Alors que le RGPD vient de fêter son premier anniversaire et que le montant des sanctions commence à croître à travers toute l’Union Européenne, la Commission Européenne a publié une foire aux questions[1] relatives aux interactions entre ce texte et celui relatif aux essais cliniques[2]. A supposer qu’il soit encore besoin de le préciser, le respect du second texte ne dispense pas de se conformer au premier.

Le document s’ouvre sur un rappel des obligations génériques, en matière de données, applicables en matière d’essais cliniques. Sans surprise, la Commission a insisté sur la nécessité de disposer de données fiables et de qualité, insistant consécutivement sur la nécessité de respecter le protocole et les bonnes pratiques, dans le cadre de la collecte, puis d’assurer l’intégrité des données postérieurement. La Commission rappelle ensuite que les inspecteurs de santé publique, en charge de contrôler le respect de la réglementation sanitaire, étaient habilités à accéder aux données de la recherche, mais également les données relatives à la santé de chaque sujet, en qualité de « tiers autorisé », pour reprendre l’ancienne terminologie française. La Commission souligne la nécessité de se tourner vers les autorités de protection des Etats membres dans lesquelles une recherche multicentrique paneuropéenne devrait être mise en œuvre, afin qu’elles s coordonnent.

La Commission revient sur l’identité de la personne en charge de déterminer la base juridique du traitement de données. Sans surprise, elle conclut qu’il s’agit du promoteur et, dans le cas d’une recherche monocentrique hospitalière, de l’institution dont dépend le chercheur. Soulignons que plusieurs bases juridiques coexistent : se conformer à une obligation légale (archivage, contrôle qualité, etc.), d’une part et d’autre part, soit l’intérêt public, soit l’intérêt légitime du promoteur, soit le consentement des sujets. La France a tranché, exigeant l’intérêt public et, dans certains cas, le consentement.

Est ensuite abordée la question de la différence entre l’information et le consentement à la recherche et l’information, voire le consentement, au traitement des données à cette fin. L’exigence posée par la réglementation sur les essais cliniques est décrite comme un garde-fou d’ordre éthique, insusceptible de servir de base juridique au traitement des données. Conséquence, les promoteurs doivent veiller à clairement distinguer les formulaires d’information et de recueil consentement. Là où cela se gâte, c’est quand le consentement est retiré. Le retrait du consentement à la recherche aurait pour seul effet d’exclure le sujet du protocole, tandis que le retrait du consentement au traitement des données doit aboutir à l’effacement immédiat des données dont la conservation et l’utilisation ne sont pas possibles sur une autre base juridique. Et l’on boucle ici avec l’exigence de qualité et d’intégrité des données… la Commission recommande alors d’adapter les formulaires de retrait du consentement pour savoir lequel est retiré, précisément.

Au final, même si ce n’est pas forcément celles que les praticiens attendaient, la Commission apporte des réponses à des problématiques opposant les chercheurs, les juristes et les autorités depuis plusieurs mois. Mieux, les arguments dégagés concernant les essais cliniques paraissent transposables aux autres formes de recherches, études et évaluations en santé.

Seul bémol, et non des moindres. Le document s’ouvre sur une clause de non-responsabilité quant à la portée des conseils, ce qu’on peut déplorer venant d’une autorité qui a été impliquée dans l’élaboration des deux textes.

[1] https://ec.europa.eu/health/sites/health/files/files/documents/qa_clinicaltrials_gdpr_en.pdf.

[2] Règlement n ° 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain