GDPR et essais cliniques sont-ils (in)compatibles ?
Publié le 29/03/2019 par Thierry Léonard, Bojana Salovic, Olivia Guerguinov
Le Comité Européen de la Protection des Données (CEPD, anciennement dénommé « Groupe 29 ») a rendu le 23 janvier 2019 un avis concernant les interactions entre le Règlement relatif aux essais cliniques (CTR) et le Règlement (UE) 2016/679 sur la protection des données (GDPR), suite à une requête de la Commission Européenne (DG Santé). Cet avis analyse les différentes bases de licéité possibles pour les traitements menés dans le cadre d’essais cliniques et dans le cadre de recherches scientifiques.
Introduction : un domaine réglementé
La recherche scientifique, et plus particulièrement les essais cliniques, sont des activités fortement réglementées. Au niveau européen, les essais cliniques sont actuellement régis par la directive 2001/20/CE concernant le rapprochement des dispositions législatives, réglementaires et administratives des États membres relatives à l’application de bonnes pratiques cliniques dans la conduite d’essais cliniques de médicaments à usage humain. Cette directive va être abrogée et remplacée par le règlement 536/2014 sur les essais cliniques, qui est déjà entré en vigueur mais dont l’entrée en application est prévue pour l’année 2020.
Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le Règlement européen 2016/679 du 27 avril 2016 sur la protection des données (GDPR) est susceptible de s’appliquer. Les données anonymes ou rendues anonymes de telle manière que la personne concernée n’est pas ou plus identifiable, ne sont pas concernées par cette réglementation.
Il y a donc une interaction entre ces deux réglementations, qui donne lieu à de nombreuses questions. C’est ainsi que la Commission Européenne (DG SANTE) a adressé une série de questions à ce sujet au CEPD. Dans son avis 03/2019, le CEPD s’est concentré sur la question de la base de licéité.
Traitement initial VS traitement ultérieur
Pour bien cerner l’avis du CEPD, il faut comprendre la distinction entre traitement initial et traitement ultérieur.
Le traitement initial est le traitement qui est directement annoncé à la personne concernée. Ainsi, le traitement initial à des fins de recherche scientifique doit trouver sa base de licéité dans l’une des six hypothèses visées par l’article 6 du GDPR.
Le traitement ultérieur concerne, lui, l’hypothèse où la personne concernée par les données n’a pas été informée de la poursuite d’une finalité autre que la finalité initiale. Ce n’est qu’ultérieurement que le responsable décide de poursuivre une telle finalité. Si la finalité ultérieure n’est pas compatible avec la finalité initiale, le régime juridique issu du GDPR est l’interdiction de traitement sauf consentement de la personne ou dérogation légale expresse (cfr art. 6.4 du GDPR). La réutilisation des données à des fins de recherche est cependant réputée compatible (art. 5.1.b GDPR).
Les traitements initiaux poursuivis dans le cadre d’essais cliniques: Traitements relatifs à la recherche scientifique V.S. traitements relatifs à la protection de la santé
Lorsqu’il examine la question de la base juridique du traitement de données à caractère personnel au cours d’un essai clinique, le CEPD considère qu’il est pertinent de distinguer deux grandes catégories d’activités de traitement. En particulier, les traitements purement liés aux activités de recherches doivent être distingués des traitements liés à des objectifs de protection de la santé, qui visent à fixer des normes de qualité et de sécurité des médicaments en générant des données fiables et robustes (finalités liées à la fiabilité et à la sécurité); ces deux principales catégories d’activités de traitement relèveraient de bases juridiques différentes et sont détaillées ci-après.
Le CEPD considère dans l’avis 03/2019 comme traitements relatifs à la protection de la santé, les traitements imposés au responsable par le CTR pour ce qui concerne par exemple, les obligations de notification en matière de sécurité, d’archivage du dossier permanent de l’essai clinique et des dossiers médicaux des patients concernés, ou encore des contrôles effectués conformément au règlement et au droit national.
a) 1ère catégorie de traitement poursuivi dans le cadre d’essais cliniques : les traitements initiaux de données à des fins de sécurité et fiabilité
Le CEPD considère que les traitements de données expressément prévus et imposés par le CTR et par les lois nationales, et qui sont relatifs à des objectifs de sécurité et de fiabilité, ont comme base de licéité l’article 6.1.c) du GDPR, à savoir le traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
Dans un avis antérieur concernant l’intérêt légitime, le CEPD (appelé à l’époque Groupe 29), considère qu’un traitement peut être justifié par le respect d’une obligation légale uniquement si certaines conditions sont remplies : il faut en effet que cette obligation soit imposée par la loi ; que la loi remplisse toutes les conditions pour rendre l’obligation valide et contraignante ; que la loi respecte les principes en matière de protection des données ; que la loi soit suffisamment claire en ce qui concerne les traitements qu’elle implique, de manière à ce que le responsable du traitement n’ait pas une trop grande discrétion à cet égard.
