IA et RGPD en biotechnologie : l'Europe tente de concilier innovation et protection des données personnelles

13/03/2026

Contexte politique et stratégique

La course mondiale à la biotechnologie

La proposition de règlement s'inscrit dans un contexte de compétition internationale intense. Les États-Unis et la Chine investissent massivement dans la biotechnologie, et l'UE craint de décrocher.

L'European Biotech Act est donc une réponse stratégique, dans la lignée d'autres initiatives récentes comme le Chips Act ou le Net Zero Industry Act : l'idée est d'utiliser le levier réglementaire pour attirer des investissements, réduire les délais de mise sur le marché et créer un environnement favorable à l'innovation.

Un cadre réglementaire fragmenté

L'un des problèmes identifiés par la Commission est la fragmentation du droit applicable aux essais cliniques.

Bien que le règlement CTR de 2014 ait été conçu pour harmoniser les procédures d'autorisation au niveau européen, son interaction avec le RGPD — entré en vigueur en 2018, soit après le CTR — a généré des interprétations divergentes entre États membres. Certains ont confié l'évaluation de la conformité au RGPD à des comités d'éthique, d'autres à des autorités nationales, d'autres encore imposent des formalités préalables auprès des autorités de protection des données.

Résultat : un sponsor qui conduit un essai multicentrique dans plusieurs pays de l'UE se retrouve face à des exigences hétérogènes, ce qui ralentit les procédures et renchérit les coûts.

La montée en puissance de l'IA en santé

La proposition intègre également la dimension IA, qui est désormais omniprésente dans la recherche biomédicale : analyse d'images médicales, sélection de patients pour des essais, modélisation prédictive, etc. Or l'IA en santé soulève des questions spécifiques de protection des données, que ni le RGPD ni le règlement IA (AI Act, adopté en 2024) ne traitent de manière entièrement satisfaisante dans ce contexte particulier.

Pourquoi cet avis conjoint EDPB-EDPS ?

Une obligation légale

En vertu de l'article 42(2) du règlement EUDPR, la Commission est obligée de consulter l'EDPB et l'EDPS lorsqu'elle propose un acte législatif susceptible d'affecter la protection des données personnelles.

La Commission a formellement saisi ces deux instances le 18 décembre 2025, soit deux jours après la publication de la proposition. L'avis a été adopté le 10 mars 2026, dans un délai remarquablement court qui témoigne de l'importance politique du dossier.

Le rôle respectif des deux institutions

L'EDPB regroupe les autorités nationales de protection des données des États membres de l'EEE (la CNIL pour la France, par exemple), tandis que l'EDPS est le contrôleur indépendant chargé de surveiller le traitement des données par les institutions de l'UE elles-mêmes.

Leur avis conjoint signifie que les deux niveaux — national et institutionnel européen — s'accordent sur les recommandations formulées, ce qui leur confère un poids politique significatif.

Analyse approfondie des recommandations

La question de la base juridique unique pour les essais cliniques

C'est probablement l'aspect le plus techniquement complexe de l'avis. Aujourd'hui, les sponsors et investigateurs doivent identifier, pour chaque opération de traitement, la base juridique applicable parmi celles prévues par l'article 6 RGPD. Cette analyse est délicate car les essais cliniques impliquent de multiples finalités : sécurité des participants, efficacité scientifique, pharmacovigilance, archivage réglementaire, etc.

La proposition d'établir une obligation légale unique au sens de l'article 6(1)(c) RGPD est saluée par l'EDPB et l'EDPS car elle apporterait une clarté bienvenue. Mais ils soulèvent un point essentiel : pour qu'une obligation légale soit une base juridique valable au sens du RGPD, elle doit être claire, précise et prévisible.

→ Or le texte proposé manque encore de précision sur plusieurs points :

• Il ne précise pas que le traitement n'est obligatoire que dans la mesure où il est nécessaire à la finalité poursuivie — une omission qui peut sembler anodine mais qui a des implications pratiques importantes pour le respect du principe de minimisation des données
• Il n'intègre pas explicitement la surveillance de l'essai (monitoring) parmi les finalités couvertes, alors que c'est une activité centrale et génératrice de nombreux traitements de données

Les rôles de responsable du traitement : une question épineuse

La proposition désigne sponsors et investigateurs comme responsables du traitement (controllers), mais sans préciser s'ils le sont de manière indépendante ou conjointe.

→ Cette distinction n'est pas seulement académique : elle détermine qui répond quoi, devant qui, en cas de violation des données ou d'exercice des droits par un participant.

L'EDPB et l'EDPS soulèvent également un autre point pratique délicat :

L'investigateur est défini dans le CTR comme "l'individu responsable de la conduite d'un essai clinique sur un site". En pratique, c'est souvent un médecin hospitalier ou un chercheur, qui agit sous l'autorité d'un établissement. Le qualifier personnellement de responsable du traitement le rendrait personnellement liable au regard du RGPD, avec tout ce que cela implique en termes d'obligations (registre des traitements, analyse d'impact, réponse aux demandes d'exercice des droits, etc.).

→ L'avis suggère donc d'envisager d'attribuer cette qualité à l'organisation (l'hôpital, le centre de recherche) plutôt qu'à l'individu — ce qui serait plus cohérent avec la réalité institutionnelle des essais cliniques.

La durée de conservation des données : un enjeu sous-estimé

Le CTR impose une archivation du clinical trial master file pendant au moins 25 ans. La proposition transpose cette durée en durée de conservation des données personnelles.

