Accueil " L'impact du RGPD sur les essais cliniques : Tout ce qu'il faut savoir

Le RGPD a modifié la manière dont les données personnelles sont traitées dans les essais cliniques. Découvrez ce que vous devez savoir, en tant que promoteur américain, sur l'impact du RGPD pour vos essais cliniques dans l'UE et au Royaume-Uni.

Environ 400 000 études d'essais cliniques sont actuellement menées dans le monde, dont plus de 115 000 dans l'Union européenne. Bien qu'il s'agisse d'un énorme coup de pouce pour la recherche médicale, cela peut créer un enchevêtrement confus de réglementations et de lois pour les chercheurs internationaux.

Le règlement général sur la protection des données (RGPD) de l'UE est l'une des réglementations les plus importantes concernant les essais cliniques.

Le RGPD ne permet pas d'échappatoires basées sur la localisation. Il s'applique même si votre organisation se trouve aux États-Unis.

Qu'est-ce que le RGPD? S'applique-t-il à vous en tant que promoteur basé aux États-Unis ? Quel est son impact sur vos essais cliniques dans l'UE ? Lisez la suite pour en savoir plus ! 

Qu'est-ce que le RGPD?

Le RGPD est entré en vigueur le 25 mai 2018 en réponse aux préoccupations croissantes concernant la protection des données personnelles. En vertu du RGPD, les responsables du traitement et les sous-traitants de données à caractère personnel sont tenus de mettre en place les "mesures techniques et organisationnelles appropriées" nécessaires pour protéger les données des personnes et respecter leurs droits en matière de données.

Le principal objectif du RGPD est d'harmoniser les lois sur la protection des données dans tous les pays de l'Union européenne et d'offrir de meilleures garanties de protection des données aux personnes dans ces pays. Pour ce faire, il fixe des exigences spécifiques en matière de protection, de manipulation et de traitement des données à caractère personnel, et confère des droits explicites aux personnes dans l'UE.

Le RGPD s'applique-t-il à vous en tant que sponsor américain ?

Le Comité européen de la protection des données (CEPD) a clairement répondu à cette question dans son avis sur l'interaction entre le règlement sur les essais cliniques (REC) et le RGPD. Le RGPD est pleinement applicable aux promoteurs américains qui traitent des données à caractère personnel de personnes dans l'UE, y compris dans le cadre de la gestion d'un essai clinique.

Si vous vous conformez à l'HIPAA et au règlement de l'UE sur les essais cliniques, cela signifie-t-il que vous êtes en conformité avec le RGPD?

La recherche médicale a ses propres lois et exigences, mais elle relève également d'autres réglementations applicables, dont le RGPD. Quelle est l'interaction entre certains de ces règlements ?

Le RGPD et l'HIPAA

Les organismes de santé américains doivent déjà connaître et respecter la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA). La loi HIPAA a été promulguée en 1996 pour assurer la protection des données des citoyens américains. Cependant, le RGPD va plus loin puisqu'il tient compte des avancées technologiques et des tendances modernes en matière de gestion des données.

Les promoteurs américains doivent donc être particulièrement prudents et ne pas supposer que le fait d'être en conformité avec l'HIPAA signifie qu'ils sont en conformité avec le RGPD. Les deux sont similaires - notamment en ce qui concerne les mesures de sécurité strictes qui régissent le traitement des données de santé - mais de nombreuses lacunes subsistent entre l'HIPAA et le RGPD, notamment en ce qui concerne la portée des définitions des données personnelles, les obligations de conservation des données, les exigences en matière de consentement explicite, les délais de notification des violations de données, etc.

Le RGPD et le (nouveau) règlement de l'UE sur les essais cliniques

Les essais cliniques menés dans l'UE sont régis par le règlement (UE) n° 536/2014 sur les essais cliniques (ROC), qui entrera en vigueur le 31 janvier 2022. Les dispositions du RTC comprennent des règles cohérentes en matière d'essais cliniques dans tous les États membres de l'UE, une plus grande transparence des informations, des normes de sécurité renforcées et des processus de soumission et d'évaluation uniformes.

La CTR et le RGPD sont d'accord sur la sécurité des données. Toutefois, les organisations américaines doivent encore prendre des mesures supplémentaires pour garantir la conformité au RGPD essais cliniques réalisés dans l'UE et elles doivent prêter une attention particulière à un certain nombre de questions importantes liées à la base juridique adéquate, au consentement éclairé et à son retrait, à l'information des personnes concernées, aux transferts de données à caractère personnel en dehors de l'UE et aux utilisations secondaires.

3 points à retenir pour la réalisation d'essais cliniques dans l'UE

En tant que promoteur américain, vous devez garder à l'esprit ces trois considérations clés avant de lancer votre essai clinique dans l'UE !

1. Il ne s'agit pas seulement des patients

Une communication transparente est essentielle dans le cadre du RGPD , car sans informations adéquates sur les tenants et les aboutissants de l'activité de traitement, les personnes ne peuvent pas exercer leurs droits.

Les promoteurs américains doivent communiquer de manière proactive avec les personnes concernées afin qu'elles sachent exactement qui traite leurs données à caractère personnel, à quelles fins et à qui elles peuvent s'adresser en cas de questions ou de problèmes.Il ne fait aucun doute que les patients participant à vos essais cliniques doivent être les premiers informés de la confidentialité des données et de leurs droits ; mais ils ne sont pas les seuls à devoir savoir comment leurs données à caractère personnel sont traitées ! N'oubliez pas d'inclure toutes les personnes de l'UE dont vous traitez les données personnelles. Il s'agit généralement des chercheurs, du personnel de l'ORC, du personnel du site, du personnel du fournisseur et des membres du comité.

