L’externalisation de la pharmacovigilance devient une réalité : ce que les entreprises pharmaceutiques doivent savoir sur le règlement européen 2025/1466

La version française de cet article est une traduction du texte original rédigé en anglais. Des différences de style peuvent exister en raison des spécificités rédactionnelles propres à chaque langue.

Un changement révolutionnaire en matière de conformité, de confidentialité des données et de gestion des fournisseurs pour l’industrie des sciences de la vie

Pour toute personne impliquée dans des opérations de pharmacovigilance dans l’UE, qu’il s’agisse d’un titulaire d’autorisation de mise sur le marché (MAH), d’un fournisseur de services de sécurité, d’un CRO ou d’un fournisseur de systèmes de PV, la date du 12 février 2026 marque un changement radical dans les attentes réglementaires. C’est en effet à cette date que le règlement d’exécution (UE) 2025/1466 de la Commission entrera pleinement en vigueur, transformant fondamentalement la manière dont l’externalisation de la pharmacovigilance (PV) est régie dans l’ensemble de l’Union européenne. Il ne s’agit pas d’une simple échéance de conformité, mais d’un changement de cap pour la gestion des fournisseurs, la confidentialité des données et la transparence opérationnelle.

Le règlement : Ce qui change et pourquoi c’est important

Publié le 23 juillet 2025, le règlement 2025/1466 est entré en vigueur 20 jours plus tard (c’est-à-dire le 12 août 2025) et s’applique à partir du 12 février 2026, mais avec deux précurseurs essentiels. Plus précisément, les points (7) et (9) de l’article 1 s’appliquent depuis l’entrée en vigueur (août 2025), introduisant une nouvelle ère de responsabilité pour tous les acteurs de l’écosystème photovoltaïque.

Les TAMM et leurs fournisseurs ne peuvent plus considérer la protection des données et les détails opérationnels comme une réflexion après coup ou comme la responsabilité de quelqu’un d’autre. Le règlement exige que tous les flux de données soient cartographiés, que les contrôles de sécurité des fournisseurs soient audités et que les pratiques de minimisation des données (exigées depuis longtemps par le GDPR) soient activement mises en œuvre.

Dates clés et implications immédiates

Voici ce qu’il faut faire pour s’y retrouver :

• 23 juillet 2025 : Publication au Journal officiel (UE)
• 12 août 2025 : Entrée en vigueur
• Depuis août 2025 (déjà applicable) :
  • Clarification de l’obligation du titulaire de l’AMM de surveiller EudraVigilance et d’utiliser d’autres sources disponibles.
  • Suppression du formulaire de notification des signaux autonomes Attente
• 12 février 2026 : la plupart des autres changements entrent en vigueur (contrats, champ d’application et formulation des audits, mises à jour PSUR/PASS, etc.)

Traduction : certaines obligations sont déjà en jeu, et le compte à rebours pour les autres se rapproche rapidement de zéro.

Clarté contractuelle : Les nouvelles règles de la sous-traitance dans le domaine du photovoltaïque

Le règlement 2025/1466 réécrit les normes de sous-traitance photovoltaïque avec une précision sans précédent. Vos contrats avec les fournisseurs doivent désormais spécifier au minimum

• Délimitation claire des rôles et des responsabilités
• Obligations et méthodologies explicites en matière d’échange de données de sécurité
• Modalités des audits et des inspections réglementaires
• Accord obligatoire pour que les vendeurs soient audités par le MAH et inspectés par les autorités

Il ne s’agit pas d’une exigence unique : la même logique s’applique mutatis mutandis en aval de la chaîne (c’est-à-dire aux tiers qui sous-traitent les tâches qu’ils ont reçues). Si vos accords actuels sont vagues, notamment en ce qui concerne les mécanismes d’échange de données ou la logistique d’audit, il est temps d’entreprendre un projet de remédiation des contrats.

EudraSurveillance de la vigilance : Déjà en vigueur – êtes-vous en conformité ?

Voici un développement important : Les détenteurs d’AMM doivent désormais surveiller activement les données contenues dans EudraVigilance et les utiliser en conjonction avec d’autres sources. Cette obligation est en vigueur depuis août 2025.

Les questions-réponses de l’EMA (Rev.2, 28 janvier 2026) vont plus loin sur le « comment » : Les titulaires d’AMM doivent mettre à jour les procédures pour expliquer comment EudraVigilance est surveillée, comment les données EV sont utilisées avec d’autres sources, et avec une fréquence proportionnelle au risque/au profil de sécurité connu/aux caractéristiques du produit.

En pratique, cela signifie qu’il faut traiter des volumes croissants de données de santé pseudonymisées provenant de rapports de sécurité soumis par des tiers. Les organisations doivent documenter les personnes qui accèdent à EudraVigilance, l’objectif et la fréquence de l’accès, ainsi que les procédures de traitement des données qui en découlent. Les contrôles d’accès robustes (authentification multifactorielle, autorisations basées sur les rôles et pistes d’audit) ne sont plus facultatifs.

Le paradoxe des données de l’ICSR : le masquage sans anonymisation complète

Les rapports individuels de sécurité doivent toujours contenir : un déclarant identifiable, un patient identifiable, les détails d’au moins un effet indésirable suspecté et le(s) produit(s) médicinal(aux) concerné(s). L’anonymisation complète n’est pas autorisée, car les exigences réglementaires requièrent un certain degré d’identifiabilité.

Cependant, l’EMA a relevé la barre avec de nouvelles directives de masquage (GVP Module VI, Addendum II, en vigueur le 25 juillet 2025), exigeant que 13 champs de données spécifiques (tels que les coordonnées du journaliste et les identifiants du patient au-delà des initiales, de l’âge et du sexe) soient masqués dans tous les rapports de sécurité soumis à EudraVigilance.

Un détail essentiel est souvent omis : L’addendum spécifie également 11 éléments de données supplémentaires qui doivent être laissés vides (parce que l’ICH E2B(R3) ne prend pas en charge les nullFlavours). Et même si des données non masquées sont soumises dans ces champs, l’EMA ne mettra pas les données non masquées à la disposition des utilisateurs d’EV et masquera également les anciennes données dans ces champs.

Si votre base de données de sécurité ou votre passerelle E2B(R3) n’applique pas ce masquage automatiquement, vous risquez d’enfreindre par inadvertance les règles PV et GDPR.

Le piège de la sous-traitance : Une visibilité totale est nécessaire

L’un des changements les plus importants, et pourtant négligé, est que les fournisseurs ne peuvent plus sous-traiter les tâches liées au PV sans votre consentement écrit explicite. Les détenteurs d’une autorisation de mise sur le marché doivent avoir une visibilité totale sur la chaîne d’approvisionnement des fournisseurs, depuis les hébergeurs et les services de documentation jusqu’à l’assistance informatique et à toute tierce partie touchant aux données de PV. Cela correspond directement aux exigences de l’article 28 du GDPR : les sous-traitants ne peuvent pas engager des sous-traitants secondaires sans autorisation, et ils doivent imposer des obligations équivalentes en matière de protection des données.

Posez-vous la question : Vos fournisseurs d’hébergement en nuage (AWS, Azure, Google Cloud) sont-ils formellement documentés et approuvés en tant que sous-traitants secondaires dans vos contrats ? Avez-vous mis en œuvre des clauses contractuelles types (CCN) pour toutes les données traitées ou stockées en dehors de l’EEE ?

Audits : Des contrôles ponctuels à l’assurance complète

Le nouveau règlement modifie l’article 13 concernant les audits du système de qualité. Les détenteurs d’une autorisation de mise sur le marché doivent désormais effectuer des audits fondés sur les risques à des intervalles définis, afin de s’assurer que toutes les activités photovoltaïques sont couvertes au cours d’une période donnée. Il ne suffit plus d’auditer « ce que l’on peut », il faut faire preuve d’une surveillance complète.

Voici la clause à lire deux fois : toute tierce partie sous-traitée pour des tâches liées au photovoltaïque doit être auditée par (ou au nom de) la MAH (en fonction des risques) et peut être inspectée par les autorités, même si votre contrat de sous-traitance n’a pas encore été mis à jour pour inclure l’obligation d’audit/inspection. Et n’oubliez pas : toute tierce partie liée au photovoltaïque doit faire l’objet d’un audit et est sujette à une inspection réglementaire, indépendamment de ce que dit votre contrat.

Confidentialité des données : Le cœur du problème

Les données relatives aux PV sont parmi les plus sensibles du secteur des sciences de la vie, car elles contiennent souvent des données de santé de catégorie spéciale, des antécédents médicaux, des informations génétiques et des récits profondément personnels. Il est important de noter que dans EudraVigilance, les ICSR contiennent des données personnelles sous forme pseudonymisée et que l’accès est restreint (y compris la protection par authentification multifactorielle).

Deux exigences majeures du GDPR sont désormais au premier plan :

• Sécurité du traitement (article 32) : Les contrats doivent détailler les méthodes d’échange de données sécurisées, y compris le cryptage, les contrôles d’accès, l’enregistrement des audits et la continuité des activités.
• Obligations du sous-traitant (article 28) : Chaque relation avec un fournisseur doit faire l’objet d’un accord sur le traitement des données (DPA) aligné sur les contrats de PV, spécifiant les types de données personnelles, les obligations du sous-traitant, les droits d’audit et l’autorisation du sous-traitant secondaire.

La réalité de la notification d’une violation : L’article 33 du GDPR exige que le responsable du traitement notifie l’autorité dans les 72 heures si possible, et que le sous-traitant notifie le responsable du traitement sans retard injustifié. Si vous souhaitez un délai de 24 heures, inscrivez-le dans un accord de niveau de service contractuel et ne le présentez pas comme « la règle du GDPR ».

Cinq actions essentielles avant le 12 février 2026

Cartographier l’écosystème des fournisseurs de produits photovoltaïques

Identifier chaque tiers exécutant des tâches de PV, y compris les dépendances cachées. Documenter les données à caractère personnel traitées par chacun d’entre eux, leur localisation géographique, les flux de données et les transferts internationaux.

Produit livrable : Une carte complète des flux de données du fournisseur indiquant tous les processeurs, les sous-processeurs, les types de données, l’emplacement des données et les garanties de transfert.

Corrigez vos contrats

Mettre à jour les accords et ajouter des annexes couvrant les rôles et les responsabilités, les méthodes d’échange de données, la logistique d’audit et le consentement écrit pour la sous-traitance. Intégrer des clauses spécifiques au GDPR : DPA, protocoles de sécurité, notification des violations (avec un préavis de 24 heures), listes de sous-traitants et CSC pour les transferts transfrontaliers.

Produit livrable : Modèles de contrats révisés avec des dispositions relatives à l’APD et un suivi de la remédiation.

Mettre en œuvre immédiatement le masquage de l’EMA

Mettez à jour votre base de données de sécurité et la logique d’exportation E2B(R3) pour masquer automatiquement les 13 champs spécifiés dans tous les rapports de sécurité envoyés à EudraVigilance. Validez cette opération dans un environnement de test et veillez à ce que les personnes chargées du traitement des dossiers soient correctement formées.

Produit livrable : Documentation de la configuration du système, rapports de validation et SOPs mises à jour.

Réorganisez votre programme d’audit

Adopter une approche d’audit complète, basée sur les risques, qui couvre toutes les activités de PV et met l’accent sur la confidentialité des données, le masquage, la surveillance des sous-traitants, la conservation des données et les contrôles d’accès d’EudraVigilance.

Produit livrable : Programme d’audit actualisé, évaluations des risques, listes de contrôle détaillées et preuves d’une couverture complète.

Préparer un dossier de preuves prêt à être inspecté

Rassembler les DPA, les listes de sous-traitants, les évaluations de l’impact des transferts, les journaux de notification des violations, la validation du masquage EMA, les rapports d’audit et les dossiers de formation dans un fichier organisé, indexé et contrôlé par version.

Produit livrable : Un dossier de préparation à l’inspection couvrant tous les besoins en matière de documentation.

L’essentiel : La conformité comme catalyseur de la maturité

Le 12 février 2026 n’est pas seulement une étape réglementaire. C’est l’occasion d’améliorer votre gouvernance des fournisseurs et votre maturité en matière de confidentialité des données. Considérez cela comme une « réinitialisation des contrats et des contrôles » et vous ne renforcerez pas seulement votre conformité au GDPR, mais vous protégerez également votre organisation contre les conclusions d’une double inspection pour les violations de la PV et de la confidentialité des données.

Des questions cruciales auxquelles vous devez répondre dès maintenant :

• Avez-vous confirmé que votre base de données de sécurité masque les données personnelles conformément aux exigences de l’EMA (13 masquées + 11 vides) ?
• Savez-vous où vos ICSR sont traités géographiquement et si vous avez mis en place des CSC pour les transferts en dehors de l’EEE ?
• Pourriez-vous produire les DPA des fournisseurs et les listes actuelles des sous-traitants si un inspecteur se présentait demain ?

L’ère de la conformité cloisonnée est révolue. La conformité en matière de PV et de confidentialité des données est désormais indissociable. Les entreprises qui mettent en place des cadres de gouvernance intégrés, plutôt que des solutions disparates, traverseront le prochain cycle d’inspection avec confiance et résilience.

Ne soyez pas l’organisation qui se démène pour expliquer des contrats qui ne correspondent pas, des emplacements de données inconnus ou pourquoi personne n’a pensé à vérifier que les numéros de téléphone des journalistes étaient correctement masqués avant d’envoyer les rapports de sécurité à EudraVigilance. Il est temps d’agir.

Avez-vous commencé à réviser les contrats de vos fournisseurs de systèmes photovoltaïques ? Quel a été votre plus grand défi pour vous préparer à l’échéance de février ? N’hésitez pas à nous faire part de vos commentaires. Nous aimerions savoir comment les organisations abordent cette question.