De plus, le CEPD précise que le traitement de données peut également être considéré comme étant nécessaire à l’exécution d’une mission d’intérêt public pour ce qui concerne des essais cliniques menés par des autorités mandatées par la loi nationale.
En ce qui concerne la justification de l’utilisation de données de santé (qui sont considérées comme des catégories particulières de données pour lesquelles le traitement est en principe interdit), le CEPD précise que l’article 9.2.i) (le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique) s’applique.
b) 2ème catégorie de traitements poursuivis dans le cadre d’essais cliniques : les traitements de données initiaux à des fins de recherche scientifique
Le traitement initial à des fins de recherche scientifique doit par contre trouver sa base de licéité dans d’autres des six hypothèses visées par l’article 6 du GDPR. Quelle est alors la base de licéité la plus appropriée à la recherche scientifique?
- Le consentement n’est pas nécessairement la base de licéité adéquate pour les traitements à des fins de recherche scientifique
C’est concernant le consentement comme base de licéité que l’avis du CEPD est le plus intéressant. Espérons qu’il mette fin à une croyance souvent exprimée dans le milieu de la recherche médicale que le GDPR imposerait nécessairement un nouveau consentement distinct de ceux qui sont déjà imposés par d’autres réglementations, telles que le CTR.
Le CEPD commence d’abord par souligner que le consentement éclairé requis par le CTR (art. 28.1.g)), ne doit pas être confondu avec le consentement en tant que base de licéité au sens du GDPR. Il s’agit de deux exigences distinctes.
Le consentement éclairé du CTR répond à des exigences éthiques, étant une mesure qui vise à protéger le droit à la dignité humaine et à l’intégrité des individus conformément aux articles 1 et 3 de la Charte des droits fondamentaux de l’UE.
Le consentement éclairé du GDPR est conçu comme une garantie particulière offerte à la personne concernée en matière de protection des données à caractère personnel : soit qu’il offre une base de licéité à un traitement de données, soit qu’il permet de passer outre une interdiction de traitement a priori (données sensibles ; certains transferts de données vers des pays tiers). On protège ici les libertés fondamentales de protection des données et de vie privée visées aux articles 7 et 8 de la Charte des droits fondamentaux de l’UE.
Le consentement au sens du GDPR est-il une base de licéité qui s’impose en matière de recherche scientifique ?
Le CEPD insiste sur le fait que le consentement défini à l’article 4 GDPR est soumis à de nombreuses conditions à remplir pour pouvoir se prévaloir d’un consentement valable (voir notre news précédente à ce sujet ici), et plus particulièrement en matière d’essais cliniques.
Le CEPD insiste sur le caractère libre du consentement requis par le GDPR. Cette condition impose un choix réel et implique un certain contrôle en faveur des personnes concernées. Le consentement ne devrait pas être utilisé en tant que base de licéité dans des contextes spécifiques où un déséquilibre manifeste existe entre la personne concernée et le responsable du traitement. Ainsi, selon le CEPD, le consentement pourrait ne pas être considéré comme étant libre lorsqu’on se trouve en présence d’une personne appartenant à un groupe socioéconomique défavorisé ou, lorsqu’une certaine dépendance hiérarchique ou institutionnelle dans laquelle se trouve la personne peut mener à un déséquilibre qui fait que les conditions d’un consentement libre ne sont pas rencontrées. On pense par exemple à des essais menés uniquement sur des personnes âgées, ou sur une personne qui n’a pas accès à des soins et pour laquelle l’essai clinique pourrait représenter le seul moyen de se soigner.
Le CEPD en déduit que le consentement n’offre pas, dans la plupart des cas, de base adéquate à la licéité du traitement de données médicales dans le cadre de la recherche scientifique. Remarquez que la CNIL avait déjà mis en avant, dans une publication du 16 juillet 2018 (disponible ici), que les bases de licéité dans ce domaine devraient être la mission d’intérêt public ou l’intérêt légitime mais pas le consentement au sens du GDPR.
