Dans le cadre de leur activité, les acteurs de l’industrie pharmaceutique doivent mener des études cliniques impliquant le traitement de données relatives aux patients.
Lorsque ces données concernent la santé, elles sont considérées comme des données sensibles dont la collecte et utilisation sont strictement encadrées par la loi.

Bien qu’il existe une directive [1] européenne de protection des données personnelles, celle-ci a fait l’objet de transpositions variables selon les États membres. De plus, le secteur de la santé relève de la compétence de chaque état.

Les laboratoires pharmaceutiques internationaux sont donc confrontés à une multitude de règles lorsqu’ils mettent en œuvre des traitements de données à caractère personnel.

En France, ces traitements sont encadrés par la loi « Informatique et Libertés » du 6 janvier 1978 modifiée et son décret d’application du 20 octobre 2005.

Les points d’attention

• Les transferts de données hors UE

Les essais cliniques supposant généralement la participation de plusieurs acteurs (sous-traitants, filiales …) de par le monde, se pose alors la question des transferts de données sensibles en dehors de l’Union européenne. Les laboratoires doivent s’assurer que les destinataires des données garantissent un niveau de protection adéquat, et ce par exemple en concluant des contrats contenant les clauses contractuelles types élaborées par la Commission Européenne.

Nous savons en effet, que depuis la décision du 6 octobre dernier de la CJUE, les transferts de données à destination des Etats-Unis, ne peuvent plus se fonder sur l’accord du Safe Harbor. Les laboratoires pharmaceutiques concernés par les transferts vers les Etats-Unis, notamment ceux dont la maison mère est située outre-Atlantique ou qui ont recours à des prestataires américains dont les solutions sont répandues dans l’industrie pharmaceutique, n’ont d’autre choix pour le moment que d’utiliser un autre instrument juridique pour encadrer leurs transferts.

Dans un communiqué du 16 octobre 2015, le G29 [2] a indiqué que les autres outils de transferts, à savoir les règles internes de groupe (BCR) et les clauses contractuelles types, constituaient une alternative jusqu’à fin janvier 2016. Il en va différemment cependant de l’autorité allemande de protection des données qui a considéré que ces outils ne garantissaient pas un niveau de protection adéquat des données transférées aux USA.

• Le consentement des personnes

Avant de débuter une étude clinique, les laboratoires doivent collecter le consentement des personnes après les avoir clairement informées des finalités de la recherche et notamment de leur droit de retirer leur consentement à tout moment.
Dès lors que la collecte porte sur des données de santé, le consentement doit être spécifique et exprès et ne saurait donc être déduit du fait que la personne ait été préalablement informée de l’étude.

• La sécurité des données

Le promoteur ainsi que les professionnels agissant pour son compte doivent garantir la sécurité des données relatives aux patients. Ils ont l’obligation d’adopter des mesures de sécurité adaptées à la nature des données et aux risques présentés par le traitement et résultant d’une analyse des risques. Ces mesures doivent protéger les données contre toute atteinte à leur intégrité et à leur disponibilité et contre tout accès illégitime. Elles doivent par ailleurs être documentées dans des politiques, déclinées en procédures et faire l’objet de contrôles réguliers.

Le formalisme à respecter

La réalisation de recherches dans le domaine de la santé est soumise à des formalités préalables auprès de la CNIL. Il peut s’agir d’une formalité simplifiée ou d’une demande d’autorisation si le traitement présente des risques pour les personnes.
Les traitements usuels portant sur des données qui ne permettent pas une identification directe [3] des personnes concernées et qui respectent scrupuleusement les conditions d’une méthodologie de référence, peuvent faire l’objet d’une simple déclaration de conformité à cette dernière. En revanche, les traitements qui ne sont pas conformes à la dite méthodologie requièrent une autorisation préalable de la CNIL après avis du Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé (CCTIRS). Tel est le cas par exemple lorsque des patients sont identifiés par un code alphanumérique mais que des images ou photos les concernant sont utilisées par le promoteur.

Le dossier soumis à la Commission devra être complet, clair et le plus détaillé possible afin d’éviter tout retard dans le traitement de la demande par les agents de la CNIL. En effet, si les textes indiquent un délai d’attente de deux mois pour obtenir une réponse de la Commission, en pratique, le processus peut être plus long et dépasser dans certains cas un délai de 6 mois.

Il en va de même pour les dossiers soumis au CCTIRS. Selon la loi, préalablement à la saisine de la CNIL, ce Comité doit pouvoir émettre un avis sur la méthodologie de la recherche qui lui est présentée, la nécessité du recours à des données à caractère personnel et la pertinence de celles-ci par rapport à l’objectif de la recherche. Selon les textes ce Comité consultatif dispose d’un délai d’un mois pour rendre sa décision, à défaut, son avis est réputé favorable. Cependant, en pratique le silence conservé par le CCTIRS au-delà de ce délai légal ne signifie pas qu’il émet un avis favorable à l’étude mais que l’examen de celle-ci est toujours en cours. En effet, le délai de réponse du Comité est fonction du nombre de dossiers que les rapporteurs qui le composent reçoivent et de la qualité desdits dossiers (clarté, complétude …). De plus, Il est important d’obtenir une décision du Comité car la CNIL exige, pour l’instruction du dossier, que lui soit soumis l’avis du CCTIRS et en cas d’avis réservé de celui-ci, les réponses données par le responsable de traitement à ces réserves.

Les traitements de vigilance sont-ils soumis aux mêmes obligations ?

Tous les laboratoires ont pour obligation de réaliser des traitements de vigilance destinés à mettre en évidence les risques liés à l’utilisation des produits après leur mise sur le marché.
Ces traitements (pharmacovigilance, matériovigilance, cosmétovigilance…) sont soumis à la même réglementation que les études cliniques s’agissant de la sécurité des données et du transfert de ces derniers en dehors de l’Union européenne mentionnés ci-avant. En revanche, s’il existe une formalité simplifiée pour les traitements les plus courants de pharmacovigilance, les autres systèmes de vigilance doivent quant à eux faire l’objet d’une demande d’autorisation auprès de la CNIL.
En effet, les laboratoires qui respectent scrupuleusement les dispositions de l’Autorisation Unique n°013 peuvent pour leurs traitements de pharmacovigilance, réaliser une simple déclaration de conformité à ladite autorisation sur le site de la Commission et débuter immédiatement le traitement. En revanche, si l’une des conditions de l’Autorisation n’est pas remplie par le responsable de traitement, celui-ci devra, comme pour les autres traitements de vigilance, réaliser une demande d’autorisation normale auprès de la CNIL, ce qui signifie qu’il ne pourra débuter le traitement qu’après l’aval de la Commission.

La CNIL recommande aux laboratoires qui souhaitent soumettre une demande d’autorisation pour les traitements de vigilance autres que la pharmacovigilance de respecter les conditions de l’AU-013 pour optimiser leurs chances d’obtenir une décision favorable de la CNIL.

RIM FERHAH Juriste CIL CONSULTING www.protection-des-donnees.com