2. Assurez-vous que vos transferts de données vers les États-Unis sont autorisés

Lorsque vous menez votre essai clinique dans l'UE, il se peut que vous transfériez des données à caractère personnel de l'UE vers les États-Unis : résultats de recherche, analyses, profils de patients, etc. Ces transferts ne peuvent être effectués légalement que s'ils sont protégés de manière adéquate par l'un des outils prévus par le RGPD. Lequel convient le mieux à vos transferts ?

Le nom de "Schrems" vous dit-il quelque chose ? Il s'agit d'un défenseur européen de la vie privée qui a intenté des actions en justice qui ont abouti à l'invalidation du cadre du bouclier de protection de la vie privée par la Cour de justice de l'Union européenne en juillet 2020. Si vous comptiez sur le cadre du bouclier de protection de la vie privée pour transférer en toute sécurité des données à caractère personnel de l'UE vers les États-Unis, vous devriez envisager de trouver une autre solution dès que possible.

Les clauses contractuelles types (CCN) sont l'un des outils les plus couramment utilisés par les organisations américaines pour ce type de transfert. Toutefois, pour déterminer si vous pouvez valablement utiliser les CSC, vous devez d'abord procéder à un test d'évaluation qui prend en compte les circonstances spécifiques des transferts ainsi que les mesures supplémentaires qui pourraient être mises en place. Si le résultat de votre évaluation est négatif, d'autres solutions sont encore disponibles pour transférer des données de l'UE vers les États-Unis, telles que les règles d'entreprise contraignantes (BCR), les codes de conduite, les mécanismes de certification ou les dérogations prévues à l'article 49 du RGPD (par exemple, le consentement explicite, les raisons importantes d'intérêt public, etc.)

3. Ne pas négliger les "obligations oubliées"

Avez-vous entendu parler du représentant du RGPD ? Il y a trois choses auxquelles il faut être particulièrement attentif concernant cette obligation très souvent oubliée par les sponsors américains.

Tout d'abord, vous devrez probablement nommer un représentant du RGPD auprès de l'UE.Vous devrez probablement désigner un représentant RGPD pour l'UE, qui sera votre point de contact dans l'UE. Si vous n'avez pas entendu parler de cette obligation, c'est probablement parce que presque tout ce qui a été écrit ou discuté autour du RGPD s'est concentré sur les organisations de l'UE. Étant donné qu'elles sont situées dans l'UE, elles n'ont pas besoin de nommer un représentant RGPD UE.

La désignation d'un représentant chargé de la protection des données est une obligation de conformité majeure pour les organisations non européennes. Par conséquent, si vous êtes situé aux États-Unis et que vous n'avez pas de bureau, de succursale ou d'autre établissement dans l'UE, vous devez désigner un représentant RGPD de l'UE.

Le représentant de l'UE doit être situé dans l'UE pour servir de point de contact entre votre entreprise américaine et les personnes de l'UE ainsi que les autorités de protection des données de l'UE, le cas échéant. En outre, le représentant peut aider et soutenir votre entreprise dans la gestion d'un nombre illimité de notifications de violations de données auprès des autorités de protection des données.

En cas de non-respect, vous risquez des amendes administratives pouvant aller jusqu'à l'équivalent de 10 000 000 EUR ou jusqu'à 2 % du chiffre d'affaires annuel mondial de votre entreprise. Les autorités chargées de la protection des données peuvent également restreindre temporairement ou définitivement le traitement et suspendre les flux de données.

DeuxièmementSi vous menez des essais cliniques au Royaume-Uni, vous devrez peut-être également désigner un représentant chargé de la protection des données dans le RGPD britannique. Le Royaume-Uni n'étant plus un État membre de l'UE et étant considéré comme un pays tiers à l'UE, il applique désormais le " RGPDbritannique", une version presque identique du RGPD européen. Les droits, principes et obligations restent pour l'essentiel les mêmes, y compris l'obligation de désigner un représentant chargé de la protection des données. Ainsi, si vous menez des essais cliniques à la fois dans l'UE et au Royaume-Uni, vous devez désigner deux représentants, l'un dans l'UE et l'autre au Royaume-Uni.

TroisièmementNe pas confondre le représentant de l'UE au titre du RGPD avec d'autres types de représentants. Une erreur très courante commise par les sponsors américains lorsqu'il s'agit de désigner un représentant de l'UE est de supposer que le représentant de l'UE du RGPD - nommé conformément à l'article 27 du RGPD - est le même que le représentant légal requis en vertu de l'article 74 du règlement de l'UE 536 (2014). Ce n'est pas le cas. Il s'agit de deux représentants différents. En outre, le représentant de l'UE au RGPD n'est pas le même que le délégué à la protection des données (DPD). Le Comité européen de la protection des données (CEPD) a confirmé qu'il n'est pas possible de désigner votre DPD comme représentant RGPD UE. Assurez-vous donc que vous avez désigné le(s) bon(s) représentant(s) pour la(les) bonne(s) raison(s) afin d'éviter de lourdes pénalités.