Essais cliniques décentralisés, vers une révision du cadre juridique en 2024 ?
Les essais cliniques sont dits "décentralisés1" (ECDs), quand ils comprennent soit des actes réalisés complètement à distance du centre investigateur par l’intermédiaire notamment de solutions de télésanté, soit en partie à distance, et on parle alors d’essais cliniques "hybrides" : avec par exemple la livraison de médicaments à domicile ou la diminution du temps de transport des patients grâce à l’intervention de professionnels de santé proches du domicile du patient ou encore par le monitoring à distance des données saisies par le patient.
Lignes directrices temporaires, recommandations provisoires
La période du Covid 19 a eu pour effet positif de donner un coup d’accélérateur au niveau mondial à la réalisation d’ECDs, passant de 5 à 15 % avant Covid-19 à 30 à 50 % après Covid-19. Cela a pu être possible au niveau européen et français grâce à l’impulsion des autorités qui ont publié des lignes directrices temporaires2 dès 2020 afin de répondre aux contraintes de cette période exceptionnelle.
La CNIL3, quant à elle, avait publié en avril puis en décembre 2021 des recommandations provisoires4, applicables jusqu’au 31 décembre 2021, pour permettre le contrôle qualité à distance des essais cliniques pendant la pandémie. Dans ces recommandations, la CNIL précisait que "le monitoring à distance ne répond pas strictement aux dispositions des Méthodologies de Références actuelles." La CNIL a néanmoins permis exceptionnellement au vu du contexte sanitaire une dérogation à l’obligation prescrite par la loi Informatique et libertés5 d’obtenir une autorisation pour la mise en œuvre d’un monitoring à distance, à condition que ce contrôle constitue le seul point de non-conformité aux Méthodologies de Référence (MR), et que les conditions édictées dans ses recommandations, y compris les mesures de sécurité, soient strictement respectées.
Obligations prescrites par la loi Informatique et libertés
En dehors de cette période exceptionnelle, toute mise en œuvre d’éléments décentralisés doit se faire dans le respect de la réglementation française relative à la protection des données personnelles qui peut être particulièrement contraignante. En effet, en application de la loi Informatique et libertés, et en particulier de son article 66, lorsqu’un promoteur souhaite mettre en œuvre un essai clinique, il doit soit se conformer à l’une des MR édictées par la CNIL et doit être en tous points conforme à celle qui s’applique à son essai clinique. À ce titre, le promoteur doit effectuer auprès de la CNIL une déclaration de conformité à cette MR. La MR applicable aux recherches dans le domaine de la santé, réalisées dans le cadre de recherches impliquant la personne telles que définies par le code de la santé publique est la MR-0016. Le promoteur doit vérifier qu’il respecte bien tous ses critères, sinon il doit déposer une demande d’autorisation devant la CNIL en expliquant et justifiant les points de non-conformité avec cette MR.
"Le Covid 19 a été un accélérateur au niveau mondial pour la réalisation d’ECDs"
Or, dans la mesure où les essais cliniques décentralisés ne répondent pas strictement aux MR, leurs promoteurs sont dans l’obligation d’obtenir une autorisation spécifique de la CNIL, ce qui complexifie grandement la partie administrative et juridique de la mise en œuvre d’un essai clinique décentralisé. En plus de la formalité auprès de la CNIL, une analyse d’impact sur la protection des données personnelles est en tous les cas obligatoire que ce soit pour être conforme à une MR, ou pour obtenir une autorisation spécifique de la CNIL.
Recommandations européennes et contraintes de la MR-001 de la CNIL
De nouvelles recommandations européennes ont été publiées le 14 décembre 2022 concernant les essais cliniques décentralisés7 afin de faciliter le recours à des composantes décentralisées dans les essais cliniques, indépendamment de toute crise sanitaire. Plusieurs thématiques sont abordées dont celles de la livraison de médicaments à domicile et les processus de consentement éclairé. Elles soulèvent chacune des questions juridiques importantes, à savoir d’une part la protection du secret médical et la possibilité d’accéder ou non aux données identifiantes du patient, et d’autre part, la manière de récupérer le consentement éclairé du participant à distance via un e-consentement.
