Toute HealthTech entrant en phase de développement clinique se trouve confrontée à la nécessité d’assurer la supervision de la conformité réglementaire de ses activités de recherche clinique, dans un contexte de forte externalisation et de délégation d’une partie de ses responsabilités, alors même qu’elle reste redevable de ses responsabilités de promoteur vis-à-vis du régulateur et des autorités.
Le cadre de conformité impliqué comprend les GxP, ainsi que, cela en découle, la protection de données personnelles sensibles, et la sécurité de l’information.
Garder la maîtrise de la qualité, de la sécurité (des participants aux recherches ainsi que des données et informations confidentielles), et des risques, est un enjeu important pour une équipe de management en raison de la complexité des processus impliqués et du nombre d’acteurs important.
Pour une Biotech ou une Medtech en mode startup, l’organisation doit progressivement se structurer, et mettre en place un système pour sa gestion. Ce système doit être conçu pour accompagner efficacement la montée en maturité des processus de conduite et de supervision des recherches et des études, et ainsi garantir le bon niveau de contrôle, de rigueur et de formalisme. S’il est en place suffisamment en amont de la préparation de la première étude clinique, il supportera la mise en œuvre d’une approche de « Quality by Design », propice à la sécurisation de la qualité et à l’efficience opérationnelle.
Il en est de même pour la gestion en amont de la protection des données personnelles (Privacy by Design) ainsi que pour la gestion en amont de la sécurité de l’information (Security by Design). Mais ces domaines ne se superposent pas complètement à celui de la qualité :
- Leur périmètre est potentiellement différent, en effet d’autres données personnelles et d’autres informations que celles traitées dans les études cliniques peuvent être concernées et représenter un enjeu critique, notamment en cas de due diligence ou d’audit.
- Si la gestion doit en être, dans tous les cas, pilotée par les risques, la nature de ces risques (menaces, impacts et cibles) peut être, elle, différente.
- Chaque domaine a un référentiel de lois, réglementations et normes applicables qui lui est spécifique.
Dans notre pratique de DPO des études cliniques, nous encourageons une réflexion pluridisciplinaire et pragmatique avec nos pairs, responsables de la qualité et de la sécurité de l’information, afin de tenir compte des interactions entre les trois domaines (GxP, protection des données et sécurité de l’information) lors de la conception du système de management.
