Ce dont les organisations de santé ont besoin pour garantir la souveraineté des données de recherche clinique

La recherche clinique génère certaines des données les plus sensibles et les plus réglementées du secteur de la santé. Les dossiers médicaux des patients, les séquences génomiques, les protocoles d’essais et les données sur les médicaments expérimentaux circulent entre les systèmes hospitaliers, les organisations de recherche sous contrat, les organismes réglementaires, les laboratoires pharmaceutiques sponsors et les institutions académiques. Chaque transfert accroît le risque d’accès non autorisé, de non-conformité réglementaire et de perte de contrôle sur la localisation et la gouvernance des données.

La souveraineté des données en recherche clinique consiste à garder la maîtrise totale des données sensibles tout au long de leur cycle de vie, avec une visibilité claire sur leur lieu de stockage, les personnes qui y accèdent, le cadre juridique dans lequel elles sont traitées et la façon dont elles sont protégées lors des transferts. Pour les établissements de santé qui mènent ou participent à des essais cliniques, instaurer la souveraineté des données n’est pas qu’une obligation de conformité. C’est une condition fondamentale pour garantir la confidentialité des patients, préserver l’intégrité des recherches et se prémunir contre les contrôles réglementaires dans plusieurs juridictions.

Cet article détaille les exigences techniques, de gouvernance et opérationnelles auxquelles les établissements de santé doivent répondre pour atteindre la souveraineté des données de recherche clinique. Nous verrons pourquoi les outils classiques de partage de fichiers ne répondent pas à ces exigences et quels résultats opérationnels attendre lorsqu’une organisation impose la souveraineté sur ses données sensibles de recherche.

Résumé exécutif

La souveraineté des données en recherche clinique impose aux établissements de santé de garder un contrôle vérifiable sur les données sensibles des patients et des essais, à chaque étape de leur circulation entre équipes internes, partenaires externes, autorités réglementaires et prestataires tiers. Ce contrôle doit couvrir la localisation du stockage, la gestion des accès, l’application du chiffrement et la génération de journaux d’audit infalsifiables, quel que soit le lieu des parties prenantes ou le cadre réglementaire applicable.

La plupart des établissements de santé utilisent des solutions cloud généralistes, des e-mails et des outils de transfert de fichiers qui n’ont pas été conçus pour les flux de la recherche clinique. Ces outils ne permettent pas de contrôler finement la localisation des données, n’imposent pas de politiques de chiffrement cohérentes sur tous les canaux de communication et ne génèrent pas les preuves d’audit infalsifiables attendues par les régulateurs lors des inspections. Atteindre la souveraineté des données implique de remplacer ces transferts fragmentés et non maîtrisés par une architecture unifiée qui applique les principes de sécurité zéro trust, respecte les frontières de traitement propres à chaque juridiction et s’intègre directement aux systèmes SIEM existants.

Résumé des points clés

1. La souveraineté des données, un enjeu crucial. La souveraineté des données de recherche clinique est essentielle pour permettre aux établissements de santé de garder la maîtrise des données sensibles des patients et des essais, garantissant la confidentialité, l’intégrité des recherches et la conformité réglementaire dans plusieurs juridictions.
2. Limites des outils traditionnels. Les solutions cloud généralistes et les outils de partage de fichiers n’offrent pas les contrôles nécessaires sur la localisation, le chiffrement et la traçabilité, ce qui les rend inadaptés aux exigences de souveraineté des données en recherche clinique.
3. Exigences techniques pour le contrôle. Atteindre la souveraineté des données demande des fonctions techniques robustes telles que le chiffrement de bout en bout, des contrôles d’accès granulaires selon la classification des données et des journaux d’audit infalsifiables pour répondre aux attentes réglementaires.
4. Stratégies opérationnelles de mise en œuvre. Les établissements de santé doivent intégrer les exigences de souveraineté dans les accords de collaboration, mettre en place une surveillance automatisée de la conformité et intégrer la gestion des incidents pour garantir une protection constante des données.

Pourquoi la souveraineté des données de recherche clinique diffère de la gouvernance générale des données de santé

Les établissements de santé pensent souvent que leurs cadres de gouvernance des données couvrent automatiquement la recherche clinique. Ce n’est pas le cas. Les essais cliniques impliquent des types de données spécifiques, des obligations réglementaires particulières et des exigences de collaboration multipartite que la gouvernance classique n’a pas vocation à traiter.

