Blogpost

Protéger les données sensibles dans les essais cliniques : Obligations RGPD expliquées

Publié sur11/08/2025
Protéger les données sensibles dans les essais cliniques

Qu’est-ce qu’un essai clinique, et comment ça fonctionne ?

Les essais cliniques jouent un rôle essentiel dans le développement de nouveaux traitements, médicaments ou dispositifs médicaux. Ils permettent de vérifier l’efficacité et la sécurité de ces innovations avant leur mise sur le marché.

Ce processus implique le recrutement de participants (souvent des patients), ainsi que la collecte et l’analyse de nombreuses données personnelles, dont des données de santé, considérées comme particulièrement sensibles au regard du Règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018.

Un essai clinique typique comprend plusieurs étapes :

  1. Élaboration du protocole,
  2. Autorisations réglementaires,
  3. Recrutement des participants et recueil de leur consentement éclairé,
  4. Collecte et traitement des données,
  5. Suivi, analyse et publication des résultats.

À chaque étape du processus, la protection des données doit être garantie.

Définitions clés et cadre juridique

Selon le RGPD (article 9), les données de santé relèvent d’une catégorie particulière de données sensibles. Leur traitement n’est autorisé que dans certaines conditions strictes et doit reposer sur une des bases légales prévues par le règlement.

Les obligations principales incluent :

  • Une base légale claire (consentement, obligation légale, intérêt légitime),
  • Une exception au principe d’interdiction de traiter des données sensibles (consentement explicite, nécessité pour la recherche scientifique ou la santé publique),
  • Le respect des principes fondamentaux (finalité, proportionnalité, minimisation des données, limitation de conservation),
  • Des mesures de sécurité adaptées (techniques et organisationnelles),
  • Le respect des droits des personnes concernées (information, accès, rectification, opposition, retrait du consentement).

En parallèle, les essais cliniques sont encadrés par plusieurs textes, à différents niveaux :

  • Au niveau européen, le Règlement (UE) 536/2014 relatif aux essais cliniques de médicaments à usage humain. Il renforce la transparence, impose l’enregistrement des essais cliniques et introduit l’utilisation d’un portail européen unique (CTIS).
  • En Belgique, la loi du 7 mai 2004 relative aux expérimentations sur la personne humaine reste applicable pour encadrer les aspects éthiques, les conditions de participation, les obligations des promoteurs, ainsi que les autorisations délivrées par les comités d’éthique.
  • D’autres textes peuvent s’appliquer selon le contexte, par exemple :
  • La Directive NIS 2 impose des exigences accrues en matière de cybersécurité en cas d’utilisation de systèmes informatiques critiques,
  • Le Règlement (UE) 2025/327 sur l’Espace européen des données visant notamment à faciliter la réutilisation des données à des fins de recherche ou de santé publique, dans un cadre sécurisé et encadré.

Pourquoi les essais cliniques posent-ils des enjeux importants en matière de protection des données ?

Les essais cliniques impliquent souvent :

  • Le traitement de volumes importants de données sensibles,
  • De nombreux  acteurs multiples (promoteurs, CRO, hôpitaux, chercheurs, laboratoires),
  • Des transferts internationaux de données, notamment vers les États-Unis ou d’autres pays tiers.

Les défis majeurs pour les responsables de traitement sont :

  • Choisir la base légale adéquate afin de garantir la légitimité du traitement des données,
  • Définir précisément les rôles des acteurs (responsable du traitement ou sous-traitant),
  • Garantir et gérer droits des participants,
  • Assurer des mesures de sécurité adaptées, notamment en cas d’usage de plateformes numériques de collecte de données, de cloud ou d’intelligence artificielle.

Exemples concrets de situations où les essais cliniques et RGPD se rencontrent :

  • En 2018, une autorité de protection des données a autorisé la constitution d’un entrepôt de données de santé par une société privée, dans le cadre de traitements automatisés destinés à identifier les établissements de santé les plus appropriés pour accueillir des essais cliniques. Cette autorisation s’appuyait sur un cadre juridique strict encadrant l’utilisation des données de santé sensibles.[1]
  • En juin 2023, une autorité de protection des données a sanctionné le promoteur d’un essai clinique mené dans plusieurs hôpitaux, en raison de l’absence d’accords de sous-traitance (data processing agreements) avec les établissements impliqués, alors même que certains d’entre eux étaient qualifiés, au moins en partie, comme sous-traitants.[2]

Quelles perspectives d’évolution ?

