Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
IA par secteur 7 avril 2026 13 min de lecture

IA en pharmacovigilance et essais cliniques : conformité EMA, ANSM et protection des données

La pharmacovigilance et la conduite des essais cliniques figurent parmi les domaines où l'intelligence artificielle peut apporter les bénéfices les plus significatifs pour la santé publique : détection précoce de signaux de sécurité, automatisation des soumissions réglementaires, analyse de la littérature scientifique à une échelle impossible manuellement. Mais ces domaines sont aussi parmi les plus réglementés au monde, et les données impliquées — formules de médicaments, résultats pré-publication, données de patients inclus dans des essais — constituent un actif industriel et une responsabilité éthique de première importance. La souveraineté des données n'est pas optionnelle : elle est une condition de conformité réglementaire et de protection de la propriété intellectuelle.

Ce qu'il faut retenir

  • Le Règlement UE 520/2012 impose une obligation légale de pharmacovigilance aux titulaires d'AMM, avec des délais stricts pour la détection et le signalement des effets indésirables.
  • Le guide ICH E6 R3 (Good Clinical Practice, révisé en 2023) intègre explicitement l'IA dans la conduite des essais cliniques, avec des exigences de traçabilité et de validation renforcées.
  • Les données d'essais cliniques (formules, résultats intermédiaires, protocoles) constituent une propriété intellectuelle critique dont la divulgation à des tiers peut invalider des brevets ou compromettre des années de R&D.
  • L'ANSM classe certains logiciels d'aide à la décision médicale (SAMD) comme dispositifs médicaux logiciels, soumis à la réglementation MDR.
  • L'AI Act range les IA utilisées en aide au diagnostic, en pharmacovigilance et dans les essais cliniques dans la catégorie haut risque, avec des obligations de conformité renforcées.

Cadre réglementaire de la pharmacovigilance : obligations et délais

La pharmacovigilance — la surveillance des effets indésirables des médicaments mis sur le marché — est une obligation légale encadrée par plusieurs textes fondamentaux dont la non-conformité peut entraîner la suspension ou le retrait d'une AMM (Autorisation de Mise sur le Marché).

Le Règlement UE 520/2012 : le cadre européen

Le Règlement d'exécution (UE) N° 520/2012 du 19 juin 2012 détaille les activités de pharmacovigilance que les titulaires d'AMM doivent conduire. Il impose notamment :

  • La détection des signaux : surveillance continue des données de sécurité provenant de toutes les sources disponibles (essais cliniques, pharmacopée spontanée, littérature, données de registres).
  • Les délais de notification des ICSR : les Individual Case Safety Reports (rapports de cas individuels de sécurité) doivent être transmis à EudraVigilance dans des délais stricts — 15 jours pour les effets graves inattendus en post-marketing, 7 jours pour les effets fatals ou mettant la vie en danger.
  • Les PSUR : les Periodic Safety Update Reports doivent être soumis à intervalles réguliers selon un calendrier défini dans l'AMM.
  • Le PSMF : le Pharmacovigilance System Master File documente l'ensemble du système de pharmacovigilance du titulaire d'AMM.

Le volume de données à traiter dans ce cadre est considérable : un grand laboratoire pharmaceutique peut recevoir plusieurs centaines de milliers d'ICSR par an, provenant de sources multiples (médecins, pharmaciens, patients, partenaires, études cliniques en cours).

La directive 2010/84/UE et les sanctions applicables

La directive 2010/84/UE, transposée en droit français, a renforcé les obligations de pharmacovigilance et les sanctions en cas de manquement. Les autorités compétentes (ANSM en France, EMA au niveau européen) peuvent :

