Partager la page

Etes-vous en conformité avec vos obligations MR-003 ?

Etes-vous en conformité avec vos obligations MR-003 ?

Les études cliniques observationnelles sont régies par la loi Informatique et liberté et doivent faire l’objet de demandes d’autorisation auprès

de la CNIL (Commission Nationale de l'Informatique et des Libertés).

En juillet 2016 une méthodologie de référence (MR003) a été publiée pour simplifier la mise en œuvre de ces études. Une déclaration unique de conformité est à réaliser par le promoteur (c'est-à-dire l'industriel) et couvre l’ensemble de ses études. Cette déclaration de conformité permet de gagner un temps précieux dans le démarrage d’une étude.

Pour autant, le promoteur doit s’assurer qu’il a bien pris en compte toutes les obligations qu’elle comporte.

La méthodologie de référence impose des obligations sur chacune des études entrant dans son cadre. Il appartient donc au promoteur d’en vérifier les conditions d’application systématiquement et de le documenter.

 

Ces contrôles réalisés au cas par cas devront porter sur :
Les types d’études exclus de la méthodologie (études de vigilance, croisements avec des bases médico-économiques...)

 

Le mode d’identification des patients

  • Aucune donnée directement nominative n’est collectée ;
  • L’identification est au plus limitée aux deux premières lettres du nom et à la première lettre du prénom ;
  • Le jour de naissance n’est pas collecté sauf justification pédiatrique ;
  • Les photos ou vidéos ne contiennent aucun élément identifiant (visages, marques...) ;
  • Le risque de ré-identification des patients est évalué.

 

Les données collectées

  • Toutes les données patient collectées sont justifiées scientifiquement dans le protocole ;
  • Les données concernant les investigateurs appartiennent à la liste autorisée.

 

L’information des personnes

  • Une note d’information au contenu réglementé doit être remise systématiquement et de manière préalable à tous les patients susceptibles de participer à l’étude ;
  • Une démarche de transmission des informations légales est également effectuée auprès de tous les professionnels participant à l’étude;
  • Les modalités du droit d’accès et de rectification sont clairement établies.

 

Sécurité et confidentialité : quelles démarches prévoir ?

 

De manière générale, le promoteur aura défini dans son système qualité une politique de sécurité et de confidentialité apportant les garanties applicables à toutes ses études.

 

Cette politique couvre les domaines suivants :

  • la réalisation d’une analyse des risques associés aux données manipulées. Cette analyse distingue les impératifs de confidentialité (diffusion non autorisée des données), intégrité (modification ou corruption) et de pérennité (risque de disparition totale ou partielle). Elle évalue pour chaque scénario les impacts sur les personnes, l’origine, la gravité et la vraisemblance des menaces.
  • la description des mesures de sécurisation physique, de sauvegarde, d’authentification et gestion des profils, de chiffrement, de traçabilité des accès, de sécurisation des réseaux et des mesures de sécurisation des transmissions de données.
  • la gestion des accès aux données. La politique définit clairement les habilitations d’accès aux données et les modalités d’intervention pour les différents services du promoteur, ses sous-traitants, et les professionnels de santé participant à l’étude.
  • les contraintes de conservation. La politique prévoit l’archivage et la suspension des accès pour les données de l’étude à la fin de celle-ci.
  • le contrôle des sous-traitants. Un audit spécifique est diligenté pour valider chaque prestataire manipulant les données, sur les plans qualité et sécurité, la validation de ses systèmes informatiques et ses procédures de sauvegarde.

 

La déclaration de conformité à la méthodologie de référence engage l’entreprise et entraîne des obligations légales. Il convient de mettre en œuvre ces deux démarches fondamentales : création d’une procédure de vérification systématique des conditions d’application de la méthodologie pour chaque étude, et établissement d’une politique de sécurité rigoureuse adaptée aux données cliniques.

 

 

Fabien Leclercq,
PDG de Evamed

Article publié dans le numéro de Juillet/Août 2017 de DeviceMed