Les données de recherche incluent les résultats rapportés par les patients, les examens d’imagerie liés aux participants, les notes d’investigateurs contenant des informations médicales identifiables et les rapports de sécurité intermédiaires susceptibles d’influencer la poursuite de l’essai. Ces données circulent entre les départements de recherche hospitaliers, les comités d’éthique, les comités de surveillance de la sécurité, les sponsors, les laboratoires centraux et les agences réglementaires nationales, chacune opérant sous des cadres juridiques et des exigences de protection des données différents.

La gouvernance classique des données de santé se concentre principalement sur les opérations cliniques internes à une organisation ou un système de santé, en traitant l’accès aux dossiers médicaux électroniques, la sécurité des systèmes de facturation et les flux de documentation clinique. La gouvernance de la recherche clinique doit dépasser les frontières organisationnelles pour garantir une protection constante des données auprès de chaque partenaire externe, tout en conservant la preuve claire de la localisation des données, des accès et de l’autorité sous laquelle ils sont réalisés.

Perdre la souveraineté sur les données de recherche clinique a des conséquences distinctes et graves. Les régulateurs peuvent suspendre les essais, rejeter des dossiers réglementaires pour défaut d’intégrité des données ou imposer des plans correctifs retardant l’approbation des produits. Les sponsors pharmaceutiques peuvent rompre les accords avec les établissements incapables de prouver une protection adéquate des données.

Attentes réglementaires concernant les frontières de traitement des données

Les régulateurs examinent de plus en plus attentivement l’endroit où les données d’essais cliniques sont traitées et stockées, en particulier lorsque la recherche implique des participants de plusieurs juridictions. Les autorités de protection des données attendent des établissements de santé qu’ils documentent la base légale des transferts de données à l’international, mettent en place des contrôles techniques empêchant tout changement non autorisé de localisation et fournissent la preuve que les sous-traitants respectent les normes de sécurité propres à chaque juridiction.

Les établissements de santé menant des essais internationaux doivent souvent traiter les données des participants européens exclusivement dans des centres de données européens, conformément au RGPD, maintenir des environnements de traitement distincts selon les zones réglementaires et générer des preuves d’audit démontrant qu’aucun transfert non autorisé n’a eu lieu. Les plateformes cloud collaboratives classiques, qui stockent les données sur des infrastructures mondiales, ne permettent pas ce niveau de contrôle.

Mettre en place des frontières de traitement exige des contrôles techniques imposant les politiques de localisation au niveau de l’infrastructure, empêchant la réplication automatique vers des régions non autorisées et générant une vérification continue du maintien des données dans les juridictions désignées. Ces contrôles doivent fonctionner indépendamment du comportement des utilisateurs ou des erreurs de configuration.

Exigences techniques de la souveraineté des données au niveau de l’architecture

Atteindre la souveraineté des données de recherche clinique impose des fonctions techniques précises, intégrées à l’infrastructure qui stocke, transmet et traite les données sensibles. Les établissements de santé doivent évaluer leur architecture actuelle à l’aune de ces fonctions et identifier les failles qui créent des risques pour la souveraineté.

La souveraineté des données repose sur la maîtrise cryptographique des données au repos et en transit, l’application d’autorisations d’accès granulaires qui perdurent au-delà du premier transfert, la génération d’enregistrements immuables de chaque interaction et l’intégration des mouvements de données dans les flux de surveillance centralisée de la sécurité.

Contrôles cryptographiques qui suivent les mouvements de données

Le chiffrement des données en transit via TLS 1.3 protège contre les interceptions réseau mais n’empêche pas l’accès non autorisé une fois les données arrivées sur le système du destinataire. Les données de recherche clinique transitent souvent par plusieurs systèmes intermédiaires avant d’atteindre leur destination finale. Un formulaire de rapport de cas peut passer d’un serveur hospitalier à une plateforme de collaboration du sponsor, puis à un système de gestion d’une CRO, puis à un portail de soumission réglementaire.

