transparence pour les personnes concernées, la qualité et la confidentialité des données, les droits des personnes concernées).
Les responsables du traitement doivent être en mesure de démontrer que les données à caractère personnel sont protégées de manière adéquate et qu’ils peuvent assurer la protection de ces données.
Il s’agit d’un élément essentiel pour obtenir l’autorisation réglementaire de mener un essai clinique dans l’UE.
Par conséquent, tant les promoteurs que les investigateurs doivent réfléchir à la manière de remplir leurs obligations en matière de protection des données dès les premiers stades du développement des essais cliniques.
Il est donc extrêmement important que les clients et les chercheurs se conforment strictement aux dispositions du GDPR.
Pour plus d’informations concernant les applications du GDPR dans les essais cliniques, vous pouvez toujours consulter unACCRÉDITÉ.