Ce que change l’EU Biotech Act pour les essais cliniques et la recherche clinique
L’EU Biotech Act reconfigure en profondeur le cadre des essais cliniques en Europe et devient un pivot stratégique pour toute recherche clinique en biotechnologies. En réduisant les délais d’autorisation des essais multinationaux de 106 à 75 jours, et de 75 à 47 jours en l’absence de demandes d’informations complémentaires, le projet de Biotech Act promet un gain direct sur le time to market des nouveaux médicaments, conformément aux objectifs exposés dans la proposition de règlement de la Commission européenne de 2024 (COM(2024) XXX, chapitre consacré aux essais cliniques). Pour les sponsors, cette accélération des essais cliniques impose cependant une révision profonde des processus internes de traitement des données, de conformité RGPD et de gouvernance des données de santé.
Le projet de loi modifie le règlement européen sur les essais cliniques (CTR n° 536/2014), mais aussi les textes encadrant les médicaments de thérapie innovante, les produits SoHO et certains médicaments vétérinaires, ce qui élargit son impact à l’ensemble des biotechnologies humaines et animales. Ce nouveau cadre réglementaire européen des biotechnologies vise une simplification de la vie des promoteurs, tout en maintenant un niveau élevé de protection des données personnelles et de protection des données de santé sensibles. Pour les directions Affaires réglementaires, l’enjeu sera de traduire ce règlement européen et chaque proposition d’act en procédures opérationnelles standard, sans créer de rupture avec les exigences nationales de la CNIL, du Conseil d’État ou des autorités compétentes en matière de données de santé.
Dans la pratique, l’EU Biotech Act devrait permettre de mieux harmoniser la recherche clinique entre États membres, en réduisant les divergences d’interprétation du règlement européen sur la protection des données, notamment les articles 6 et 9 du RGPD. Les sponsors d’essais cliniques attendent une base juridique unique pour le traitement des données personnelles, afin de sécuriser le traitement des données de santé dans les bases de données numériques partagées et les plateformes d’essais cliniques européens. Cette évolution du cadre européen de protection des données pourrait aussi faciliter les projets de technologies numériques avancées, comme l’analyse d’images, l’IA appliquée aux biomarqueurs ou la médecine nucléaire de précision, déjà au cœur de certaines innovations décrites dans cet article sur une nouvelle voie pour les tumeurs résistantes.
Garde-fous du CEPD et rôle de la CNIL sur les données de santé
Le Comité européen de la protection des données, ou CEPD, soutient l’objectif d’accélération des essais cliniques porté par le Biotech Act, mais il encadre strictement l’usage des données de santé. Dans son avis conjoint 3/2024 avec le Contrôleur européen de la protection des données (EDPB-EDPS Joint Opinion 3/2024 sur la proposition de règlement relatif à l’EU Biotech Act), le CEPD insiste sur la nécessité d’un traitement des données proportionné, avec une base juridique claire pour chaque traitement de données personnelles. Ce même avis conjoint rappelle que la protection des données ne doit pas être affaiblie par la simplification de la vie administrative promise par la loi de simplification et par les futurs actes délégués.
Pour les sponsors et les CRO, l’EU Biotech Act essais cliniques données santé signifie que chaque projet de recherche devra intégrer dès la conception des mesures de pseudonymisation et d’anonymisation robustes. Concrètement, cela implique par exemple la séparation stricte des tables d’identifiants et des données cliniques, l’utilisation de codes aléatoires non signifiants, la gestion des clés de réidentification par un tiers de confiance, ou encore l’agrégation statistique lorsque les données sont réutilisées pour plusieurs recherches cliniques ou pour des études observationnelles secondaires. Les autorités comme la CNIL en France et le Contrôleur européen de la protection des données exigeront des garanties documentées sur la pseudonymisation anonymisation, en particulier lorsque les données de santé sont réutilisées pour plusieurs recherches cliniques ou pour des études observationnelles secondaires. Les recommandations du CEPD et du CEPDS imposent aussi une gouvernance claire des données personnelles, avec des registres de traitement des données, des analyses d’impact systématiques pour les technologies numériques à haut risque et une documentation précise des flux de données de santé transfrontaliers.
Les autorités nationales, dont la CNIL et le Conseil d’État, devront articuler ce nouveau cadre avec le règlement européen sur la protection des données et les lois nationales relatives aux données de santé, comme le Code de la santé publique et la loi Informatique et Libertés. Les sponsors devront suivre de près chaque projet de loi d’adaptation, les débats à l’Assemblée nationale et les positions de la Commission européenne pour anticiper les futures obligations de conformité RGPD/CTR. Dans ce contexte, les responsables Qualité et Compliance gagneront à s’appuyer sur des partenaires spécialisés dans la sécurisation des thérapies innovantes, comme ceux présentés dans cette analyse sur la sécurisation des études cliniques en biotechnologies.
Base juridique unique, bacs à sable réglementaires et calendrier pour les biotechs françaises
Le cœur du débat autour de l’EU Biotech Act essais cliniques données santé porte sur la base juridique unique pour le traitement des données personnelles par les sponsors. Le CEPD et le Contrôleur européen de la protection des données soutiennent cette harmonisation, mais rappellent que le règlement européen sur la protection des données reste pleinement applicable à chaque traitement de données de santé, y compris pour les essais cliniques européens menés dans plusieurs États membres. Les biotechs devront donc articuler cette base juridique unique avec les principes de minimisation des données, de protection des données dès la conception et de transparence envers les patients, en mettant à jour les notices d’information et les formulaires de consentement. Ces modèles de consentement révisés devront préciser la base légale retenue, les durées de conservation, les éventuels transferts hors UE et les droits des participants, tout en restant compréhensibles pour des non-spécialistes.
Pour les acteurs français, le calendrier législatif implique une phase de transition où coexisteront le projet de Biotech Act, les textes nationaux et les futures lois de simplification. Les discussions à l’Assemblée nationale, les avis du Conseil d’État et les propositions de la Commission européenne façonneront un environnement où les bacs à sable réglementaires pourraient jouer un rôle clé pour tester de nouvelles technologies numériques en biotechnologies. Ces bacs sable réglementaires offriraient un cadre contrôlé pour expérimenter des traitements innovants, des médicaments personnalisés ou des solutions de traitement des données de santé, tout en restant sous le contrôle du régulateur européen des biotechnologies et des autorités nationales de protection des données.
Dans cette phase, les responsables Affaires réglementaires devront suivre de près chaque recommandation, chaque proposition d’act et chaque projet de loi pour ajuster leurs plans de développement clinique. Une stratégie robuste combinera une cartographie fine des flux de données, une politique de protection des données alignée sur le règlement européen et une anticipation des inspections centrées sur le numérique. Les équipes Qualité devront aussi intégrer les impacts concrets sur les infrastructures, depuis les systèmes d’information jusqu’aux équipements de laboratoire, comme l’illustre l’importance des dispositifs de confinement décrits dans cette ressource sur les hottes chimiques dans l’industrie biotech.