L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    Comment le RGPD bouscule l'organisation des essais cliniques

    PARIS (TICpharma) - Le règlement général européen relatif à la protection des données (RGPD) impose aux promoteurs d'essais cliniques et à leurs prestataires de revoir certains aspects de leurs études impliquant la personne humaine, détaillés par la Commission nationale de l'informatique et des libertés (Cnil) et par plusieurs avocates lors d'une rencontre organisée par l'Association française des sociétés de recherche clinique sous contrat (Afcros).

    Principe de responsabilité (ou accountability), analyses d'impact sur la vie privée, droit d'accès, de rectification, de limitation et d'effacement de données: le RGPD entré en vigueur le 25 mai 2018 a institué de nouveaux droits et obligations pour les citoyens et pour les structures traitant des données personnelles (voir dépêches du 25 et du 28 mai 2018).

    Ces évolutions ont un impact direct sur la mise en œuvre et la conduite de recherches, d'études ou d'évaluations dans le domaine de la santé.

    Intervenant lors de la 7eme Rencontre "Afcros et DM" organisée en octobre à Courbevoie (Hauts-de-Seine) par l'Afcros, Anne Vidal, juriste au service santé de la Cnil, a rappelé que tout traitement de données de santé devait articuler les principes du RGPD et ceux du chapitre IX de la loi informatique et libertés, dont la dernière modification remonte au 20 juin 2018 (voir dépêche du 25 juin 2018).

    Le RGPD a laissé aux Etats membres de l'Union européenne des "marges de manœuvre" pour introduire des conditions supplémentaires pour le traitement de données dans la santé, ce qui explique la nécessité de se référer aux deux textes pour bien encadrer la mise en œuvre d'un essai clinique.

    La loi informatique et libertés a maintenu l'obligation d'une information individuelle des personnes dont les données sont recueillies, mais a renvoyé aux articles 13 et 14 du RGPD quant au contenu de cette information.

    Anne Vidal a noté qu'il pouvait y avoir des exceptions à l'information individuelle, notamment en ce qui concerne les personnes décédées ne s'étant pas opposées par écrit de leur vivant au traitement de leurs données et les personnes dans l'ignorance de leur diagnostic.

    Elle a aussi renvoyé à l'article 14 du RGPD, qui prévoit une autre exception lorsque "la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés", ou est susceptible de "compromettre gravement la réalisation des objectifs du traitement".

    Dans ce cas, "on demande au responsable de traitement de justifier le caractère d'effort disproportionné et de nous montrer qu'il a pris des mesures pour rendre les informations publiquement disponibles, par un affichage ou sur un site internet, ou en tout cas qu'il a réfléchi aux modalités d'information, même si l'information individuelle paraît impossible", a-t-elle expliqué.

    Anne Vidal a reconnu recevoir "beaucoup de questions" sur la mise en œuvre concrète du droit à l'effacement du RGPD. "Une exception, présente à l'article 17 du règlement, prévoit que si cela compromet gravement la réalisation des objectifs du traitement, le responsable peut ne pas faire droit à une demande d'effacement des données", a-t-elle souligné.

    Mises à jour des informations sur les études en cours

    La juriste de la Cnil a déclaré que la commission avait opté pour une "approche pragmatique" en ce qui concerne l'information des individus participant aux essais cliniques.

    Toutes les recherches terminées au 25 mai 2018 ne sont logiquement pas concernées par cette information. En revanche, toutes celles qui ont débuté après cette date doivent prévoir une information individuelle des personnes quant à la protection des données. Pour les recherches débutées avant l'entrée en vigueur du RGPD, seules les personnes incluses après le 25 mai, ou les personnes toujours en cours de suivi, doivent être informées.

    "Nous allons laisser assez libre le responsable de traitement sur les modalités d'information. Cela peut être un complément d'information fourni par l'investigateur, l'envoi d'un courrier postal ou électronique ou un renouvellement de l'information à l'occasion d'une modification substantielle de la recherche", a expliqué Anne Vidal.

    "La mise à jour RGPD n'est pas considérée comme une modification substantielle par la Cnil", a-t-elle ajouté, rappelant que toute modification substantielle du traitement doit faire l'objet d'une demande adressée à la Cnil.

    La commission a publié le 5 novembre sur son site un document  présentant les cas les plus fréquents de modification de traitement de données de recherche, étude ou évaluation dans la santé, celles qui sont considérées comme "substantielles", et les procédures à suivre dans chaque cas pour être en conformité.

    Nouvelles mentions obligatoires dans les notices d'information

    Egalement présente aux rencontres de l'Afcros, Marie-Amélie Eudeline, avocate et vice-présidente du comité de protection des personnes (CPP) Sud-Est IV, a confirmé que l'impact du RGPD et de la loi informatique et libertés modifiée était "un sujet juridique quotidien" au sein des CPP, qui ont vu leurs compétences renforcées en matière de protection des données personnelles depuis la loi du 5 mars 2012 (dite "loi Jardé").

    Elle a listé les principales mentions obligatoires à faire apparaître dans les notices d'information transmises aux CPP sur des recherches impliquant la personne humaine, dont la mention explicite de l'identité du responsable de traitement, "même lorsqu'il s'agit du promoteur de l'étude", et les coordonnées du délégué à la protection des données (DPO) désigné par le promoteur.