L'EDPB et l'EDPS s'y opposent partiellement : cette durée ne devrait s'appliquer qu'aux données contenues dans ce fichier maître, et non à l'ensemble des données personnelles traitées dans le cadre de l'essai.

Derrière cette recommandation se cache un principe fondamental du RGPD : la limitation de la conservation.

Conserver pendant 25 ans des données de santé, des données génétiques ou des données d'identification sur des milliers de participants à des essais cliniques représente un risque significatif. Plus les données sont conservées longtemps, plus le risque de violation, de détournement ou d'accès non autorisé augmente.

L'avis rappelle également que les sponsors doivent informer les participants de la durée de conservation et que, passé le délai minimal légal, le principe de nécessité continue de s'appliquer.

Le retraitement ultérieur des données : un terrain miné

L'article 93(6) CTR proposé est l'un des plus sensibles du texte. Il autoriserait le retraitement des données collectées dans le cadre d'un essai pour d'autres essais cliniques ou pour la recherche scientifique.

C'est une demande récurrente de l'industrie pharmaceutique et du monde académique, qui souhaitent pouvoir valoriser les données déjà collectées plutôt que de recruter de nouveaux participants à chaque nouvelle étude.

→ Or le RGPD encadre strictement ce type de retraitement.

Son article 5(1)(b) pose le principe de limitation des finalités : les données collectées pour une finalité déterminée ne peuvent pas être réutilisées pour une finalité incompatible, sauf exceptions. L'article 89 RGPD prévoit certes des assouplissements pour la recherche scientifique, mais sous conditions strictes.

L'EDPB et l'EDPS formulent plusieurs recommandations importantes sur ce point :

• Préciser explicitement que l'article 93(6) CTR constitue une base juridique au titre de l'article 6(1)(e) RGPD (mission d'intérêt public)
• Encadrer plus précisément les finalités autorisées — notamment la notion de "renforcement de la capacité d'innovation de la recherche médicale européenne", jugée trop vague et susceptible de servir de blanc-seing à des utilisations très étendues
• Imposer des garanties concrètes : pseudonymisation systématique, structures de gouvernance, obligations de confidentialité pour les chercheurs, transparence renforcée envers les participants, droit d'opposition

Le consentement éclairé et le portefeuille d'identité numérique

La proposition ouvre la possibilité de recueillir le consentement éclairé des participants par voie électronique, y compris via le portefeuille d'identité numérique européen (EDIW).

L'EDPB et l'EDPS accueillent favorablement cette modernisation, mais rappellent un point que le texte semble avoir négligé : l'article 5a(15) du règlement eIDAS précise que l'utilisation de l'EDIW est volontaire. Imposer ce moyen comme condition de participation à un essai clinique serait donc illégal, mais aussi contre-productif dans une logique d'inclusion des populations moins connectées ou moins à l'aise avec les outils numériques.

Les bacs à sable réglementaires et l'IA : des espaces d'expérimentation à risque

La proposition crée plusieurs types de bacs à sable réglementaires (regulatory sandboxes) : pour les essais cliniques innovants, pour les produits de biotechnologie, pour l'alimentation, pour les substances d'origine humaine. Ces environnements permettent de tester des approches nouvelles dans des conditions réelles, avec des dérogations temporaires à certaines règles.

L'EDPB et l'EDPS tirent la sonnette d'alarme sur un point essentiel : le RGPD ne prévoit pas de mécanisme de dérogation temporaire pour expérimentation. Autrement dit, même dans un bac à sable, les règles de protection des données s'appliquent pleinement.

Le texte proposé ne le dit pas assez clairement, ce qui pourrait créer une confusion dangereuse. Les deux autorités recommandent donc de l'écrire explicitement dans le texte et d'associer l'EDPB à la supervision de ces dispositifs pour garantir la cohérence d'interprétation.

Concernant l'IA spécifiquement, l'avis soulève une ambiguïté dans l'articulation entre la proposition et l'AI Act : ce dernier ne s'applique pas aux activités de recherche et développement avant la mise sur le marché d'un système IA, ce qui laisse potentiellement un vide réglementaire pour les IA utilisées dans les essais cliniques en phase de développement.

Ce que cet avis révèle des tensions structurelles du droit européen

Innovation vs. protection des droits fondamentaux

L'avis illustre une tension permanente dans la construction réglementaire européenne.

D'un côté, la Commission cherche à simplifier et accélérer pour rester compétitive. De l'autre, les autorités de protection des données rappellent que la santé et les données génétiques sont parmi les informations les plus intimes qui soient, et que les participants aux essais cliniques se trouvent dans une situation de vulnérabilité qui justifie une protection renforcée.

La prolifération des textes sectoriels

L'avis pointe aussi un problème structurel : la multiplication des textes législatifs sectoriels (CTR, AI Act, RGPD, EUDPR, eIDAS, SoHO...) crée des interactions complexes que ni les opérateurs ni les autorités de contrôle ne maîtrisent parfaitement.

L'European Biotech Act ajoute une nouvelle couche à cet empilement normatif, et l'EDPB et l'EDPS doivent s'assurer que chaque nouvelle brique s'articule correctement avec les précédentes.

Le rôle croissant de l'EDPB comme acteur législatif

Enfin, l'avis témoigne d'une montée en puissance de l'EDPB comme acteur du processus législatif européen. Non seulement il rend des avis consultatifs, mais il propose ici que lui soit expressément confié un mandat pour élaborer des lignes directrices sur l'évaluation de la conformité au RGPD dans les essais cliniques — ce qui lui conférerait un rôle quasi-normatif dans ce domaine. C'est une évolution notable de sa position institutionnelle.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus