Gérer les données cliniques numériques : directive de l’EMA

Par Guillaume Promé
le 2 Juil. 2021 Évaluation Clinique, Logiciel, Veille gratuite

l’EMA propose un draft de sa directive sur les systèmes informatisés et les données électroniques pour les essais cliniques. Les problématiques du secteur du dispositif médical étant les mêmes ces principes sont largement réutilisables.

Le champ est vaste : capture automatique des données patient, manipulation des données, consentement électronique, gestion de la randomisation des essais, portail d’information sur les essais…

Mais rien de vraiment nouveau, en effet tout repose sur :

  • une spécification des exigences sur les outils numériques nécessaires aux activités cliniques
  • la gestion des risques de cybersécurité,
  • la validation des logiciels avec une approche par les risques
  • la gestion des sous-traitants critiques
  • la surveillance et l’amélioration tout au long du cycle de vie

Les principes ALCOA(++)

Signé Jean-Michel Acronyme :

  • ALCOA : Attributable Legible Contemporaneous Original Accurate
  • (++) : Complete Consistent Enduring Available when needed Traceable

Soit ALCOACCEAT en version non-censurée.

Ces principes encadrent le traitement des données.

Gestion des risques

Les risques liés aux données sont identifiés, estimés, évalués, maitrisés et suivis.

L’analyse tient compte de tout le cycle de vie des données cliniques, que ces activités soient sous-traitées ou non :

  1. Génération
  2. Enregistrement
  3. Traitement
  4. Utilisation
  5. Conservation
  6. Récupération
  7. Destruction

Validation des outils informatiques

Pas de nouveauté, l’approche est la même que pour valider les logiciels du SMQ :

  1. Définir les exigences logicielles et le contexte d’utilisation
  2. Vérifier la bonne implémentation
  3. Valider le logiciel en déroulant des scénarios

Contractualisation

Vous n’êtes vraisemblablement pas un GAFA, vous aurez donc recours à un fournisseur de service, souvent pour le stockage des données.

Ce fournisseur devient un sous-traitant critique, des obligations en matière de gestion des risques et des exigences de performance et sécurité sont à contractualiser, notamment :

  • Droits des utilisateurs : lecture, commentaires, modification des données… selon la règle des moindres privilèges
  • Gestion des durées d’accès (ex : le promoteur a accès aux données uniquement durant la phase d’évaluation clinique)
  • Disponibilité des données : taux de disponibilité, temps d’accès, temps d’indisponibilité max…
  • Condition de stockage (format, accès, sauvegardes, redondances…)
  • Mesures de cybersécurité pertinentes, selon un référentiel ou particulières, concernent le hard comme le soft
  • Gestion de l’anonymisation des données
  • Gestion des données personnelles de santé
  • Durée de conservation, destruction des données
  • Enregistrement des problèmes (journal d’événements)
  • Fourniture des preuves du respect du contrat (certification, assurance qualité, rapport de validation…)
  • Participation à la vigilance (remonter les problèmes, notamment si violation des données)
  • Cas des audits du sous-traitant (par vous ou un tiers)
  • Délais associés aux différentes actions

Source : EMA