  • Exiger des mesures correctives immédiates en cas de signal de sécurité non traité.
  • Suspendre ou retirer l'AMM en cas de manquement grave aux obligations de pharmacovigilance.
  • Infliger des amendes administratives pouvant atteindre plusieurs millions d'euros.
  • Engager des poursuites pénales contre les dirigeants responsables en cas de mise en danger délibérée de la santé publique.
15 joursDélai max pour notifier un effet indésirable grave inattendu à EudraVigilance
7 joursDélai pour les effets fatals ou mettant en jeu le pronostic vital
500 000+ICSR reçus annuellement par un grand laboratoire pharma mondial
10 ansDurée minimale de conservation des données de pharmacovigilance

ICH E6 R3 : les bonnes pratiques cliniques à l'ère de l'IA

Le guide ICH E6 (Good Clinical Practice), dans sa révision R3 publiée en 2023, représente une évolution majeure par rapport aux versions précédentes : il intègre explicitement les technologies numériques et l'intelligence artificielle dans la conduite des essais cliniques, tout en maintenant les exigences fondamentales de qualité des données et de protection des sujets.

Les principes ICH E6 R3 applicables à l'IA

Plusieurs principes du guide révisé ont des implications directes pour l'utilisation de l'IA dans les essais :

  • Validation des systèmes informatiques : tout système informatique utilisé dans la gestion d'un essai clinique, y compris les systèmes d'IA, doit être validé selon des procédures documentées. La validation inclut la qualification de l'installation (IQ), la qualification opérationnelle (OQ) et la qualification des performances (PQ).
  • Traçabilité et audit trail : toutes les données générées ou modifiées par un système d'IA dans le cadre d'un essai doivent être tracées avec les informations d'horodatage, d'identifiant de l'utilisateur et de justification de toute modification.
  • Intégrité des données (ALCOA+) : les données doivent être Attribuables, Lisibles, Contemporaines, Originales et Exactes, plus Complètes, Cohérentes, Durables et Disponibles. L'IA doit opérer sans compromettre ces principes.
  • Supervision humaine : pour les décisions critiques (inclusion/exclusion des sujets, détection d'événements indésirables graves), l'IA est un outil d'aide à la décision qui ne se substitue pas au jugement du médecin investigateur.

Le monitoring décentralisé et l'IA

ICH E6 R3 a considérablement développé le cadre des essais décentralisés (DCT) et du monitoring à distance. L'IA joue un rôle croissant dans ce contexte :

  • Risk-Based Monitoring (RBM) : l'IA analyse en temps réel les données des centres d'investigation pour identifier les sites à risque nécessitant une visite de monitoring prioritaire.
  • Détection automatisée des déviations : identification des protocoles non respectés, des données aberrantes, des inclusions non conformes aux critères.
  • Analyse des données de sécurité : surveillance continue des paramètres biologiques et cliniques pour détecter les signaux d'alerte chez les sujets inclus.

Propriété intellectuelle et données ultra-confidentielles des essais

Les données générées dans le cadre du développement d'un médicament constituent l'actif le plus précieux d'un laboratoire pharmaceutique. Leur divulgation — même accidentelle — peut avoir des conséquences catastrophiques et irréversibles.

Les catégories de données ultra-sensibles

  • Les formules et procédés de fabrication : la composition chimique ou biologique d'un médicament en développement, ses impuretés, ses méthodes de synthèse ou de production. Ces informations sont protégées par le secret des affaires (loi Macron 2016, directive UE 2016/943) et constituent des secrets de fabrication dont la divulgation est pénalement sanctionnée.
  • Les résultats d'essais pré-publication : les résultats d'efficacité et de sécurité avant soumission à l'EMA ou à la FDA. Ces données déterminent la valeur boursière du laboratoire et peuvent constituer une information privilégiée au sens du droit des marchés financiers.
  • Les données patients des essais : données de santé des sujets inclus (diagnostics, traitements, biomarqueurs, données génétiques dans les essais de médecine de précision). Catégorie spéciale au sens du RGPD, avec des obligations de protection renforcées.
  • Les protocoles et plans d'analyse statistique : ces documents définissent la méthodologie de l'essai. Leur divulgation avant la publication des résultats permet à des concurrents de comprendre la stratégie de développement.
  • Les données de pharmacovigilance en développement : les profils de sécurité émergents d'un médicament en cours d'évaluation sont des informations commercialement sensibles et réglementairement protégées.

