Publications

Pharmacovigilance, cosmétovigilance… comment se mettre en conformité au RGPD ? 

Publié le 2 septembre 2020

Les fabricants, les entreprises, les exploitants et les organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit (par exemple les produit sanguins, les produits cosmétiques, les produits de tatouage ou encore les aliments) ont l’obligation d’organiser une veille sanitaire permanente pour détecter, traiter et signaler les événements sanitaires indésirables liés à leur utilisation. Cette veille participe à la sécurité et à la confiance du patient et du consommateur.

Sa mise en œuvre nécessite la réalisation de traitements de données personnelles et, par conséquent, une conformité conjointe au Règlement (UE) n°2016/679 du 27 avril 2019 (Règlement Général sur la Protection des Données, RGPD), à ses grands principes, ainsi qu’aux dispositions spécifiques qui encadre les domaines de la pharmacovigilance, de la cosmétovigilance ou, de façon générale, toute activité consistant à prévenir, surveiller et évaluer les effets indésirables.

1. Quels sont les grands principes à respecter ?

1) Finalité

Les données à caractère personnel, c’est-à-dire toute information permettant d’identifier directement ou indirectement une personne physique (par exemple, le numéro attribué à la personne exposée à un événement indésirable, son âge, sa date de naissance, ses antécédents, les résultats d’examens, les informations relatives à l’identification du produit concerné, etc.), ne peuvent être collectées, utilisées et conservées dans un but précis, légal et légitime : la prévention, la surveillance, l’évaluation et la gestion des événements sanitaires indésirables telles qu’imposées par le code de la santé publique.

Elles ne peuvent pas être utilisées à d’autres fins que celles définies préalablement, par exemple pour réaliser des actions de promotion des produits.

2) Proportionnalité et de pertinence

Les données à caractère personnel doivent être pertinentes et strictement nécessaires aux équipes pour remplir leurs missions. Le collaborateur doit donc systématiquement se poser la question suivante : de quelles informations ai-je besoin pour traiter un événement sanitaire indésirable ?

Il en est de même si les données sont communiquées à un tiers. Le cas échéant, certaines informations doivent être pseudonymisées (par exemple, remplacer le nom et le prénom de la personne exposée par un numéro d’identification).

3) Durée de conservation limitée

Les données à caractère personnel ne doivent être conservées que le temps nécessaire pour satisfaire à ses obligations légales en matière de vigilances sanitaires.

En l’absence de durée légale ou réglementaire, la CNIL recommande que les données ne soient pas conservées plus de 70 ans à compter de la date du retrait du marché du médicament, du dispositif ou du produit.

4) Sécurité et confidentialité

Les données à caractère personnel ne peuvent être communiquées en interne qu’aux collaborateurs intervenant dans le processus de gestion des vigilances sanitaires et pour la gestion des réclamations consommateurs, et, le cas échéant, aux auditeurs.

Les données peuvent également être communiquées à d’autre sociétés du groupe intervenant dans la gestion des événements sanitaires indésirables, à des sous-traitants chargés du traitement des cas de vigilance, aux professionnels de santé participant au suivi de la personne exposée ou encore aux autorités sanitaires concernées (par exemple, l’agence européenne du médicament).

L’entreprise doit par ailleurs déployer toutes les mesures de sécurité nécessaires pour empêcher que les données à caractère personnel soient déformées, endommagées ou que des tiers non autorisés y aient accès (sensibilisation des collaborateurs, sécurisation des échanges, sécurisation des postes de travail, etc.). Ainsi, les données ne doivent pas être stockées sur un réseau partagé avec des collègues non concernés.

Enfin, une analyse d’impact sur la protection des données doit être réalisée pour garantir et démontrer le respect des principes du RGPD.

N’hésitez pas à nous vous rendre sur notre site pour prendre connaissance de nos formations si vous souhaitez sensibiliser vos collaborateurs à la protection et à la sécurité des données.

5) Droits des personnes

Les personnes concernées (patients, consommateurs, professionnels de santé, personne ayant notifié l’événement sanitaire indésirable, etc.) doivent être informées des traitements de données mis en œuvre à des fins de gestion des vigilances sanitaires, par exemple sous la forme d’une mention dans la politique de confidentialité du site internet de l’entreprise.

Une information individuelle doit également être remise dès la collecte des données, notamment auprès de la personne exposée à un événement sanitaire indésirable. Elle comprend a minima :

  • l’identité du responsable de traitement (le fabricant, l’entreprise, l’exploitant ou l’organisme responsable de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit),
  • les finalités du traitement (la prévention, la surveillance, l’évaluation et la gestion des événements sanitaires indésirables),
  • le caractère obligatoire ou facultatif des réponses et les conséquences d’un défaut de réponse,
  • auprès de qui les données sont communiquées, et, si ces destinataires sont situés en dehors de l’Union européenne, les garanties adoptées en ce qui concerne la protection des données à caractère personnel,
  • la durée de conservation des données.

Il faut par ailleurs décrire aux personnes leurs droits, préciser auprès de qui et comment elles peuvent les exercer (en pratique, le délégué à la protection des données) et la possibilité d’introduire une réclamation auprès d’une autorité de contrôle chargée de la protection des données.

Les personnes exposées à l’événement sanitaire indésirable ou l’ayant notifié et le professionnel de santé ayant suivi la personne exposée peuvent uniquement exercer les droits suivants : droit d’accès et de rectification des données, droit de limitation des données. Dès lors que le traitement est fondé sur le respect d’une obligation légale, elles ne peuvent pas s’y opposer, obtenir l’effacement ou la portabilité des données. Les personnes doivent en être informées préalablement au traitement de leurs données.

Il est enfin recommandé d’implémenter des mesures techniques et organisationnelles pour faciliter le traitement des demandes.

2. Quelles sont les formalités à réaliser ?

La Commission nationale de l’informatique et des libertés (CNIL) a publié un référentiel (Délib. n°2019-057 du 9 mai 2019) applicable à l’ensemble des vigilances sanitaires visées par l’arrêté du 27 février 2017 (cosmétovigilance, hémovigilance, pharmacovigilance, vigilance exercée sur les logiciels et dispositifs à finalité non strictement médicale utilisés dans les laboratoires de biologie médicale pour les examens de biologie médical, vigilance alimentaire, etc.). Ce référentiel ne s’applique toutefois pas aux veilles sanitaires mises en œuvre par les professionnels et établissements de santé ainsi que par les agences sanitaires. Il remplace l’autorisation unique AU-013 dédiée à la pharmacovigilance.

Si le fabricant, l’entreprise, l’exploitant ou l’organisme responsable de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit respecte toutes les exigences fixées dans le référentiel, une simple déclaration de conformité sur le site internet de la CNIL est nécessaire. Sinon, une demande d’autorisation doit être effectuée.

Le traitement doit par ailleurs être inscrit dans le registre tenu par le responsable de traitement et le délégué à la protection des données. DPO Consulting est notamment là pour vous accompagner en qualité de délégué à la protection des données externalisé.

N’hésitez pas à visiter notre site pour plus d’informations sur votre mise en conformité au RGPD et les services proposés par nos experts !

– Maurice Monnot