Formulaires recherche & essais cliniques
Recueil du consentement éclairé, questionnaires de screening, formulaires d'éligibilité, auto-déclarations d'événements indésirables, flux de retrait de consentement — conçus pour la recherche soumise à comité d'éthique, les études académiques et les essais cliniques industriels. Connaissance nulle, hébergement suisse, aligné sur la LRH suisse, l'ICH GCP, le règlement UE 536/2014, l'art. 89 du RGPD et les attentes HIPAA Common Rule.
La recherche sur l'être humain vit ou meurt par la confiance des participants. Une personne qui lit une fiche d'information, coche une case de consentement et répond à un questionnaire de screening accorde l'accès à des données — souvent très sensibles — sous une promesse spécifique, limitée dans le temps et révocable: utilisation pour cette étude, par cette équipe, à cette fin, avec la possibilité de se retirer à tout moment. Pourtant, beaucoup d'études capturent encore ce consentement et ce screening via des formulaires web génériques dont le fournisseur peut lire chaque réponse avant que l'investigateur principal n'ouvre le dossier.
Schweizerform a été conçu exactement pour ce problème d'admission. Chaque envoi — un consentement éclairé électronique, un questionnaire de screening, une checklist d'éligibilité, un auto-rapport de qualité de vie, une notification d'événement indésirable grave, une demande de retrait — est chiffré dans le navigateur du participant avant d'atteindre nos serveurs. Nous ne pouvons techniquement pas le lire. Pour les CHU suisses, les groupes universitaires, les essais initiés par investigateur (IIT) et les essais cliniques régulés par l'UE, cette propriété — combinée à un hébergement suisse et à une architecture alignée sur la LRH suisse, l'ICH GCP et le règlement UE 536/2014 — transforme le canal d'admission côté participant d'une vulnérabilité de conformité en un contrôle technique défendable.
À qui s'adresse cette page
Investigateurs principaux et coordinateurs d'études dans les CHU et groupes universitaires; investigateurs-promoteurs d'IIT; équipes CRO appuyant des essais industriels; personnel de comités d'éthique / IRB examinant les outils d'eConsent et d'EDC; infirmières et data managers de recherche clinique; ainsi que groupes de recherche biomédicale, registres de patients et études observationnelles sous LRH, règlement UE 536/2014, ICH GCP, RGPD (art. 89) et/ou HIPAA Common Rule.
Pourquoi les outils de formulaires génériques échouent en recherche et essais cliniques
La plupart des outils de formulaires en ligne — Google Forms, Typeform, plateformes type SurveyMonkey génériques, et même certains fournisseurs « HIPAA-compliant » — fonctionnent sur un modèle SaaS classique: le navigateur du participant envoie des données en clair via HTTPS, et le serveur du fournisseur les stocke. Ce serveur peut tout lire. Idem pour le personnel du fournisseur, ses partenaires d'intégration, quiconque compromet l'infrastructure et toute autorité signifiant un ordre légal au fournisseur.
Pour des sondages peu sensibles, c'est acceptable. Pour une étude qui couple un consentement éclairé à un screening médical, à une déclaration de statut VIH, à un questionnaire de consommation, à un PROM pédiatrique de santé mentale ou à une inscription en recherche génomique, cela crée un problème très spécifique et évitable: des données de santé identifiables, de qualité étude, résident en clair sur un serveur tiers, généralement hors de Suisse et de l'EEE.
- Un formulaire de consentement capture une signature électronique, un nom complet et une date de naissance; la base du fournisseur contient un lien lisible identifiant↔étude avant que l'IP n'examine le dossier
- Un questionnaire de screening enregistre antécédents, médication actuelle et antécédents familiaux; chaque réponse vit sur l'infrastructure du fournisseur et est indexée par ses analytics
- Un instrument de recherche comportementale couvre consommation, comportement sexuel, symptômes psychiques ou violences domestiques; ce contenu est sauvegardé et souvent traité en cloud hébergé aux États-Unis
- Un auto-rapport d'événement indésirable décrit un événement clinique non aveuglé — hospitalisation, narratif d'effet secondaire — et est consultable par le support du fournisseur
- Un téléversement de document accepte une copie d'ID, une lettre du médecin référent ou une ordonnance scannée; le fichier est antivirussé par le fournisseur, mis en cache CDN et stocké en clair dans une région cloud US
- Un sujet retire son consentement (art. 9 LRH; art. 7(3) RGPD); l'étude supprime le dossier dans ses systèmes, mais les sauvegardes et analytics du fournisseur conservent toujours une copie lisible
Les données de recherche sont catégoriquement sensibles — et des règles spécifiques s'appliquent
La Loi suisse relative à la recherche sur l'être humain (LRH) et ses ordonnances traitent les données de recherche sur l'humain comme une catégorie réglementée nécessitant l'autorisation d'une commission cantonale d'éthique, un consentement écrit, la pseudonymisation et des mesures techniques et organisationnelles proportionnées. Le règlement UE 536/2014 ajoute des exigences de confidentialité, d'intégrité et de piste d'audit. L'art. 89 du RGPD prévoit des dispositions spécifiques pour la recherche — sous réserve de garanties effectives, dont la pseudonymisation. Un fournisseur de formulaires capable de lire un consentement et un screening identifiables est plus difficile à défendre face à une commission, un inspecteur ou un audit promoteur que celui qui ne le peut pas.
Comment Schweizerform préserve la confidentialité tout au long du cycle de vie de l'étude
Schweizerform est une plateforme de formulaires chiffrés de bout en bout à connaissance nulle. Le chiffrement se produit dans le navigateur du participant, avant que les données ne quittent l'appareil. Seuls les détenteurs du Code d'accès du formulaire peuvent déchiffrer les envois. Nous — le fournisseur — ne le pouvons pas.
Vous générez un formulaire d'étude et un Code d'accès
Quand vous créez un consentement électronique, un screening, un rapport d'EI ou une demande de retrait, Schweizerform génère une paire de clés et un Code d'accès. La clé publique vit dans le formulaire; le Code d'accès reste à l'équipe — typiquement IP plus coordinateur d'étude ou data manager. Nos serveurs ne le voient jamais.
Le participant soumet depuis n'importe quel appareil
Quand le participant remplit, son navigateur chiffre chaque champ — signature, identifiants, réponses, texte libre, documents — avec un chiffrement symétrique fort, puis encapsule la clé symétrique avec la clé publique du formulaire. Nos serveurs reçoivent des blobs chiffrés qu'ils ne peuvent pas déchiffrer.
Votre équipe d'étude déchiffre dans le navigateur
Quand le coordinateur ou l'IP ouvre l'envoi, son navigateur récupère le blob, désencapsule la clé symétrique avec le Code d'accès et déchiffre localement. Le clair ne touche jamais nos serveurs; il atterrit sur le poste, prêt à être codé dans la base d'étude, l'eCRF/EDC ou le classeur réglementaire.
La confidentialité est imposée par l'architecture, pas par contrat
Comme nous ne voyons jamais le clair, nous ne pouvons pas être contraints à le produire, l'exposer ou le traiter pour des analytics. Les accords de traitement restent en filet; le contrôle principal est cryptographique — et cela rejoint directement les attentes en mesures techniques et organisationnelles de la LRH, du RGPD art. 32/89 et de l'ICH GCP §5.5.
Cas d'usage concrets en recherche et essais cliniques
Consentement éclairé électronique (eConsent)
Le consentement éclairé est le document fondateur de toute recherche sur l'humain. ICH GCP §4.8, la LRH et le règlement UE 536/2014 exigent qu'il soit obtenu librement, par écrit, après information adéquate, avec remise d'une copie. Un flux Schweizerform eConsent affiche la fiche d'information, capture la signature datée, enregistre la version du modèle de consentement et renvoie une confirmation au participant — tout cela chiffré de bout en bout avant qu'un serveur de promoteur ne voie un identifiant associé à une signature.
Screening, éligibilité et questionnaires de run-in
Les formulaires de screening rassemblent une histoire médicale concentrée: antécédents, médication actuelle, allergies, participations antérieures à des essais, antécédents familiaux. Un formulaire chiffré garde ce profil sous le contrôle de l'équipe avant l'inclusion formelle, sans empêcher l'application des critères d'inclusion / exclusion après déchiffrement.
Résultats rapportés par le patient (PROs / PROMs)
Beaucoup d'études dépendent d'auto-rapports réguliers — échelles de douleur, de dépression / anxiété (PHQ-9, GAD-7), de qualité de vie (EQ-5D, SF-36), journaux de symptômes. Des envois chiffrés répétés gardent les données longitudinales hors du stockage en clair du fournisseur et hors des régions cloud US, tout en permettant l'analyse après déchiffrement dans l'environnement de l'étude.
Événements indésirables graves et auto-rapports de sécurité
Les sujets signalent parfois des événements de sécurité directement — via portail ou formulaire fourni — avant la prochaine visite. Un formulaire à connaissance nulle permet à l'équipe de capturer un narratif clinique non aveuglé sans l'exposer aux scanners de contenu ni aux analytics du fournisseur, tout en remplissant les obligations ICH GCP / CTR de pharmacovigilance après déchiffrement sur sa propre infrastructure.
Retrait du consentement et demandes de suppression
Les sujets peuvent se retirer à tout moment (LRH art. 9; RGPD art. 7(3)). Quand la demande de retrait passe par un formulaire chiffré, l'équipe peut agir et documenter sans que le fournisseur ne conserve une trace lisible de qui s'est retiré, quand et pourquoi. Pour les données déjà chiffrées, la destruction de clé fournit une voie d'effacement cryptographique propre, complémentaire à la suppression dans l'eCRF.
Registres de patients et études observationnelles
Registres maladie-spécifiques et cohortes observationnelles longues collectent des données de santé identifiables sur des années. Un canal Schweizerform garantit que le dossier longitudinal est chiffré à la frontière, même quand le registre repose dans un entrepôt de recherche — utile pour les registres transfrontaliers qui mutualisent des données suisses et UE.
Consentement génétique et biobanque
Les consentements en biobanque et recherche génomique superposent souvent plusieurs autorisations: stockage, usage secondaire, recontact, retour de résultats, retrait. Chiffrer la couche de consentement maintient les choix granulaires et les identifiants associés hors du périmètre de lecture du fournisseur — particulièrement important pour les cohortes biobanques transfrontalières et les dépôts de biobanque suisses régis par la LRH.
Formulaires d'équipe: déviations de protocole, corrections de données source
Les formulaires internes — rapports de déviation de protocole, constats de monitoring, corrections de données source — bénéficient aussi d'une admission chiffrée. Ils contiennent identifiants des sujets, descriptions narratives d'incidents et références à des pages de dossier médical. Les router via un canal à connaissance nulle garde les détails pertinents pour l'audit hors du stockage d'un SaaS générique.
Ce que voient sujets, promoteurs et auditeurs
| Vue | Fournisseur de formulaires générique | Schweizerform |
|---|---|---|
| Participant remplissant le formulaire | Réponses en clair, stockées sur cloud fournisseur | En clair dans son propre navigateur, chiffré avant envoi |
| Personnel / support du fournisseur | Peut lire consentements, screenings, narratifs d'EI | Ne peut pas déchiffrer; ne voit que des blobs chiffrés |
| Analytics / pipelines ML du fournisseur | Peut indexer et traiter le contenu | Hors du chemin; chiffré uniquement |
| Assignation / demande d'accès au fournisseur | Consentements et screenings en clair produisibles | Chiffré uniquement; inutile sans le Code d'accès |
| Fuite chez le fournisseur | Profils de santé identifiables exposés en clair | Chiffré exposé; le contenu reste illisible |
| Retrait du sujet | Le fournisseur doit s'appuyer sur le contrat; sauvegardes possibles | La destruction de clé rend les envois antérieurs cryptographiquement inaccessibles |
Contexte réglementaire: LRH, ICH GCP, règlement UE 536/2014, RGPD art. 89, Common Rule, HIPAA
La recherche sur l'être humain en Suisse est régie par la Loi fédérale relative à la recherche sur l'être humain (LRH, en vigueur depuis 2014) et ses ordonnances (OClin, ORH), avec supervision Swissmedic pour les essais cliniques de médicaments et de dispositifs et commissions cantonales d'éthique (réseau swissethics) pour l'examen éthique. La LRH exige consentement écrit, pseudonymisation et protection des données proportionnée; les commissions d'éthique attendent de plus en plus que les outils d'eConsent et d'EDC démontrent la confidentialité by design.
Les essais UE de médicaments relèvent du règlement 536/2014, administré via CTIS, avec des exigences de confidentialité et d'intégrité ajoutées au RGPD. ICH GCP E6(R3) — référence GCP actuelle — fixe les principes essentiels en matière d'intégrité des données, de systèmes informatisés et de pistes d'audit (§3, §5.5). L'art. 89 RGPD prévoit des garanties spécifiques pour la recherche scientifique — conditionnées par des garanties réelles dont la pseudonymisation. Pour des études financées ou collaboratives avec les États-Unis, la Common Rule (45 CFR 46) et, lorsque des covered entities sont impliquées, HIPAA (45 CFR 164.514) s'appliquent — cette dernière exigeant dé-identification ou data-use agreement formel pour les Limited Datasets.
Le chiffrement est une garantie, pas tout le cadre
Schweizerform fournit une couche technique forte de confidentialité pour l'admission. Votre étude a toujours besoin d'un protocole approuvé, d'une autorisation de commission/IRB, d'une brochure investigateur, d'une fiche d'information participant, d'un plan de gestion des données documenté, de la validation des systèmes informatisés le cas échéant (ICH GCP §5.5 / 21 CFR Part 11 si FDA-régulé), d'une piste d'audit et d'une durée de conservation définie. Le formulaire chiffré couvre la surface d'admission côté participant; protocole, DMP et système qualité font le reste.
Fonctionnalités pertinentes pour les études cliniques
- Chiffrement de bout en bout à connaissance nulle sur chaque envoi — aucun accès en lecture du fournisseur au consentement, screening, PRO, EI
- Téléversements chiffrés de documents et d'images — lettres de médecin référent, dossiers antérieurs, pièces d'identité, ordonnances, photos de dispositifs auto-administrés
- Formulaires multilingues (EN / DE / FR / IT) prêts — essentiels pour les sites multicantonaux suisses et les essais multipays UE
- Codes d'accès par formulaire — par étude, bras ou centre
- Hébergement suisse aligné nLPD — les payloads de réponse ne quittent pas la Suisse
- Journal d'audit des déchiffrements (qui a ouvert quoi, quand) sans exposer le contenu — utile pour les attentes ICH GCP de piste d'audit
- Export de données structurées après déchiffrement — pour eCRF/EDC, entrepôt de registre ou environnement statistique
- Plan gratuit pour qu'un investigateur-promoteur pilote un eConsent ou un screening avant un déploiement à l'échelle du centre ou de l'essai
Objections fréquentes
« Notre fournisseur d'EDC offre déjà l'eConsent. »
Les plateformes EDC promoteur conviennent bien aux participants randomisés déjà identifiés. Elles sont en général faibles pour le premier screening (avant attribution d'un numéro), pour les IIT à budget académique et pour l'admission observationnelle / registre. Un formulaire à connaissance nulle se place au point d'entrée participant et complète l'EDC plutôt que de le remplacer.
« Comment cela s'articule avec 21 CFR Part 11 et ICH GCP §5.5 ? »
Schweizerform fournit une couche cryptographique de confidentialité pour l'admission; ce n'est pas un eClinical clé en main validé. Pour les études FDA / Part 11, les promoteurs utilisent typiquement Schweizerform pour l'admission côté participant (eConsent, screening, PROs) puis transcrivent les données vérifiées dans un eCRF/EDC validé sous leur cadre 21 CFR Part 11 / ICH GCP §5.5, avec procédures documentées de flux, piste d'audit et SDV.
« Si nous perdons le Code d'accès, les envois sont perdus. »
Exact, et voulu. Pratique recommandée: garde documentée — Code d'accès scellé, partagé entre l'IP et un coordinateur, escrowé selon la politique de sécurité de l'institution, ou réparti entre IP et data manager avec HSM. La procédure évite la défaillance d'une seule personne tout en préservant la propriété que le fournisseur ne peut être contraint de produire ce qu'il ne peut lire.
« Notre commission d'éthique / IRB voudra savoir exactement ce que voit le fournisseur. »
Tant mieux — c'est précisément ce que cette architecture permet de répondre proprement. Le fournisseur voit des blobs chiffrés et des métadonnées de haut niveau (ID de formulaire, horodatage, taille du payload). Il ne voit ni champs, ni signatures, ni identifiants, ni contenus de documents. C'est documentable directement dans le DMP et dans la soumission au comité.
« Nos participants ne sont pas techniques — sauront-ils l'utiliser ? »
Pas d'installation côté participant. Le sujet clique un lien, lit la fiche d'information, coche les consentements, remplit le questionnaire et envoie. Le chiffrement est automatique dans le navigateur; l'expérience est celle d'un formulaire web ordinaire, dans la langue choisie. Seule l'équipe doit apprendre quelque chose — généralement une présentation de 30 minutes lors de la visite d'initiation du centre.
Déployer un canal d'admission Schweizerform pour une étude
Choisir un premier formulaire à ROI clair
Premiers choix courants: un screening autonome pour un IIT, un flux eConsent pour une étude observationnelle, ou un PROM récurrent pour une cohorte longitudinale. Remplacer le flux papier-courrier ou outil générique par un seul lien de formulaire chiffré que le centre peut partager avec les candidats.
Définir la garde de la clé et la documenter dans le DMP
Décider qui détient le Code d'accès (p. ex. IP plus data manager). Documenter la procédure dans le plan de gestion des données, la référencer dans la soumission au comité d'éthique / IRB, et tester la récupération depuis l'escrow avant la première soumission live.
Traduire les textes côté participant
Pour une étude multisite suisse, généralement DE / FR / IT / EN. Le même formulaire s'affiche dans chaque langue et reste chiffré de bout en bout — la fiche d'information peut être intégrée inline, version-stamp à l'appui, à côté de la capture du consentement.
Mettre à jour le parcours du participant
Mettre à jour le matériel de recrutement, la fiche d'information et les SOP de screening / consentement pour pointer vers le formulaire chiffré. Remplacer les flux ad hoc papier-scan par un seul lien sécurisé par activité d'étude.
Mesurer et étendre
Après la première cohorte, comparer taux de complétion du consentement, délai screening↔inclusion, densité de queries dans l'eCRF et nombre de re-consents par rapport au canal historique. Étendre à d'autres activités — PROs, auto-rapports d'EI, retrait — quand le flux principal est stable.
Conclusion
La recherche sur l'humain promet déjà aux participants un type très spécifique de confidentialité — bornée par le protocole, le formulaire de consentement et l'autorisation du comité. Un fournisseur de formulaires capable de lire chaque champ d'un eConsent, chaque réponse de screening et chaque narratif d'EI, aussi soigné soit son UI, est une dépendance d'externalisation que comités, promoteurs et inspecteurs interrogeront chaque année plus fortement, à mesure qu'ICH GCP E6(R3) et le règlement UE 536/2014 poussent vers des flux de données démontrés contrôlés.
Schweizerform offre une réponse directe: chiffrement de bout en bout à connaissance nulle sur chaque formulaire, hébergement suisse, et une posture alignée sur les attentes LRH, ICH GCP, règlement UE 536/2014 et RGPD art. 89. Pas de mise à niveau payante pour la sécurité. Pas de dépendance cloud US pour les données de réponse. Aucune copie lisible par un tiers du consentement, du profil de screening ou de l'auto-rapport de sécurité d'un participant sur un serveur que l'équipe d'étude ne contrôle pas.
Commencez avec un seul formulaire eConsent ou de screening en plan gratuit. Hébergement suisse, chiffrement à connaissance nulle et support EN / DE / FR / IT complet — sans carte bancaire.
Avertissement: Cette page est de l'information générale et du contenu marketing, pas un conseil juridique, réglementaire, clinique ou de conformité. Les références à la LRH suisse, à l'OClin / ORH, à Swissmedic, à swissethics, au règlement UE 536/2014, à CTIS, à ICH GCP E6(R3), au RGPD UE (art. 32, art. 89), à la nLPD, à la Common Rule (45 CFR 46), à HIPAA (45 CFR 164) et à 21 CFR Part 11 sont résumées au niveau conceptuel et soumises à interprétation juridictionnelle, à l'autorisation propre à chaque étude et à de futures évolutions réglementaires. La responsabilité en matière de protocole, d'autorisation éthique / IRB, de procédures de consentement, de validation des systèmes informatisés, de plan de gestion des données et de pharmacovigilance reste du promoteur, de l'investigateur-promoteur, de l'IP et de l'institution. Consultez un conseil suisse ou UE en recherche clinique, un spécialiste des affaires réglementaires et un délégué à la protection des données avant toute décision de conformité ou d'achat.