À chaque étape, les approches classiques déchiffrent les données, les traitent, puis les rechiffrent pour le transfert suivant. Pendant le traitement, les données existent en clair en mémoire, dans des fichiers temporaires et dans les journaux applicatifs. Les administrateurs disposant d’un accès système peuvent consulter des données sensibles sans générer d’événement d’audit.

La souveraineté impose un chiffrement de bout en bout qui protège cryptographiquement les données tout au long de leur cycle de vie, même lors des traitements intermédiaires. Cela signifie chiffrer les données avec des clés contrôlées exclusivement par l’établissement de santé, et non par des prestataires tiers. Cela implique aussi de mettre en œuvre des contrôles d’accès cryptographiques exigeant une authentification et une autorisation avant tout déchiffrement, quel que soit le lieu de stockage des données.

Contrôles d’accès granulaires selon la classification des données

Les données d’essais cliniques comprennent des formulaires de consentement très sensibles et strictement réglementés, mais aussi des résumés de protocoles publics destinés aux registres d’essais. Appliquer les mêmes contrôles d’accès à tous les fichiers d’un essai revient soit à restreindre inutilement l’accès à des informations non sensibles, soit à sous-protéger des données hautement sensibles.

La souveraineté des données impose une classification selon la sensibilité, les exigences réglementaires et l’usage prévu, puis l’application automatique de contrôles d’accès adaptés à chaque catégorie. Lorsqu’un investigateur téléverse un nouveau formulaire de rapport de cas, le système doit l’identifier comme contenant des données patients, appliquer le chiffrement et les restrictions d’accès appropriés, limiter le partage aux collaborateurs autorisés et générer des entrées d’audit détaillées.

Les établissements de santé tentent souvent de classifier manuellement les données en créant des arborescences de dossiers et en formant les utilisateurs à téléverser les fichiers au bon endroit. Cette approche échoue systématiquement car elle repose sur le comportement des utilisateurs sous pression et n’impose pas de contrôles techniques fondés sur le contenu réel des fichiers.

Une classification efficace exige une inspection automatisée du contenu, capable d’identifier les types de données sensibles dans les fichiers, d’appliquer les politiques de sécurité sans intervention humaine et d’empêcher toute violation avant qu’elle ne survienne.

Journaux d’audit infalsifiables pour répondre aux inspections réglementaires

Lors des inspections, les régulateurs attendent des enregistrements détaillés indiquant qui a accédé aux données d’essai, à quel moment, quelles actions ont été réalisées et depuis quel emplacement. Les journaux applicatifs standards ne suffisent pas, car ils sont stockés dans des bases de données modifiables, peuvent être altérés par les administrateurs et ne garantissent pas l’intégrité cryptographique. Les lignes directrices ICH E6 Bonnes Pratiques Cliniques (BPC) renforcent ces attentes en exigeant que toutes les activités de gestion des données soient documentées de façon à permettre la reconstitution complète des événements de l’essai.

La souveraineté des données impose la génération de journaux d’audit infalsifiables, enregistrant chaque interaction avec les données sensibles dans un format vérifiable cryptographiquement, empêchant toute modification a posteriori. Chaque entrée d’audit doit inclure l’identité de l’utilisateur, la méthode d’authentification, l’identifiant du fichier, l’action réalisée, l’horodatage, l’adresse IP source et le résultat.

Les établissements de santé ont besoin de journaux d’audit adaptés aux inspections réglementaires, sans analyse manuelle fastidieuse. Lors des contrôles, les régulateurs peuvent exiger la liste de tous les accès à un formulaire de rapport de cas d’un patient ou tous les transferts vers une CRO donnée. Le système d’audit doit permettre ces recherches instantanément.

Exigences opérationnelles pour garantir la souveraineté des données

Les fonctions techniques sont la base de la souveraineté, mais les établissements de santé doivent aussi mettre en place des processus opérationnels assurant l’application constante des exigences de souveraineté à toutes les activités de recherche, partenaires et types de données. Ces processus doivent s’intégrer aux flux de recherche existants, sans créer d’exercices de conformité parallèles.

L’application opérationnelle impose des standards clairs de gestion des données dans les accords de collaboration, une vérification automatisée de la conformité détectant les violations avant qu’elles ne créent un risque réglementaire, et l’intégration à la gestion des incidents, traitant les atteintes à la souveraineté comme des incidents de sécurité nécessitant une enquête immédiate.

Intégrer les exigences de souveraineté dans les accords de collaboration

Chaque essai clinique implique des accords contractuels avec les sponsors, les CRO, les laboratoires centraux et les comités de surveillance. Ces accords comportent généralement des clauses générales sur la protection des données et la conformité réglementaire, mais précisent rarement les contrôles techniques indispensables à la souveraineté.

Les établissements de santé doivent traduire les exigences de souveraineté en obligations techniques précises, intégrées aux accords de collaboration et vérifiables par une surveillance automatisée. Les accords doivent imposer que tous les transferts de données d’essai passent par des plateformes approuvées appliquant le chiffrement, les contrôles d’accès et la traçabilité. Ils doivent interdire le stockage des données sur des appareils personnels, des clouds grand public ou des serveurs de messagerie non chiffrés.

Lors de la négociation avec des sponsors pharmaceutiques disposant de plateformes collaboratives établies, les établissements de santé subissent la pression d’accepter les outils proposés. Maintenir la souveraineté dans ce contexte exige d’énoncer clairement les exigences techniques que la plateforme du sponsor doit respecter et de documenter tout écart de capacité.

Surveillance automatisée de la conformité et gestion des incidents

Les contrôles manuels, qui consistent à vérifier un échantillon de transferts des semaines ou des mois après leur réalisation, n’offrent pas de garantie suffisante de souveraineté. Les établissements de santé ont besoin d’une surveillance automatisée, évaluant chaque transfert en temps réel selon les politiques de souveraineté, bloquant les transferts non conformes avant leur aboutissement et générant des rapports de conformité documentant l’application des politiques sans intervention humaine.

L’intégration aux plateformes SIEM permet de traiter les violations de souveraineté comme tout autre incident de sécurité. Lorsqu’un transfert non autorisé survient malgré les contrôles préventifs, les établissements doivent disposer de processus de gestion des incidents capables de répondre aux questions des régulateurs : quelles données sont concernées ? Qui y a accédé ? Où ont-elles été envoyées ? Combien de temps sont-elles restées exposées ? Quelles mesures correctives ont été prises ?

Une gestion efficace des atteintes à la souveraineté repose sur des journaux d’audit détaillés retraçant les mouvements de données au-delà des frontières organisationnelles, des clauses contractuelles imposant la coopération des partenaires lors des enquêtes et des fonctions techniques permettant l’effacement à distance dès la fin des accès autorisés.

Conclusion

La souveraineté des données de recherche clinique impose aux établissements de santé de garder un contrôle vérifiable sur les données sensibles des patients et des essais tout au long de leur cycle de vie, pour tous les partenaires et dans le respect des frontières réglementaires. Les solutions cloud classiques et les outils de transfert de fichiers créent des failles de souveraineté, car ils n’offrent pas les contrôles cryptographiques, l’application granulaire des accès, la traçabilité infalsifiable et la maîtrise de la localisation exigés par la recherche clinique.

Atteindre la souveraineté passe par la mise en place d’une architecture unifiée qui applique les principes du zéro trust, respecte les frontières de traitement propres à chaque juridiction et s’intègre aux plateformes de sécurité existantes. Les établissements de santé doivent disposer de fonctions techniques permettant de chiffrer les données avec des clés contrôlées en interne, de classifier automatiquement le contenu, de générer des journaux d’audit adaptés aux exigences réglementaires et d’appliquer les politiques de localisation au niveau de l’infrastructure.

L’application opérationnelle impose d’intégrer les exigences de souveraineté dans les accords de collaboration, de mettre en place une surveillance automatisée bloquant les violations en temps réel et d’établir des processus de gestion des incidents spécifiquement conçus pour les atteintes à la souveraineté. Ces processus doivent s’intégrer parfaitement aux flux de recherche existants pour garantir une application constante sans perturber les délais des essais cliniques.

Le Réseau de données privé Kiteworks offre aux établissements de santé une plateforme dédiée qui sécurise les données de recherche clinique en transit tout en appliquant les contrôles techniques et opérationnels requis par la souveraineté des données. En déployant Kiteworks en complément des plateformes de sécurité existantes, les établissements assurent une application cohérente de la souveraineté sur tous les transferts de données, partenaires et juridictions réglementaires.