Espionnage industriel et données pharmaceutiques

Les laboratoires pharmaceutiques sont des cibles prioritaires de l'espionnage industriel, notamment de la part d'acteurs étatiques étrangers. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a classé plusieurs grands laboratoires français comme Opérateurs d'Importance Vitale (OIV). Confier des données de recherche et développement à des services cloud étrangers expose ces données à des risques d'exfiltration que les garanties contractuelles ne peuvent pas neutraliser. Un LLM cloud américain traitant un protocole d'essai clinique ou des résultats intermédiaires constitue un vecteur de risque inacceptable.

ANSM et logiciels d'aide à la décision médicale (SAMD)

L'Agence Nationale de Sécurité du Médicament et des produits de santé (ANSM) a développé une position spécifique sur les logiciels utilisés dans le contexte médical et pharmaceutique, distinguant plusieurs catégories selon leur niveau de risque et leurs implications cliniques.

La classification des SAMD

Les logiciels d'aide à la décision médicale (SAMD) sont définis comme des logiciels conçus pour être utilisés à une ou plusieurs fins médicales sans faire partie d'un dispositif médical physique. Selon le Règlement (UE) 2017/745 sur les dispositifs médicaux (MDR), un SAMD peut être qualifié de dispositif médical et soumis à la réglementation correspondante.

La classification d'un SAMD selon le MDR dépend de son intention d'utilisation et de sa gravité potentielle :

  • Classe I : logiciels à faible risque (information générale, pas d'impact direct sur les décisions cliniques).
  • Classe IIa : logiciels d'aide à la décision clinique sans impact vital direct.
  • Classe IIb : logiciels d'aide au diagnostic ou au traitement pour des affections graves.
  • Classe III : logiciels dont les décisions ont un impact direct sur la survie du patient.

Une IA utilisée pour détecter des signaux de pharmacovigilance ou pour aider au diagnostic dans le cadre d'un essai clinique peut être classée IIa ou IIb, avec les obligations correspondantes : marquage CE, évaluation clinique, surveillance post-commercialisation.

Position de l'ANSM sur l'IA en pharmacovigilance

L'ANSM a publié en 2024 un document de positionnement sur l'utilisation de l'IA dans les activités de pharmacovigilance. Les points essentiels :

  • Les systèmes d'IA utilisés pour la détection de signaux ou le traitement d'ICSR doivent être validés selon des procédures documentées avant leur mise en production.
  • Les décisions issues de systèmes d'IA doivent faire l'objet d'une supervision humaine par un pharmacovigilant qualifié.
  • Les systèmes d'IA doivent être auditables : le laboratoire doit pouvoir démontrer à l'ANSM, en cas d'inspection, comment le système fonctionne et sur quelles données il a été entraîné.
  • La localisation des données traitées par les systèmes d'IA est un critère d'évaluation lors des inspections de pharmacovigilance.

AI Act : l'IA médicale dans la catégorie haut risque

Le Règlement européen sur l'IA (AI Act) range dans la catégorie des systèmes d'IA à haut risque (Annexe III) plusieurs applications directement pertinentes pour le secteur pharmaceutique :

  • Les systèmes d'IA destinés à être utilisés comme dispositifs médicaux ou comme composants de sécurité de dispositifs médicaux.
  • Les systèmes d'IA utilisés dans l'administration de médicaments et pour l'établissement des priorités de traitement des patients.
  • Les systèmes d'IA destinés à être utilisés pour évaluer les risques et profils de risque des personnes physiques.

Obligations pour les laboratoires pharmaceutiques (déployeurs)

Les laboratoires pharmaceutiques qui déploient des systèmes d'IA à haut risque sont considérés comme « déployeurs » au sens de l'AI Act, avec des obligations spécifiques :

  • Mesures techniques et organisationnelles : garantir que les systèmes sont utilisés conformément aux instructions du fournisseur.
  • Supervision humaine : désigner des personnes physiques responsables de la supervision des systèmes d'IA à haut risque.
  • Journalisation : conserver les journaux de fonctionnement générés automatiquement par les systèmes dans la mesure où ils sont sous leur contrôle.
  • Signalement d'incidents : notifier le fournisseur en cas d'incident ou de dysfonctionnement grave affectant les droits fondamentaux ou la sécurité des personnes.
  • AIPD renforcée : pour les systèmes traitant des données de santé, une Analyse d'Impact relative à la Protection des Données approfondie est obligatoire.

Cas d'usage concrets de l'IA en pharmacovigilance et en essais cliniques

Détection automatisée de signaux de pharmacovigilance

La détection de signaux est le cœur de la pharmacovigilance. Un signal est une information indiquant une relation causale possible entre un médicament et un événement indésirable, suffisamment nouvelle ou importante pour justifier une investigation.

Une IA souveraine peut analyser en temps réel :

  • Les ICSR reçus par le système de pharmacovigilance du laboratoire.
  • Les notifications spontanées dans EudraVigilance et FAERS (FDA).
  • La littérature médicale et les rapports de cas publiés.
  • Les données des réseaux sociaux (pharmacovigilance informelle).
  • Les données des essais cliniques en cours.

Les algorithmes de détection de signaux (disproportionnalité, réseaux de neurones, NLP) peuvent identifier des associations médicament-événement que l'analyse manuelle manquerait, en particulier pour les signaux rares ou les interactions médicamenteuses complexes.

Automatisation des soumissions réglementaires

La préparation des soumissions réglementaires (PSUR, PBRER, RMP) est un processus extraordinairement chronophage. Une IA souveraine peut :

  • Agréger automatiquement les données de sécurité de toutes les sources.
  • Générer des tableaux de synthèse et des analyses de disproportionnalité.
  • Rédiger des sections narratives standardisées à partir des données structurées.
  • Vérifier la cohérence interne du document et sa conformité avec les templates EMA.
  • Gérer le workflow de validation et de signature par les responsables qualifiés.

Analyse de la littérature scientifique

Le suivi de la littérature médicale est une obligation réglementaire en pharmacovigilance. Pour un médicament commercialisé dans plusieurs indications, plusieurs centaines d'articles peuvent être publiés chaque année. Une IA peut :

  • Monitorer automatiquement PubMed, Embase et d'autres bases bibliographiques pour identifier les publications pertinentes.
  • Classifier les articles par niveau de pertinence pharmacovigilance (cas rapporté, méta-analyse, revue systématique).
  • Extraire les informations de sécurité pertinentes (molécule, événement indésirable, données quantitatives).
  • Générer des rapports de veille bibliographique synthétiques pour les équipes de pharmacovigilance.

Aide au monitoring des essais cliniques

Dans les essais cliniques multicentriques, le monitoring représente jusqu'à 30 % du budget total. Une IA souveraine déployée sur les données de l'EDC (Electronic Data Capture) peut :

  • Détecter en temps réel les données manquantes, les valeurs aberrantes et les incohérences.
  • Prioriser les sites d'investigation nécessitant une visite de monitoring urgente.
  • Automatiser la génération des queries aux investigateurs pour les données à clarifier.
  • Analyser les patterns de randomisation pour détecter des biais potentiels.
  • Surveiller les paramètres de sécurité définis dans le protocole (arrêt d'urgence selon des critères prédéfinis).
60%Réduction du temps de traitement des ICSR avec l'IA de pharmacovigilance
3xPlus de signaux détectés par l'IA vs l'analyse manuelle sur les mêmes données
30%Du budget d'un essai clinique consacré au monitoring (optimisable par l'IA)
0Donnée d'essai transmise hors infrastructure souveraine dédiée

Souveraineté : critère obligatoire pour les laboratoires pharmaceutiques

Pour les laboratoires pharmaceutiques, la souveraineté des données n'est pas seulement une question réglementaire : c'est une question de survie économique. Les données de recherche et développement représentent des investissements de plusieurs centaines de millions d'euros sur des années. Leur exposition à des risques d'exfiltration est inacceptable.

