Les études cliniques sont essentielles au développement de nouveaux traitements et dispositifs médicaux. Chaque étude clinique constitue une étape clé vers l’innovation en santé. Elles permettent de vérifier l’efficacité, la tolérance et la sécurité des innovations de santé avant leur mise à disposition des patients. Mais ces recherches reposent aussi sur la collecte de données de santé, considérées comme les plus sensibles par le RGPD. Comprendre le rôle des différents acteurs et les obligations de protection des données est donc un enjeu majeur pour les patients, les investigateurs et les promoteurs impliqués dans les études cliniques.

1. Comprendre le cadre et l’histoire des études cliniques

1.1 Un peu d’histoire : qui est l’origine des premières études cliniques ?

L’un des premiers récits connus est celui de James Lind, qui au XVIIIe siècle mena une étude sur les agrumes afin de démontrer leur efficacité contre le scorbut. Cet exemple illustre l’importance historique des études cliniques dans la médecine moderne.

1.2 Qu’est-ce qu’une étude clinique dans la recherche médicale (et qui traite quelles données) ?

Une étude clinique est une recherche scientifique menée sur une population de volontaires sains ou des patients afin d’évaluer un traitement, un médicament, une thérapie ou un dispositif médical avant qu’il soit mis sur le marché. Ces recherches suivent un protocole strict validé par les autorités de santé.

Dans une étude clinique, plusieurs acteurs interviennent :

• Le promoteur (laboratoire, organisme public, établissement de santé) définit les objectifs et finance l’étude.
• Les investigateurs (médecins, chercheurs) réalisent l’étude auprès des participants.
• Les CRO (Contract Research Organizations) assistent le promoteur dans la gestion opérationnelle.
• Les participants apportent leurs données personnelles et médicales.

Ces différents acteurs ont des responsabilités précises en matière de traitement des données, ce qui fait des études cliniques un domaine où la gouvernance RGPD est essentielle.

1.3 Quelle est la différence entre une étude clinique et un essai clinique ?

Le terme études cliniques recouvre toutes les recherches menées sur l’être humain dans un cadre scientifique ou médical.
L’essai clinique est une forme particulière d’étude clinique, qui teste un produit de santé de manière interventionnelle.
En pratique, le mot « essai clinique » est souvent utilisé pour désigner les études cliniques portant sur de nouveaux médicaments.

1.4 À quoi servent les études cliniques et quel bénéfice pour les patients ?

Les études cliniques poursuivent plusieurs objectifs :

• Évaluer l’efficacité d’un traitement.
• Mesurer sa sécurité et ses effets secondaires.
• Obtenir une autorisation de mise sur le marché auprès des autorités sanitaires.
• Contribuer aux progrès scientifiques et médicaux.

Sans études cliniques, aucun nouveau traitement ne pourrait être proposé aux patients dans un cadre sécurisé. Chaque étude vise à démontrer un bénéfice médical clair.

1.5 Quelles données personnelles sont collectées pendant un essai ?

Les études cliniques nécessitent la collecte de données nombreuses et sensibles :

• Données d’identité, souvent pseudonymisées pour limiter les risques.
• Données médicales et biologiques (examens, diagnostics, traitements).
• Informations de suivi (observance, effets indésirables, fréquence des visites médicales, dose administrée)
• Données issues d’outils numériques (logiciels eCRF, applications de suivi, capteurs).
• Informations liées au lieu de réalisation de l’essai.

Toutes ces données sont considérées comme des données de santé au sens du RGPD. Leur traitement impose des précautions particulières en matière de sécurité et de confidentialité.

1.6 Qui est responsable de quoi (promoteur, CRO, centre, investigateur) au sens du RGPD ?

Dans une étude clinique, la répartition des responsabilités est la suivante :

• Le promoteur est généralement le responsable de traitement, car il définit les finalités et les moyens du traitement des données.
• Les CRO et prestataires interviennent comme sous-traitants, sur instructions du promoteur.
• Les investigateurs et centres peuvent être considérés comme responsables conjoints pour certaines données (suivi médical), et sous-traitants pour d’autres.

Ces rôles doivent être encadrés par des contrats précis, conformément aux exigences du RGPD.

2. Déroulement et résultats attendus

2.1 Combien de temps dure une étude clinique ?

La durée d’une étude clinique dépend de sa complexité, de sa phase de recherche et de divers facteurs comme le nombre de participants ou le type de pathologie étudiée. En général :

• Phase I : quelques mois, réalisée sur un petit groupe de volontaires pour vérifier la tolérance et déterminer la bonne dose du traitement. C’est ce que l’on appelle le premier essai.
• Phase II : entre 1 et 2 ans, afin d’évaluer l’efficacité du traitement et ajuster son schéma d’administration.
• Phase III : de 2 à 5 ans, sur une population beaucoup plus large, pour confirmer les résultats par rapport à un traitement de référence.
• Phase IV : après la mise sur le marché, avec un suivi sur plusieurs années pour surveiller les effets à long terme.

2.2 Quelles sont les étapes et les résultats d’un protocole d’essai clinique ?

Un protocole d’étude clinique suit des étapes bien définies :

1. Première étape : conception du protocole (objectifs, méthodes, critères d’inclusion).
2. Validation par un comité éthique, un comité de protection des personnes et les autorités de santé.
3. Recrutement des participants et recueil du consentement.
4. Collecte et suivi des données prévues par le protocole.
5. Analyse statistique, comparaison avec un traitement de référence et interprétation des résultats.
6. Publication scientifique et communication des conclusions.

Chaque protocole est conçu pour générer une expérience scientifique fiable et reproductible. Avant d’inclure l’homme, certains protocoles (en fonction de la molécule) passent par des tests sur les animaux.