Nous ne pouvons que nous rallier à cette position. En effet, l’utilisation du consentement comme base de licéité du traitement de données médicales peut, outre son caractère libre, poser problème dans le cadre des recherches scientifiques.
En effet, une autre difficulté se rencontre à l’égard de la condition de spécificité du consentement. Jusqu’où va cette notion de spécificité en matière de recherche scientifique ? La spécificité est directement liée à la transparence : la personne doit savoir précisément sur quoi porte son consentement. Peut-on annoncer une finalité générale de recherche scientifique ou faut-il être plus précis ? Une certaine souplesse est accordée en faveur de la recherche. Ainsi, le considérant 33 du GDPR précise que « Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet ». L’avis précédent du G29 sur le consentement confirme ceci.
Une autre difficulté est celle du retrait du consentement.
En matière d’essais cliniques, l’article 28.3 du CTR prévoit que le participant peut à tout moment retirer son consentement éclairé. Rappelons, comme cela a été dit plus haut, que ce consentement est lié à l’intégrité physique de la personne concernée. L’article 28.3. CTR prévoit pour le surplus que « Sans préjudice de la directive 95/46/CE, le retrait du consentement éclairé n’a pas d’incidence sur les activités déjà menées et sur l’utilisation des données obtenues sur la base du consentement éclairé avant que celui-ci ne soit retiré ».
Le GDPR prévoit quant à lui en son article 7.3 que le consentement peut être retiré à tout moment. Que faire si une personne retire son consentement pour une finalité de recherche scientifique ? Faut-il supprimer toutes les données préalablement obtenues ? Certes, l’article 7.3 précise que le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. Mais comment justifier la conservation de ces données si on ne peut plus les utiliser ?
Le CEPD répond d’une manière très sévère et, à la réflexion, d’une manière critiquable : il estime en effet que le responsable doit arrêter les activités de traitement et, s’il n’y a pas d’autre base de licéité justifiant la rétention des données, les supprimer.
Le CEPD relie logiquement le retrait du consentement à l’article 17 concernant le droit à l’effacement ou droit à l’oubli. Si les conditions d’application de cet article sont rencontrées, la personne concernée a, en principe, le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel. Une des hypothèses d’exercice de ce droit est précisément celle où « la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ». En d’autres mots, l’article 17 est le bras armé du retrait du consentement qui permet d’obtenir la garantie de la cessation de traitement par l’effacement des données en cause.
Il existe cependant des exceptions à ce droit dont le CEPD ne tient étrangement pas compte dans son avis. Ainsi, l’article 17.3.d)prévoit que le droit à l’effacement ne s’applique pas lorsque ce traitement est nécessaire « à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ».
Comment interpréter cette exception ? Si du fait du retrait du consentement, le responsable peut conserver les données mais ne peut plus les traiter pour le but de la recherche scientifique – du fait de l’absence de consentement et qu’il n’existe pas d’autre fondement – cette exception n’a tout simplement ni objet, ni sens. La seule manière de lui reconnaître un effet utile semble donc d’admettre que les organismes de recherche pourraient conserver les données pour lesquelles le consentement a été retiré et donc, finalement, continuer à les exploiter pour les besoins de la recherche initiale si toutes les conditions de cette exception sont remplies. Le retrait n’a alors plus d’effets que pour l’avenir (aucune donnée nouvelle ne sera plus traitée) mais ne porte pas préjudice aux traitements antérieurs qui peuvent d’ailleurs se poursuivre jusqu’à leur terme.
Nous ne partageons donc pas l’avis du CEPD en ce qui concerne l’obligation de suppression des données.
Cela étant dit, on se rend aisément compte qu’au vu de toutes ces difficultés, le consentement n’est pas la base de traitement la plus adaptée à la recherche scientifique, loin s’en faut. Au vu des difficultés que peut causer l’utilisation du consentement comme base de licéité, ce dernier est à éviter et il est préférable de trouver une alternative pour légitimer les traitements de données.
- Les tâches menées dans l’intérêt public?
Le CEPD précise dans son avis qu’en tant qu’alternative au consentement comme base de licéité, on peut se référer aux articles 6.1.e) ou 6.1.f) du GDPR, à savoir l’intérêt public et l’intérêt légitime du responsable du traitement.