Ce que doit garantir un prestataire d'IA souveraine pour un labo pharma

  • Hébergement exclusivement en France ou dans l'UE, chez un prestataire certifié ISO 27001 et, pour les données de santé, certifié HDS.
  • Infrastructure dédiée : pas de mutualisation avec d'autres clients. Le modèle d'IA et les données d'entraînement spécifiques au laboratoire doivent être isolés.
  • Auditabilité complète : le prestataire doit accepter des audits de sécurité et des inspections réglementaires (ANSM, EMA lors des inspections de pharmacovigilance).
  • Traçabilité ALCOA+ : toutes les opérations effectuées par l'IA sur des données d'essais doivent être tracées avec un audit trail complet et immuable.
  • Validation documentée : protocoles de qualification IQ/OQ/PQ, rapports de validation, procédures de gestion des changements conformes aux BPF (Bonnes Pratiques de Fabrication) et aux BPC (Bonnes Pratiques Cliniques).
  • Pas de soumission à des lois d'accès extraterritorial : le prestataire ne doit pas être soumis au Cloud Act ou à des législations équivalentes permettant à des autorités étrangères d'accéder aux données.

Questions fréquentes

L'utilisation de l'IA en pharmacovigilance nécessite-t-elle une validation selon les BPF ?

Oui, si le système d'IA est utilisé dans des processus réglementés au sens des Bonnes Pratiques de Fabrication (BPF) ou des Bonnes Pratiques Cliniques (BPC). La validation informatique (Computer System Validation, CSV) est exigée pour tout système informatique utilisé dans un environnement GxP. L'IA n'échappe pas à cette règle : un système de détection de signaux de pharmacovigilance doit être validé selon les principes GAMP 5, avec une documentation complète de la qualification.

Comment gérer les données patients pseudonymisées dans les essais avec une IA ?

La pseudonymisation (remplacement des identifiants directs par des codes) réduit mais n'élimine pas les obligations RGPD : les données pseudonymisées restent des données personnelles si la réidentification est possible. Pour les essais cliniques, les données doivent être traitées dans un environnement sécurisé, avec accès limité aux personnes habilitées. Une IA déployée on-premise dans l'environnement sécurisé du laboratoire ou du prestataire d'essai peut traiter ces données pseudonymisées. Un service cloud externe ne le peut pas sans analyse d'impact approfondie et garanties contractuelles renforcées.

L'AI Act s'applique-t-il aux systèmes d'IA utilisés uniquement en interne par un labo ?

Oui. L'AI Act s'applique aux systèmes d'IA mis en service sur le marché de l'UE, y compris pour un usage interne. Un laboratoire qui développe et déploie en interne un système d'IA à haut risque (pour la pharmacovigilance ou les essais cliniques) est considéré à la fois comme fournisseur et comme déployeur, cumulant les obligations des deux catégories. Il doit notamment enregistrer son système dans la base de données EU pour les systèmes d'IA à haut risque.

Déployez une IA conforme pour votre pharmacovigilance

Intelligence Privée propose ELODIE et KEVINA 32B sur infrastructure souveraine, validées selon les principes GAMP 5, conformes aux exigences de l'ANSM et de l'EMA. Détection de signaux, traitement d'ICSR, analyse bibliographique : la pharmacovigilance augmentée sans compromis sur la souveraineté.

Contacter notre équipe réglementaire →

Continuer la lecture

IA par secteur

IA en santé : HDS et conformité RGPD

Guide complet sur la conformité HDS pour les systèmes d'IA en santé.

11 min
Conformité

RGPD et IA : traitement des données personnelles

Les obligations RGPD applicables aux systèmes d'IA traitant des données personnelles.

9 min
Technique

IA et données non structurées

Comment l'IA traite les documents non structurés : PDF, emails, images, audio.

8 min