La Belgique rencontre un réel succès dans le domaine de la R&D. Comme l’explique Gauthier Broze, Fondateur et CEO de Hussard, une société de consultance spécialisée en « data privacy » dans le secteur des sciences de la vie, la protection des données des patients y constitue néanmoins un défi de taille sur le plan juridique dans le cadre des études cliniques.
Gauthier Broze
Fondateur et CEO
Hussard
Texte : Philippe Van Lil
La conduite d’études cliniques nécessite le traitement d’un important volume de données sensibles de patients au cours des différentes phases de tests. Les patients sont toujours volontaires mais il faut les informer en toute transparence du traitement qui sera fait de leurs données de santé.
Plusieurs facteurs rendent complexe la gestion des données de santé : leur volume, leur caractère sensible et surtout le caractère souvent transfrontalier des études.
C’est une obligation légale mais surtout une exigence éthique. Les données de santé doivent bénéficier d’un très haut niveau de protection. À cette fin, le Règlement général sur la protection des données (RGPD) constitue, depuis 2018, une avancée significative à l’échelle européenne. Il favorise une protection harmonisée des données à caractère personnel traitées dans l’UE, encadre mieux le traitement de ces données et responsabilise tous les intervenants de l’étude clinique.
Des différences d’interprétation
Toutefois, relève Gauthier Broze, « en matière de recherche scientifique, des divergences d’interprétation peuvent subsister entre les États membres. Il faut donc être attentif aux flux des données sensibles et à la conformité des sociétés actives dans la recherche. » Les promoteurs d’études cliniques recourent à de nombreux sous-traitants – intervenants logistiques, sites cliniques, investigateurs, laboratoires, bio-banques, etc. -, directement impliqués dans les traitements de données.
Le RGPD stipule qu’on ne peut envoyer des données hors UE que si le pays destinataire garantit un niveau de protection similaire à celui du RGPD.
L’enjeu est évidemment de taille. Tous les contrats doivent être revus et les risques identifiés, analysés et gérés. Souvent dévolue au Data Protection Officer (DPO) désigné pour l’étude clinique, cette mission peut être étendue à d’autres aspects :
« Nous portons également notre attention sur les outils technologiques utilisés dans le cadre des relations entre partenaires, sur les flux des données générés par ces outils, sur les lois applicables en cas de recherches transfrontalières, sur les autorités compétentes en cas de violation accidentelle ou malveillante des données. Notre valeur ajoutée va donc bien au-delà de la simple mise en conformité », précise notre interlocuteur.
Une gestion complexe
Dans le cas des études cliniques, plusieurs facteurs rendent complexe la gestion des données de santé : leur volume, leur caractère sensible et surtout le caractère souvent transfrontalier des études. Concernant ce dernier point, Gauthier Broze cite un exemple significatif relatif aux interprétations divergentes de certaines dispositions du RGPD : « Des pays, la Belgique notamment, considèrent qu’une fois que le patient a donné son consentement pour participer à une étude clinique, cela permet de traiter les données sans nécessité d’obtenir un nouveau consentement explicite. D’autres pays, comme l’Irlande, considèrent qu’il faut obtenir un second consentement explicite. »
La situation est encore plus compliquée lorsque certains partenaires ne sont pas établis dans l’Union européenne… Le RGPD leur est applicable mais ils l’ignorent ! Comme souligne le CEO de Hussard, « si, par exemple, le financement potentiel d’un projet de recherche vient du Japon ou des États-Unis, on est souvent amené à envoyer des données afin que les investisseurs puissent évaluer l’intérêt d’investir. Or, le RGPD stipule qu’on ne peut envoyer des données hors UE que si le pays destinataire garantit un niveau de protection similaire à celui du RGPD. »
Enfin, on ne s’improvise évidemment pas juriste spécialisé en data privacy dans le domaine des études cliniques : « Nous sommes certifiés en RGPD et en Good Clinical Practice (GCP), autrement dit en accompagnement d’études cliniques. »
« En clair, nous utilisons le langage de nos clients et ne leur demandons pas de parler le langage juridique. Être familier avec la documentation spécifique de la recherche clinique, son contenu scientifique, ses acronymes anglo-saxons, etc., facilite l’efficacité et la qualité d’un travail sur mesure. »