    La notice doit aussi citer la base légale sur laquelle se fonde la recherche en faisant référence aux article 6 et 9 du RGPD, la durée de conservation des données et les nouveaux droits des personnes concernées instaurés par le règlement (droit à la limitation, à la portabilité, à l'effacement des données, et droit d'introduire une réclamation devant la Cnil).

    La notice devait déjà préciser si la recherche allait donner lieu à des transferts de données hors de l'Union européenne, mais le RGPD impose dorénavant d'indiquer dans ce cas "toutes les références aux garanties apportées ou adaptées par le pays destinataire et les moyens d'en obtenir une copie, ou l'endroit où elles ont été mises à disposition".

    Marie-Amélie Eudeline a également rappelé qu'il fallait mentionner explicitement, dans la note d'information et dans le protocole de la recherche, les références juridiques du RGPD et de la loi informatique et libertés "dans sa dernière version en vigueur", ainsi que la formalité Cnil respectée, à savoir la conformité à une méthodologie de référence (MR) ou une autorisation délivrée par la commission.

    Sur les recherches en cours, "on reçoit un nombre monumental d'amendements concernant la mise à jour de la note d'information au vu du RGPD", a relayé la vice-présidente du CPP Sud-Est IV, rappelant que seules les modifications substantielles doivent être soumises aux CPP.

    Préciser les relations entre responsable et sous-traitant

    Le règlement européen ouvrant la possibilité d'une "coresponsabilité" entre le responsable de traitement et ses sous-traitants en cas d'atteinte aux données personnelles, il est nécessaire de bien définir chaque rôle et les tâches confiées à chaque protagoniste d'une recherche clinique, a relevé Camille Théron, avocate chez Simmons & Simmons, également présente aux rencontres de l'Afcros.

    "Classiquement, on pourrait envisager que le sous-traitant est la CRO, voire les centres investigateurs puisqu'ils vont collecter les données auprès du patient. Il faut néanmoins éviter toute qualification systématique de ces acteurs comme sous-traitant", a-t-elle souligné, expliquant que la justification de cette qualification "va se faire en fonction des modalités pratiques de la recherche".

    Elle a conseillé de s'interroger sur le niveau d'instruction de la CRO, le degré d'autonomie laissé dans la réalisation de la prestation et le contrôle que le promoteur va pouvoir exercer sur elle.

    Cette "juste qualification" est essentielle car le RGPD fait peser des obligations spécifiques sur les sous-traitants, parmi lesquelles la mise en place de mesures techniques et organisationnelles pour assurer la sécurité des données, ou l'obligation d'alerte, d'assistance et de conseil au responsable de traitement, ou la capacité à être audité par ce dernier sur sa conformité au règlement.

    La répartition des attributions et responsabilités est un "pan essentiel" du contrat qui lie sous-traitant et responsable de traitement, a insisté Camile Théron. Ce contrat doit faire référence à l'article 28 du RGPD relatif au sous-traitant et "indiquer expressément que le sous-traitant n'agit que sur instruction du responsable", a-t-elle rappelé. Pour les études en cours, les anciens contrats doivent être mis à jour pour être conformes au règlement.

    Camille Théron a renvoyé aux exemples de clauses de contrat et au guide du sous-traitant publiés par la Cnil sur le sujet.

    Convention unique et analyses d'impact

    L'avocate du cabinet Simmons & Simmons a déploré que la convention unique, document "extrêmement contraint" car non modifiable, conclu entre les centres investigateurs et le promoteur d'une recherche, ne soit actuellement pas conforme au RGPD en matière de protection des données.

    "Nous avons posé la question à la direction générale de l'offre de soins [DGOS] s'il était possible d'y ajouter une annexe avec ces références", a-t-elle confié. La juriste de la Cnil, Anne Vidal, a confirmé être en discussion avec la DGOS sur ce sujet, expliquant qu'"on s'orienterait vers un arrêté modificatif pour qu'il n'y ait pas différentes versions de la convention qui circulent".

    De nouveaux arbitrages et recommandations sont donc attendus et font l'objet de discussions entre la Cnil, la DGOS, et la Commission nationale des recherches impliquant la personne humaine (CNRIPH) pour revoir le traitement de données de santé à la lumière du RGPD.

    Un nouveau pas a été franchi le 6 novembre, avec la publication au Journal officiel de délibérations de la Cnil portant adoption de "lignes directrices" sur les analyses d'impact relatives à la protection des données, et d'une liste de types de traitements  pour lesquels ces analyses sont requises (notamment dans le domaine de la santé).

    Raphael Moreaux

    À suivre

    Certifié hébergeur, Microsoft veut mettre "l'intelligence numérique" au service de la santé

    Politique

    Sécurité informatique: les deux textes de loi qui vont bousculer les industriels en 2018

    PARIS (TICpharma) - L’année 2018 s’annonce chargée sur le plan réglementaire pour les industries de santé, qui devront se conformer à deux lois de transposition de la réglementation européenne.

    0 392

    Acteurs

    Intelligence artificielle, PLFSS, "grand plan d’investissement"... ce qu’il faut retenir depuis la rentrée

    PARIS (TICpharma) - Projet de loi de financement de la sécurité sociale (PLFSS), mission sur l’intelligence artificielle ou encore annonce d'un "grand plan d’investissement" faisant la part belle à la transformation numérique de la santé... TICpharma.com passe en revue les actualités qu'il ne fallait pas manquer ces derniers mois dans le champ du digital et de la santé.

    0 406

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    8 + 4 =