La Commission nationale de l'informatique et des libertés publie une série de recommandations. Elle précise les différentes conditions à respecter pour effectuer, à distance, un contrôle qualité des études cliniques.
Avec la crise sanitaire, la consultation à distance des données de recherches cliniques est devenue un véritable levier pour limiter la transmission du virus. La CNIL a donc décidé de publier une série de recommandations permettant l'analyse à distance par un « attaché de recherche clinique » (Arc), pour le compte d'un promoteur. Le promoteur n'est autre que la personne qui prend l'initiative d'une recherche biomédicale sur l'humain, en assure la gestion et vérifie que le financement est prévu.
Habituellement ce contrôle est effectué « au sein des centres investigateurs sous la direction et la surveillance d'un professionnel intervenant dans la recherche », précise la commission. Elle offre donc la possibilité de déroger à cette règle par le biais des Arcs. Ces derniers sont alors chargés de contrôler les données transmises par les centres d'investigation clinique (CIC).
Les essais concernés
Cette dérogation de la CNIL ne concerne que certains types d'essais cliniques, à savoir :
- les études liées à la maladie Covid-19 (traitement ou prévention) ;
- les essais portant sur des maladies graves ou mettant en jeu le pronostic vital ;
- les essais pour lesquels l'absence de contrôle qualité est susceptible d'entraîner des risques inacceptables pour la sécurité des patients ou de remettre en cause la fiabilité et l'intégrité des résultats ;
- les essais incluant des participants particulièrement vulnérables ou incapables de donner leur consentement ;
- les essais pivots.
Des conditions générales à respecter
Pour que la dérogation soit possible, le promoteur ainsi que le CIC « devront consulter leur délégué à la protection des données (DPO), notamment afin de déterminer si le contrôle à distance pourra s’effectuer », explique la CNIL. Si cela est possible, la solution trouvée devra être documentée.
L'Arc doit être soumis au secret professionnel. La consultation, en dehors du centre d'investigation des données, « doit s'accompagner de mesures de confidentialité renforcées que l'Arc doit s'engager à respecter ». La commission recommande « la signature d'un accord de confidentialité complémentaire de la part de l'Arc », qui s'engage à utiliser uniquement le matériel sécurisé fourni par le promoteur ou encore de réaliser le contrôle dans un lieu clos, sans passage de tiers. L'Arc a également l'interdiction d'exporter les données.
La vidéoconférence
Pour la CNIL, il faut privilégier le contrôle par visioconférence avec le CIC. « La fonctionnalité de partage d’écrans permet au centre d’investigation d’afficher uniquement les documents sources dont l’ARC a besoin. Aucune fonctionnalité de type « prise en main à distance » ne doit pouvoir être utilisée par l’ARC », comme détaillé dans le communiqué.
Dans le cas où les données doivent être envoyées à l'Arc, via une plate-forme sécurisée, la CNIL dresse une liste de recommandations sur la durée de conservation des données, leur traçabilité ainsi que l'authentification et la surveillance du contrôle par le CIC.
Pour en savoir plus, cliquer ici.