L’avis de l’European Data Protection Board (EDPB) sur les études cliniques (1) apporte, au-delà des questions de santé, d’utiles précisions relatives au critère de licéité des traitements de données posé par le RGPD.
Vous pensez que ce texte ne présente pas d’intérêt pour votre activité dans la mesure où vous ne réalisez pas d’études cliniques ? Détrompez-vous ! Il est particulièrement intéressant s’agissant de l’interprétation par l’EDPB de l’article 6 du RGPD relatif au critère de licéïté des traitements de données.
Cette publication fait suite à la saisine de l’EDPB par la DG Santé de la Commission européenne conformément à l’article 70 du RGPD. La DG Santé a, en effet, adressé au Comité en octobre dernier une liste de questions relatives à l’articulation de la réglementation relatives aux études cliniques nécessitant la collecte de données de santé et le RGPD.
L’article 93 du règlement CTR (2) applicable depuis 2014 et régulant les essais cliniques fait explicitement référence à la directives 95/46/CE et le RGPD fait lui-même référence aux dispositions applicables en matière d’essais cliniques. Dès lors, le Comité en déduit que ces deux réglementations doivent conjointement s’appliquer et que le CTR constitue une loi sectorielle comportant des dispositions spécifiques et non dérogatoires au RGPD.
L’une des questions principales posées par la DG Santé portait sur les bases légales qu’il convient de retenir pour la réalisation d’essais cliniques. Le Comité examine donc les conditions de l’utilisation des différentes bases légales prévues à l’article 6.
Précisions sur la notion d’obligation légale susceptible de servir de fondement à un traitement de données
L’EDPB profite de cette occasion pour rappeler les conditions dans lesquelles il est possible de retenir ce fondement :
- l’obligation doit être imposée par la loi et le texte en question doit remplir toutes les conditions pour que l’obligation soit valide et engageante ;
- le texte doit être conforme aux règles de protection des données en particulier à l’exigence de nécessité, de proportionnalité et de limitation des finalités ;
- l’obligation légale elle-même doit être suffisamment claire quant au traitement des données qu’elle requière ;
- enfin le responsable du traitement ne doit pas avoir un pouvoir discrétionnaire excessif dans la détermination des moyens permettant de se conformer à cette obligation.
L’EDPB considère que c’est notamment le cas des articles 41 à 43 du CTR relatifs aux notifications des événements indésirables au promoteur et par le promoteur à l’Agence en charge de la sécurité du médicament ou du produit objet de la recherche.
Précisions sur le consentement
Un consentement au traitement de données personnelles et non à l’étude clinique
Le Comité rappelle que le consentement éclairé prévu dans le cadre du CTR ne doit pas être confondu avec le consentement au sens de l’article 6 du RGPD. L’obligation d’obtenir un consentement éclairé dans le cadre du CTR est une mesure visant à protéger la dignité humaine et le droit à intégrité de la personne humaine dans le cadre des article 1 et 3 de la Charte des droits fondamentaux et n’est pas conçu comme un instrument visant à assurer la conformité en matière de protection des données personnelles. L’ensemble des études cliniques n’ont donc pas vocation à reposer sur le consentement de la personne concernée.
Un parallèle peut être fait avec le consentement donné dans un cadre contractuel. Ce dernier est en effet couramment confondu avec le consentement au traitement des données personnelles. Si un contrat consenti librement donne lieu à la mise en œuvre de traitements de données, ces derniers ne relèvent pas nécessairement du consentement. Dans la plupart des cas, ils seront plutôt basés sur l’exécution de ce contrat, seuls les traitements non nécessaires à la réalisation de la prestation (les traitements « facultatifs ») devront faire l’objet d’un consentement.
Le consentement au traitement de données particulières nécessite l’application combinée des articles 6 et 9 du RGPD
Dans l’hypothèse où certains des traitements mis en œuvre dans le cadre de ces études reposeraient sur le consentement, le responsable du traitement devra s’assurer qu’il respecte les conditions de l’article 6 à savoir que le consentement est libre, spécifique, informé et non ambiguë mais également de l’article 9 dans la mesure où ces essais nécessitent la collecte de données de santé, le consentement devra donc être explicite.
Le Comité profite de cette occasion pour rappeler que le consentement à la collecte de données particulières doit répondre cumulativement aux conditions de l’article 6 et de l’article 9.
Précision sur la notion de déséquilibre significatif entre le responsable du traitement et la personne concernée
Le RGPD précise que le consentement ne doit pas être privilégié en tant que base légale lorsqu’il existe un déséquilibre significatif entre le responsable du traitement et la personne concernée, il devrait même être exclu dans ce type de situation. Le Comité relève que cela peut être le cas dans le contexte des études cliniques dans l’hypothèse où un participant aurait des problèmes de santé ou appartiendrait à un groupe économiquement ou socialement désavantagé ou en cas de situation de dépendance institutionnel ou hiérarchique.
Précisions sur la notion de tâches relevant de l’intérêt public
Les traitements mis en œuvre dans le cadre de recherches cliniques pourraient enfin relever de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Le Comité précise cependant que pour utiliser ce fondement la réalisation d’études cliniques doit relever directement du mandat, des missions ou des tâches dévolues par le droit national à un organisme de droit privé ou public. Dès lors que le droit français ne comporte pas de dispositions spécifiques prévoyant cette mission, il n’apparaitra pas possible d’utiliser ce fondement.
Aurélie Banck
Lexing Conformité RGPD Banque et Assurance
(1) Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art.70, 1, b) adopted on 23 January 2019.
(2) Règlement n°536/2014 du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE.