Protocole IRB de re-contact : guide sur le chiffrement réversible
Les IRB demandent désormais plus qu'un plan de dépersonnalisation. Ils exigent aussi un protocole de re-contact. Vous devez prouver deux choses. D'abord, que des tiers non autorisés ne peuvent pas accéder aux identités réelles des patients. Ensuite, que votre équipe peut le faire — quand l'approbation éthique l'autorise.
Cette double règle vient de l'expérience concrète. Des études longues ont produit des résultats urgents en cours d'essai. Mais les données étaient bloquées. Il n'existait aucun chemin de retour. Cela a nui aux patients. Les régulateurs l'ont remarqué.
Découvrez comment nous soutenons cela dans notre vue d'ensemble conformité et nos pratiques de sécurité.
Pourquoi les IRB ont besoin d'une porte à deux sens
Les amendes RGPD ont augmenté de 56 % en 2024 (DLA Piper Annual Report 2025). L'article 89 du RGPD répond à cette tendance. Il exige la pseudonymisation — pas la suppression totale — pour les données de recherche. La règle admet que la recherche a parfois besoin d'un retour vers le dossier réel.
Un article NEJM AI de 2024 a étudié la dépersonnalisation par LLM. Il a trouvé un problème central. Les notes cliniques anonymisées restent liées à l'identité du patient par les mêmes patterns cliniques qui les rendent utiles. L'article recommande : pseudonymisation avec un plan de gestion des clés documenté. Cela garde le chemin de re-contact ouvert.
Votre IRB doit voir les deux côtés de cette porte. Qui peut re-identifier ? Dans quelles conditions ? Qui détient la clé ? Qu'est-ce qui est enregistré ?
Comment le système fonctionne
AES-256-GCM tourne en mode déterministe. Chaque ID patient produit toujours le même jeton. « Patient_001 » donne la même sortie à chaque fois. Ce jeton apparaît à la ligne de base, à 3 mois, et à l'analyse finale. L'équipe suit chaque patient uniquement via le jeton. Aucun nom réel n'entre dans les fichiers de travail.
La séparation des clés respecte l'exigence de l'EDPB. L'équipe de recherche détient les données chiffrées. Un dépositaire de données détient la clé dans un système séparé. Aucune partie ne peut re-identifier seule. L'équipe ne peut pas déchiffrer. Le dépositaire ne peut pas relier les clés aux patients sans les données.
Quand un re-contact est approuvé, le dépositaire applique la clé aux dossiers désignés. Chaque étape est enregistrée : quels dossiers, quand, qui a donné l'approbation. Ce journal est votre preuve de conformité à l'article 89 du RGPD.
Un exemple concret
Un centre d'oncologie gère une cohorte de 5 000 patients dans trois pays. Chaque site travaille uniquement avec des jetons. Le délégué à la protection des données du centre coordinateur détient la clé.
En milieu d'étude, un scan signale 47 patients à risque élevé. Le comité d'éthique approuve le re-contact. Le délégué déchiffre ces 47 dossiers. L'équipe soignante contacte ces 47 patients. Les 4 953 autres restent protégés sur les trois sites.
La clé ne bouge pas. Les données restent chiffrées. Seuls ces 47 dossiers sont jamais liés à des noms réels.
Pour en savoir plus sur la pseudonymisation vs. l'anonymisation totale, consultez notre guide sur la dépersonnalisation réversible.