Les enjeux liés à la protection des données dans les essais cliniques vont continuer à croître. Plusieurs tendances à suivre :

  • L’intégration croissante de l’intelligence artificielle dans l’analyse des résultats cliniques,
  • La mise en œuvre du Règlement sur l’Espace européen des données de santé, qui pourrait harmoniser et faciliter les usages secondaires des données à des fins de recherche,
  • Une vigilance accrue des autorités de contrôle, comme la CNIL ou l’APD, qui examinent de plus en plus les conditions de collecte du consentement et la sécurité des systèmes,
  • Les exigences renforcées en matière de cybersécurité et de gouvernance des données, notamment dans le cadre de collaborations internationales.

FAQ – Questions fréquentes

Peut-on toujours se baser sur le consentement pour traiter les données dans le cadre d’un essai clinique ?

Non, pas systématiquement.

Certaines autorités de protection des données exigent un consentement explicite pour traitement licite. D’autres, en revanche, distinguent le consentement éthique (requis pour la participation à l’essai) de la base légale au sens du RGPD. Dans ce cas, une autre base légale que le consentement est nécessaire, comme une obligation légale ou un intérêt légitime du promoteur.

Cela signifie que les exigences peuvent varier d’un État membre à l’autre, en fonction de l’interprétation des autorités nationales.

Faut-il réaliser une analyse d’impact (DPIA) ?

Oui, dans la majorité des cas.

Une DPIA est requise lorsque le traitement implique un risque élevé pour les droits des personnes. Dans le cadre d’un essai clinique, cela est souvent le cas, en raison du traitement à grande échelle de données de santé, de l’usage possible de technologies innovantes, et de la participation de patients, considérés comme des personnes vulnérables.

Que faire en cas de transfert hors de l’Union Européenne ?

Il faut d’abord vérifier si le pays tiers bénéficie d’une décision d’adéquation de la Commission européenne. En l’absence d’une telle décision, il est nécessaire de mettre en place des garanties appropriées, comme les clauses contractuelles types (SCC), et, le cas échéant, de réaliser une évaluation d’impact sur le transfert (Transfer Impact Assessment). Le RGPD impose également d’informer clairement les participants sur l’existence et les modalités de ces transferts.

Conclusion

Les essais cliniques sont indispensables à l’innovation médicale, mais ils impliquent des traitements de données sensibles complexes. Le RGPD impose des obligations strictes, mais offre aussi une opportunité : celle de renforcer la confiance des participants et des partenaires en garantissant une gouvernance rigoureuse des données.

Pour les acteurs impliqués dans l’essai clinique, l’enjeu est donc de concilier rigueur scientifique, cadre éthique et conformité RGPD. Une approche proactive, documentée et collaborative est essentielle pour réussir dans ce domaine en constante évolution.

[1] La CNIL a autorisé en 2018 la constitution d’un entrepôt de données de santé par la société IQVIA, dans le cadre de traitements automatisés visant à identifier les établissements de santé français les plus appropriés pour accueillir des essais cliniques. Cette autorisation repose sur un cadre juridique strict, encadrant l’utilisation des données de santé sensibles. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038269189/

[2] En juin 2023, la AEPD a sanctionné GETECCU (Grupo Español de Trabajo en Enfermedad de Chron y Colitis Ulcerosa), promoteur d’un essai clinique dans plusieurs hôpitaux espagnols. Le motif était l’absence d’accords de sous-traitance (data processing agreements) entre le sponsor et les hôpitaux prestataires, malgré la qualification de ceux-ci (en partie) comme sous-traitants. https://www.aepd.es/documento/ps-00442-2024.pdf

Partager ceci :

Écrit par

Louise Dupont

Louise Dupont

Hi ! Comment pouvons-nous vous aider ?

Vous avez besoin d’un responsable interne de la protection de la vie privée ou d’un DPD externe ? Prenez contact avec nous et nous chercherons ensemble la meilleure solution.

Contactez nous

Plus d'articles

Tous les articles

Votre partenaire de confiance en matière de gouvernance des données et de conformité.

Menu

Solutions

Contact

ISO 27001 certification

© 2025 – CRANIUM – Déclaration Générale de Confidentialité Cooky PolicyConditions Générales

Contact