Comment le Réseau de données privé Kiteworks garantit la souveraineté des données de recherche clinique

Les établissements de santé qui gèrent des données de recherche clinique font face à un défi opérationnel clair : ils doivent garantir la souveraineté des données auprès de dizaines de partenaires, dans plusieurs juridictions et sur des milliers de fichiers sensibles, tout en maintenant l’efficacité collaborative indispensable aux essais cliniques.

Le Réseau de données privé propose une plateforme unifiée, spécifiquement conçue pour sécuriser les données sensibles en transit tout en appliquant des contrôles zéro trust et data-aware. Les établissements de santé utilisent Kiteworks pour créer un environnement contrôlé où tous les transferts de données de recherche clinique passent par une plateforme unique, appliquant de façon cohérente le chiffrement, les contrôles d’accès, les politiques de localisation et la traçabilité, quel que soit le mode de transfert.

Kiteworks met en œuvre un chiffrement de bout en bout validé selon la norme FIPS 140-3, avec des clés contrôlées exclusivement par l’établissement de santé, garantissant la protection cryptographique des données tout au long de leur cycle de vie. Toutes les données en transit sont protégées par TLS 1.3, empêchant toute interception lors des échanges entre partenaires, systèmes et juridictions. La plateforme applique des contrôles d’accès granulaires fondés sur une classification automatisée du contenu, identifiant les données patients, les informations génomiques et autres contenus sensibles, puis appliquant les politiques de sécurité adaptées sans intervention manuelle.

La plateforme génère des journaux d’audit infalsifiables, retraçant chaque interaction avec les données de recherche clinique dans un format vérifiable cryptographiquement, conforme aux exigences réglementaires. Ces journaux d’audit s’intègrent directement aux plateformes SIEM, aux workflows SOAR et aux systèmes ITSM, permettant aux équipes de sécurité de surveiller la souveraineté des données en temps réel.

Kiteworks est certifié FedRAMP Moderate Authorized et High-ready, ce qui le rend adapté aux établissements de santé traitant des données de recherche réglementées au niveau fédéral ou participant à des essais cliniques financés par des organismes publics. Ce niveau d’autorisation atteste que les contrôles de sécurité de la plateforme répondent aux standards fédéraux les plus stricts pour la protection des informations sensibles.

Kiteworks permet aux établissements de santé d’appliquer des politiques de localisation qui maintiennent les données d’essais cliniques dans des juridictions précises et empêchent tout transfert non autorisé à l’international. Lorsqu’ils mènent des essais internationaux avec des participants européens, ils configurent Kiteworks pour traiter ces données exclusivement dans des centres de données européens, tout en maintenant des environnements distincts pour les autres zones réglementaires.

La plateforme prend en charge la collaboration multipartite requise par la recherche clinique tout en maintenant la souveraineté totale sur les données partagées. Les établissements de santé accordent aux partenaires externes l’accès à des documents d’essai spécifiques via des workflows de partage sécurisé de fichiers, imposant l’authentification, l’autorisation et la traçabilité. Lorsque le rôle d’un collaborateur prend fin, l’accès est révoqué immédiatement grâce à la terminaison d’accès à distance.

Kiteworks propose des cartographies de conformité prêtes à l’emploi, aidant les établissements de santé à prouver leur alignement avec les exigences de protection des données et générant des rapports automatisés documentant l’application de la souveraineté sur tous les transferts.

Les établissements de santé déploient Kiteworks en complément des plateformes DSPM, CSPM et IAM, comme couche d’application supplémentaire sécurisant les données sensibles en transit. Tandis que les outils DSPM identifient la localisation des données sensibles et que les plateformes CSPM évaluent la sécurité du cloud, Kiteworks assure la protection active lors des mouvements de données de recherche clinique entre systèmes, partenaires et juridictions.

Pour découvrir comment le Réseau de données privé Kiteworks peut aider votre établissement de santé à garantir la souveraineté des données de recherche clinique tout en maintenant l’efficacité collaborative, réservez une démo personnalisée adaptée à vos exigences réglementaires et à vos flux de recherche.