"Pour bénéficier d’une MR, il faut se conformer à l’ensemble de ses dispositions"
Mais le recours à des techniques décentralisées et à des opérations à distance pose en pratique la question du respect des normes prescrites par la CNIL :
- la MR-001 prescrit que seuls les professionnels de santé peuvent accéder à l’identité du patient et que cela n’est pas possible pour le promoteur. Concernant les prestataires qui travaillent pour le promoteur, ils ont dans certains cas besoin d’avoir accès aux données identifiantes par exemple lors de la livraison de médicament au domicile du patient. Mais la MR-001 stipule que ces prestataires ne peuvent pas alors avoir accès aux données de santé du patient. Aucune interférence entre les données d’identité et celles de santé n’est permise. Aussi ceci oblige le promoteur à recourir à deux prestataires distincts : l’un qui a accès aux données administratives identifiantes du patient, l’autre qui n’a accès qu’à des données de santé pseudonymisées pour la conduite de l’essai clinique, car faire appel à ces deux services au sein d’un même prestataire n’est pas autorisé par la MR-001 ;
- concernant le recueil du consentement éclairé à distance et le recours à une potentielle signature électronique, les recommandations européennes de 20228 privilégient un entretien vidéo avec le patient. Elles indiquent que si la signature électronique en France peut être utilisée, elle ne l’a pas été dans ce cadre. La MR-001, quant à elle, n’interdit pas que ce consentement soit donné à distance et avec signature électronique, mais cela signifie que le prestataire qui recueille ce consentement aura accès à de la donnée identifiante du patient, ce qui est par principe interdit par la MR-001 si ce prestataire a par ailleurs accès aux données de santé du patient, comme expliqué ci-dessus ;
- de plus en plus d’organismes souhaitent constituer en amont de la recherche des bases de données de volontaires susceptibles de participer à une recherche, afin de fluidifier par la suite le recrutement des patients lors du lancement d’un essai clinique. La constitution de ces bases n’est pas prévue par la MR-001 et pose la question de l’intégration de leurs données dans les données de l’essai clinique, dans le respect de la MR-001.
À la suite des recommandations européennes, la CNRIPH9 a mis en place des travaux, qui sont en cours de consolidation, afin de formuler des recommandations pour faire évoluer le droit français. La CNIL a lancé en janvier dernier une phase pilote via un guichet unique avec la DGS10, la DGOS11 et l’ANSM12. La CNIL vient de prolonger cette phase pilote jusqu’au 30 septembre prochain. L’objectif de cette phase pilote est d’accompagner vingt projets d’intérêt comportant un ou des éléments décentralisés qui seront sélectionnés afin d’apporter des réponses concrètes aux difficultés rencontrées par les promoteurs et les industriels au moment de la conception d’un essai clinique décentralisé, c’est-à-dire avant que le projet ne soit finalisé et soumis pour avis et/ou autorisation du CPP13, de l’ANSM et avant toute formalité auprès de la CNIL.
Parmi les documents demandés aux promoteurs figurent un résumé du protocole ainsi que la notice d’information dédiée aux futurs participants. Par la suite, (1) des recommandations françaises seront publiées consolidant les travaux de la CNRIPH et les retours d’expérience (REX) des promoteurs lors de cette phase pilote, (2) ainsi qu’un bilan sous forme de REX et/ ou FAQ à destination des promoteurs. Pour la CNIL, l’objectif est également de dégager des éléments de doctrine afin de mettre à jour ses MR pour intégrer ces composantes décentralisées.
À ce jour, aucune information n’a été partagée par la CNIL pour indiquer quelles modifications elle pourrait apporter à ses MR et si celles-ci iraient dans le sens d’un assouplissement de la règlementation. En tout état de cause, il appartient aux promoteurs de veiller au respect des conditions figurant dans les MR de la CNIL et d’analyser selon quelles modalités ils peuvent mettre au point des essais cliniques intégrant des composantes décentralisées sans violer les règles qui y sont prescrites.
SUR LES AUTEURS
Ariane Mole est avocate associée en protection des données personnelles, Bird&Bird, Co-Head de la pratique internationale en protection des données personnelles. Oriane Zubcevic est avocate en protection des données personnelles, Counsel, Bird&Bird.
Notes de bas de page
1 Ils sont définis par l’Afcro comme des essais conçus pour "apporter l’essai au patient en utilisant des fournisseurs de soins de santé locaux, en optimisant les technologies de santé numérique et en permettant à la voix du patient d’accélérer le développement de médicaments, d’accélérer l’accès aux thérapies pour les patients et de créer de l’efficacité à travers les processus de recherche clinique."
2 https://health.ec.europa.eu/document/download/74386d75-e5fd-4d9c-9dfc-ec7d60758da9_en
3 La Commission nationale de l’informatique et des libertés.
4 https://www.cnil.fr/sites/cnil/files/atoms/files/recommandations_provisoires_-_controle_qualite_a_distance_des_essais_cliniques_pendant_la_crise_sanitaire_liee_a_la_covid-19.pdf
5 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
6 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037187386
7 mp_decentralised-elements_clinical-trials_rec_en.pdf (europa.eu)
8 https://sante.gouv.fr/IMG/pdf/recommandations_elements_decentralises_essais_cliniques.pdf
9 La Commission nationale des recherches impliquant la personne humaine.
10 La Direction générale de la santé.
11 La Direction générale de l’offre de soins.
12 L’Agence nationale de sécurité du médicament et des produits de santé.
13 Le Comité de protection des personnes