Ces étapes garantissent la validité scientifique des résultats, tout en assurant la conformité des études cliniques aux règles éthiques et au RGPD.

3. Les enjeux RGPD des études cliniques : un cadre exigeant pour protéger les données de santé

Les études cliniques impliquent le traitement de données de santé, considérées comme les plus sensibles au sens du RGPD. Leur collecte et leur utilisation exigent donc des précautions particulières : définition claire de la base légale, mise en place de la pseudonymisation ou de l’anonymisation, sécurisation technique et organisationnelle des systèmes, information transparente des participants et encadrement strict des sous-traitants (CRO, hébergeurs, laboratoires). Au-delà de la conformité réglementaire, ces mesures visent à protéger les droits fondamentaux des patients et à garantir la fiabilité scientifique des résultats.

3.1 Des données de santé parmi les plus sensibles

Les études cliniques reposent sur la collecte et l’analyse de données médicales : résultats d’examens, antécédents, réponses à un traitement, ou encore données issues d’outils numériques (capteurs, eCRF, plateformes de suivi). Ces informations sont considérées comme les plus sensibles au sens du RGPD, car leur divulgation ou leur mauvaise utilisation pourrait avoir des conséquences graves pour les participants.
Premier enjeu RGPD des études cliniques : identifier précisément les données collectées et mettre en place des mécanismes de minimisation et de pseudonymisation.

3.2 Consentement éthique vs base légale RGPD

Beaucoup confondent le consentement donné par le patient pour participer à un essai et la base juridique RGPD permettant de traiter ses données. Ce sont deux concepts différents.
Dans certains cas, la base légale peut être l’intérêt public, l’obligation légale ou le consentement explicite.
Un enjeu majeur consiste à choisir et documenter la base légale adéquate afin d’éviter tout risque de non-conformité.

3.3 Transparence et information des participants

Les participants doivent être informés de manière claire et compréhensible : quelles données sont collectées, qui les utilise, pour quelles finalités et pendant combien de temps, afin de créer un véritable lien de confiance des patients.
Autre enjeu RGPD des études cliniques : rédiger des notices d’information accessibles, intégrant les coordonnées du DPO et les droits prévus par la réglementation.

3.4 Sécurité et confidentialité des données

Parce qu’elles sont sensibles, les données de santé nécessitent une protection renforcée. Cela inclut :

• le chiffrement,
• la gestion stricte des accès,
• la journalisation,
• l’hébergement conforme aux normes applicables,
• et un plan de gestion des violations de données.

L’enjeu RGPD est ici de garantir la confidentialité et l’intégrité des informations à chaque étape de l’étude clinique.

3.5 Encadrement des sous-traitants et partenaires

Les études cliniques mobilisent de nombreux acteurs : CRO, laboratoires, hébergeurs, plateformes numériques. Chacun intervient sur une partie du traitement des données.
Le promoteur doit donc encadrer ces acteurs par des contrats de sous-traitance (DPA) et vérifier leurs garanties en matière de sécurité et de conformité. Mais cela ne suffit pas : il est également essentiel de contrôler régulièrement ces prestataires par des audits RGPD, afin de s’assurer que les engagements contractuels sont respectés et que les pratiques restent conformes dans le temps.
Un enjeu central : assurer une gouvernance claire, documentée et adaptée aux différents services externalisés.

3.6 Analyse d’impact et documentation

Comme les études cliniques traitent des données sensibles à grande échelle, une analyse d’impact relative à la protection des données (AIPD) est généralement obligatoire. Elle permet d’identifier les risques pour les participants et de démontrer les mesures de protection mises en place.
Cet enjeu RGPD renforce la crédibilité du protocole et chaque élément documenté accroît la capacité du promoteur à prouver sa conformité.

3.7 Conservation et archivage des données

Les données issues des essais cliniques doivent être conservées pour des durées parfois longues, imposées par la réglementation scientifique.
L’enjeu RGPD consiste à concilier ces obligations avec le principe de limitation de conservation, en définissant des politiques d’archivage et de destruction adaptées.

3.8 Contrôle qualité et conformité RGPD

Au-delà de la contractualisation et des audits RGPD, les essais cliniques nécessitent un suivi continu de la qualité des données et des pratiques. Le contrôle qualité peut désormais s’effectuer à distance grâce aux outils numériques, ce qui soulève de nouveaux enjeux en matière de protection des données. La CNIL a publié des recommandations sur ce sujet, rappelant que la mise en place d’un contrôle qualité doit garantir la sécurité des informations de santé, limiter l’accès aux données strictement nécessaires et assurer la traçabilité des opérations réalisées (voir l’article de la CNIL).

Un pilotage rigoureux du contrôle qualité, combiné à des audits réguliers et à des mesures techniques adaptées, constitue donc un élément essentiel pour démontrer la conformité RGPD et maintenir la confiance des participants.

Conclusion

Les études cliniques sont indispensables aux avancées médicales, mais elles impliquent des traitements de données particulièrement sensibles. Le RGPD impose donc un cadre strict : choix de la base légale, information transparente, pseudonymisation, sécurité, encadrement des sous-traitants, gestion des transferts internationaux, droits des participants et archivage.

Respecter ces exigences est non seulement une obligation réglementaire, mais aussi une condition pour garantir la confiance des patients et la crédibilité scientifique des résultats. Enfin, il faut rappeler que tous les essais doivent suivre ces principes de conformité pour protéger à la fois la science et les personnes.

Chez Dipeeo, on accompagne les promoteurs, CRO, investigateurs et établissements de santé dans toutes les étapes : analyse d’impact, audit et encadrement contractuel des prestataires, sécurité des données et documentation de conformité.