En effet, comme déjà précisé, selon le CEPD, le traitement de données peut être considéré comme étant nécessaire à l’exécution d’une mission d’intérêt public pour ce qui concerne des essais cliniques menés par des autorités mandatées par la loi nationale.
L’on rajoutera également qu’en matière d’épidémiologie, la base de licéité concernant l’intérêt public nous semble également pouvoir être retenue.
- L’intérêt légitime du responsable ?
Le CEPD préconise également l’intérêt légitime du responsable du traitement en tant que base de licéité plutôt que le consentement de la personne concernée.
Il faut dans ce cas procéder à une mise en balance et conclure que les intérêts légitimes poursuivis par le responsable du traitement prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.
Un argument qui renforce l’intérêt légitime comme base de licéité d’une finalité de recherche scientifique est le fait que pour celle-ci, une exception explicite à l’interdiction de traitement des données sensibles est prévue à l’article 9.2.j). Cet article précise en effet que le traitement de données sensibles est permis lorsque le « traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ».
Des garanties spécifiques sont à mettre en place par le responsable qui souhaite se prévaloir de cette exception. Il faut en effet respecter l’article 89.1, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée. On voit que moyennant ces garanties supplémentaires, la finalité de recherche scientifique emporte par elle-même, levée de l’interdiction de traitement des données sensibles. Or ce qui vaut pour les données sensibles vaut a fortiori pour tout type de données.
- Le contrat ?
A aucun moment, le CEPD ne mentionne comme potentielle base de licéité le contrat. Or, ne peut-on pas considérer qu’un contrat se crée entre l’institut de recherche et le « cobaye » qui participe à l’essai clinique ? Il semble en tous cas difficile de l’exclure par principe sans justification.
L’utilisation de cette base de licéité nous parait en effet intéressante, mais il ne faut pas oublier qu’elle est limitée aux données nécessaires en vue de l’exécution du contrat et que ce lien de nécessité pourrait, dans certains cas, être difficile à établir.
- Intérêt vital de la personne concernée ?
Dans certains cas spécifiques, l’intérêt vital de la personne concernée peut être utilisé comme base de licéité. Ce sera le cas par exemple pour des recherches menées concernant des maladies orphelines. L’intérêt vital ne peut cependant pas être utilisé de manière générale dans le domaine de la recherche.
Le traitement ultérieur à des fins de recherche scientifique
La réutilisation des données à des fins de recherche est réputée compatible (art. 5.1.b GDPR).
Ainsi, l’article 89 du GDPR instaure un régime particulier pour la recherche et fixe les garanties pour les traitements ultérieurs.
La conséquence directe de cette présomption de compatibilité est qu’il n’y a pas de nécessité d’avoir une base de licéité distincte de la base de licéité initiale. Ceci est confirmé par le considérant 50 du GDPR qui précise que « Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise ».
Le CEPD le confirme également dans son avis, mais précise que dû à la nature horizontale et complexe de ces conditions, le CEPD portera son attention sur cette thématique pour ses prochaines recommandations. En attendant, il précise que cette présomption de compatibilité ne doit pas être exclue. Il rappelle également que d’autres obligations en matière de protection des données doivent être respectées (loyauté, légalité, nécessité, etc.).
Conclusion
Le moins que l’on puisse dire, c’est que cet avis tombe à pic, à un moment où le monde de la recherche scientifique – et de la recherche médicale en particulier – semble rencontrer bien des difficultés à comprendre les effets réels de l’application du GDPR en la matière.
C’est que les multiples couches de réglementations applicables à la relation entre praticiens de l’art de guérir ou chercheurs et la personne concernée (le cas échéant malade), sont de nature à alimenter les confusions. Tel est par exemple le cas de la réglementation relative aux essais cliniques faisant l’objet de l’avis du CEPD.
L’apport essentiel de ce qui semble bien n’être qu’un premier avis en la matière clarifie la question de la base de licéité des traitements à des fins de recherches scientifiques et, espérons-le, met fin à l’idée saugrenue mais tenace dans ce secteur que le GDPR imposerait nécessairement un « nouveau » consentement – à côté du consentement propre à la recherche clinique ou à la relation thérapeutique – pour permettre le traitement de données à caractère personnel, fussent-elles des données de santé.
On attend avec impatience les prochains avis en la matière.
Plus d’infos
En lisant notre dossier complet sur le RGPD et la recherche scientifique.