Données personnelles & recherche clinique

L'essentiel de la recherche clinique se base sur le traitement de "données personnelles de santé" définies comme toute information sur la situation clinique antérieure, actuelle ou future d'une personne identifiée (données nominatives) ou identifiable (données codées ou pseudonymisées).

Tout traitement de données personnelles est soumis à l'obtention du consentement (explicite ou implicite) de la personne dont on traite les données.
Les données collectées sont le plus souvent rassemblées dans une base de données, sur support informatique, éventuellement partagées entre différents intervenants dans le projet de recherche clinique. 

Les garanties de protection des données personnelles de santé utilisées et/ou transmises dans le cadre d'une recherche clinique relèvent de la responsabilité de l'Investigateur et de son équipe d'une part, du promoteur d'autre part.

Ces garanties doivent satisfaire aux exigences de la loi belge du 31/07/2018 qui protègent la vie privée et définissent notamment l'information qui doit être fournie aux participants dont on se propose de traiter des données personnelles et de la loi du 22 août 2002 définissant les droits des patients.
A relire: "Récolte et exploitation de données médicales" avis de l'Ordre des Médecins du 16/07/2005.

La protection des données peut signifier "anonymisation" ou "codage / pseudonymisation" des données. La distinction est fondamentale dans la mesure ou des données anonymes ne relèvent pas de la loi vie privée.

Un enregistrement  "anonyme" signifierait l'absence de lien entre les données/échantillons et l'identité du participant alors qu'un enregistrement "codé / pseudonymisé" maintient le lien entre les données et le dossier/l'identité du participant.

Cette garantie de confidentialité comprend un ensemble de mesures comme:

  1. Le codage / la pseudonymisation des données récoltées et l'absence, dans ces dernières, de données qui par association pourraient permettre l'identification du participant.
  2. La protection par mot de passe des bases de données constituées:
  1. Base de données identifiantes: code d'identification / pseudonyme dans l'étude + données directement ou indirectement identifiantes.
  2. Base de données étude: code d'identification / pseudonyme dans l'étude + données collectées pour l'étude.
  3. Ces 2 bases de données devraient être conservées et gérées séparément.
  1. L'examen du dossier médical des participants par des tiers (auditeurs du promoteur / auditeurs des autorités [AFMPS ou autres]) sous la responsabilité du médecin investigateur.
  2. L'obligation de secret professionnel des personnes ayant accès aux données du participant.
  3. La méthodologie de transfert éventuel, vers un tiers, des données codées / pseudonymisées.

Codage ou pseudonymisation des données

  1. Le principe du codage des données implique que chaque participant à une recherche clinique se voit attribuer un code / un pseudonyme (association de lettres et/ou chiffres) qui remplacera toute donnée directement (nom, prénom) ou indirectement (numéro de téléphone, GSM ou autre) identifiante sur les documents de collecte  de données (cahier d'observation ou case report form) ou sur les échantillons biologiques destinés à sortir de l'institution.
    Ce codage doit être appliqué avant toute transmission à un tiers (le gestionnaire de la base de données collectées s'il n'est pas l'investigateur, le promoteur de la recherche, etc.).
  2. En pratique, l'investigateur principal ou un membre de son équipe (à définir lors de la soumission dans le formulaire de demande d'avis au Comité d'Ethique [point 32]) est responsable du traitement des données personnelles des participants.
    Cette responsabilité comprend:
  1. La création, la gestion et  la protection d'une base de données qui comprend le code d'indentification dans l'étude de chaque participant et des données identifiantes (nom, prénom, numéro de dossier hospitalier, données de contact).
    Cette base de données ne devrait jamais quitter l'institution.
  • Les modalités de construction du code d'identification dans l'étude / le registre doivent être définies lors de la soumission au CE (séquence des éléments constitutifs - exemple: association dernières lettres nom-prénom+identification site+numéro d'ordre de recrutement au format 001, etc.).
    Il faut veiller à ce que le code d'identification dans l'étude réponde à certains critères de qualité et qu'ils ne soient pas déchiffrables sans difficultés particulières: un numéro de code, composé des initiales, d'une identification du sexe (M/F ou 1/2) et de la date de naissance de la personne concernée, par exemple, ne répond pas à ces exigences.
  • La base de données "code /identité du participant" sera conservée en lieu sûr (armoire fermée/protection par mot de passe si base de données électronique) et détruite après clôture, validation et publication des résultats de l'étude sauf si stipulé autrement dans le contrat conclu avec le promoteur (délai de conservation légale défini pour les essais cliniques). La destruction de cette base de données a pour principale conséquence l'anonymisation des données initialement codées.
  1. Si l'étude est locale:
  • La crétation d'une 2d base de données, soit la base des données collectées pour l'étude, son traitement et sa protection contre toute utilisation abusive en conformité avec les impératifs de la loi belge relative à la protection de la vie privée (2018), de leur transfert éventuel vers des tiers.
  • Les mesures de protection doivent être adaptées aux moyens techniques actuels.  Un mot de passe complexe sera privilégié (8 caractères au moins comprenant lettres majuscules et minuscules, chiffres et caractères spéciaux).
  • La base des données "brutes" de l'étude peut être conservée indéfiniment et devrait être conservée suffisamment longtemps pour éventuelle analyse secondaire par des tiers en cas de contestation de l'interprétation des résultats. Les données initialement "codées" deviennent "anonymes" au moment de la destruction de la base de données "codes/identités des participants".
  1. Si l'étude est multicentrique et le gestionnaire de la base de données étude est externe à l'institution:
  • Le transfert des données recueillies vers ce gestionnaire en prenant tous les moyens techniques nécessaires à leur transfert en toute sécurité (si voie électronique: cryptage!).

Le médecin investigateur de l'institution ou le membre de son équipe désigné sera donc le seul détenteur du lien entre le dossier médical du patient et son  numéro d'identification jusqu'au terme de l'étude.

Choix des données collectées pour la recherche

  1. Le choix des données collectées doit être proportionnel aux finalités de la recherche: elles doivent être adéquates pour pouvoir confronter les hypothèses et il ne peut pas y avoir de collecte au hasard, de toutes sortes de données non pertinentes.
  2. Le codage des données n'est pas considéré comme une protection suffisante. L'organisateur de la recherche (le promoteur) doit de plus prévoir que les données personnelles recueillies ne contiennent pas:
  1. Des données indirectement identifiantes comme numéro de téléphone, fax, email,  numéro de sécurité sociale, numéro de dossier médical, numéro de compte bancaire, identifiant biométrique comme empreinte digitale où vocale, photographie du visage, etc.
  2. D'association d'éléments susceptibles de permettre de retrouver (ré-identifier) le participant comme les initiales des nom et prénom, tous les éléments d'une date sauf l'année pour les dates en relation avec la personne comme date de naissance, date d'admission, date de sortie, date de décès, l'âge du participant s'il est supérieur à 89 ans ou l'année de naissance si elle indique un âge de 89 ans ou plus, le sexe, toute entité géographique (rue, code postal, ville) si l'entité géographique comprend moins de 20.000 habitants.

On ne peut donc prétendre garantir la confidentialité du participant à une recherche clinique si les données collectées et transmises à des tiers contiennent l'association "initiales, sexe et date de naissance complète (jj/mm/aaaa)" trop souvent retrouvée dans les CRF (Case Report Form) ou cahiers d'observation

En pratique

Collecte des initiales:

  1. Les initiales et certainement les 2 premières lettres du nom plus l'initiale du prénom n'ont bien évidemment aucun intérêt scientifique et ne se justifient que par la facilité d'identification du participant par l'investigateur ou le "data manager".
  2. Idéalement, aucun CRF ne devrait contenir les initiales d'un participant et certainement pas si la date de naissance complète figure parmi les données recueillies dans le CRF.  Malheureusement, nombre de CRF prévoient la collecte de cette données voir l'exigent (CRF électronique) pour la poursuite de l'encodage.  Dans ce cas, notre comité impose que les cases du CRF prévues pour recevoir les initiales soient remplacées par des lettres aléatoires, les dernières lettres du nom et prénom, etc. en fonction d'une convention à établir avec le promoteur.

Date de naissance:

  1. La date de naissance complète (jour/mois/année) n'a aucune valeur scientifique si ce n'est de définir l'âge du participant et peut donc être remplacée par l'âge à l'inclusion (étude à court terme), l'année de naissance voire, si cela se justifie, le mois et l'année de naissance (étude à long terme).
  2. Certains préconisent l'utilisation de la date de naissance complète parmi les données à caractère personnel comme élément de contrôle destiné à éviter les doublons (enregistrements multiples notamment des SUSARS).
    L'absence de consensus concernant la présence d'une date de naissance complète (JJ/MM/AAAA) dans les cahiers d'observations (CRFs) explique que la plupart des cahiers d'observation contiennent 8 places dans le champ date.  Rien n'empêche, pour ne pas modifier les cahiers d'observation, de convenir avec le sponsor de fournir une date de naissance tronquée  (00/00/AAAA) et, si la procédure informatique rejette les "00" dans les champs jour et mois, d'y attribuer une valeur fictive (01/01/AAAA).

La convention établie avec le promoteur doit donc préciser:

  1. La méthodologie de création du code d'identification.
  2. L'attitude adoptée concernant les initiales et la date de naissance du participant.

Cette convention doit être précisée dans le formulaire de demande d'avis au Comité d'Ethique  à la rubrique "Procédures mises en place pour protéger la confidentialité des participants"..

Conclusion

Nous souhaitons obtenir une information précise sur les procédures mises en place par le promoteur de l'étude pour assurer la protection des données du participant et la liste des catégories de données à caractère personnel qui seront recueillies dans les cahiers d'observation ou Case Report Form (CRFs).