
Décryptage
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
La Cnil a lancé une consultation sur deux projets de référentiel relatifs aux traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès précoce et d’une autorisation d’accès compassionnel.
Ces référentiels précisent le cadre juridique, issu du RGPD et des dispositions nationales, applicable aux traitements de données à caractère personnel constitués par les laboratoires qui assurent l’exploitation de médicaments disposant d’une autorisation d’accès précoce (AAP) ou d’une autorisation d’accès compassionnel (AAC) et ayant pour finalités la mise à disposition de médicaments sous autorisation d’AAP ou AAC et le suivi des patients traités par ces médicaments dans le cadre d’une telle autorisation. Ces référentiels concernent des traitements de données à caractère personnel relatives à des personnes résidant en France (patient, personne affectée, professionnel de santé), quel que soit leur lieu d’établissement. Dans l’hypothèse où le laboratoire exploitant un médicament disposant d’AAC ou d’une AAC, ne serait pas établi sur le territoire de l’Union européenne, il est tenu de désigner par un mandat écrit un représentant établi en France conformément à l’article 27 du RGPD.
Pour le référentiel AAC, ce denier vise les traitements de données à caractère personnel relatifs au suivi d’un patient traité par un médicament disposant d’une autorisation temporaire d’utilisation nominative en cours ; les traitements de données à caractère personnel relatifs au suivi d’un patient traité par un médicament disposant d’une autorisation d’accès compassionnel conformément au deuxième alinéa du II de l’article L. 5121-12-1 du code de la santé publique (CSP), aussi appelée autorisation d’accès compassionnel très précoce. En revanche, il n’est pas applicable aux traitements relatifs au suivi d’un patient traité par un médicament disposant d’une AAC conformément au premier alinéa du II de l’article L. 5121-12-1 du CSP (accès compassionnel lorsqu’aucune recherche impliquant la personne humaine n’est en cours).
Après avoir effectué une déclaration de conformité aux référentiels réalisée auprès de la Cnil, le responsable de traitement peut mettre en œuvre un traitement de données à caractère personnel à des fins de mise à disposition d’un médicament sous autorisation d’accès précoce ou d’accès compassionnel et de suivi des patients s’il est strictement conforme au référentiel. En cas de non-compliance avec l’ensemble des exigences d’un référentiel, le responsable de traitement devra solliciter une autorisation spécifique auprès de la Cnil, conformément aux dispositions de l’article 66 III de la loi « Informatique et Libertés » Les traitements de données à caractère personnel mis en œuvre dans le cadre du référentiel doivent également être inscrits dans le registre des activités de traitement prévu à l’article 30 du RGPD.
Responsable de traitement & sous-traitants
Dans le cadre du référentiel, le responsable de traitement est le laboratoire titulaire des droits d’exploitation du médicament avec Autorisation d’Accès Précoce (AAP)/ ou Autorisation d’Accès Compassionnel (AAC).

Finalités et base légale
Un traitement de données à caractère personnel mis en œuvre dans le cadre d’une AAP ou d’une AAC a pour finalité de permettre la mise à disposition du médicament au patient, dès l’obtention de l’autorisation, ainsi que leur suivi.
Le traitement de données à caractère personnel vise à permettre :
- la collecte, l’enregistrement, l’analyse, le suivi, la documentation, la transmission et la conservation des données relatives à l’accès, à l’initiation, au suivi et à l’arrêt des prescriptions de médicaments dans le cadre défini par l’article L. 5121-12-1 du CSP ;
- la gestion des contacts avec les médecins prescripteurs et les pharmaciens dispensateurs d’un médicament dans le cadre d’une AAP/AAC.

Données collectées

Destinataires des informations

Durées de conservation
La conservation et l’archivage des données doivent être réalisés dans des conditions de sécurité conformes aux dispositions de l’article 32 du RGPD.

Information des personnes
Le responsable de traitement :
- prend les mesures appropriées pour fournir aux personnes concernées et/ou leurs représentants légaux une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ;
- est tenu de mettre à disposition sur son site web les notices d’information relatives au traitement mis en œuvre.

Dans le cas où des données à caractère personnel collectées conformément au présent référentiel font l’objet d’une réutilisation à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, une nouvelle information individuelle des personnes concernées est requise, sauf si :
- la personne concernée dispose déjà des informations prévues aux articles 13 ou 14 du RGPD concernant ce traitement ultérieur ;
- l’information délivrée lors de la collecte des données dans le cadre d’une autorisation d’accès compassionnel/accès précoce prévoit la possibilité de réutiliser les données, et renvoie à un dispositif spécifique d’information auquel les personnes concernées pourront se reporter préalablement à la mise en œuvre de chaque nouveau traitement de données.
Droits des personnes

Transfert des données en dehors de l’Union européenne
Les données indirectement identifiantes des patients et les données directement identifiantes des professionnels de santé peuvent faire l’objet d’un transfert hors de l’Union européenne si les conditions suivantes sont réunies :
- -les dispositions relatives aux destinataires des données sont respectées ;
- le transfert est strictement nécessaire à la mise à disposition du médicament sous autorisation d’accès compassionnel et le suivi des patients traités par un médicament faisant l’objet d’une telle autorisation.
En outre, le transfert peut être effectué dans le cadre de la déclaration de conformité au présent référentiel lorsque l’une des conditions suivantes, prévues au chapitre V du RGPD, est remplie :
- le transfert s’effectue à destination d’un pays ou d’une organisation internationale reconnu par la Commission européenne comme assurant un niveau de protection adéquat, conformément à l’article 45 du RGPD (décision d’adéquation) ;
- le transfert s’effectue moyennant des garanties appropriées, listées à l’article 46.2, du RGPD (notamment : clauses contractuelles types approuvées par la Commission européenne, règles d’entreprise contraignantes, code de conduite, mécanisme de certification), et, le cas échéant, de mesures supplémentaires si la législation du pays dans lequel les données sont exportées fait obstacle au respect des garanties contractuelles ; en l’absence d’une décision d’adéquation ou de garanties appropriées, le transfert peut être fondé sur l’une des exceptions prévues à l’article 49 du RGPD sous réserve que les conditions particulières, d’interprétation stricte, énoncées dans cet article s’appliquent.
Le responsable de traitement doit avoir préalablement informé les personnes concernées du transfert de leurs données à caractère personnel vers des pays tiers à l’Union européenne, de l’existence ou de l’absence d’une décision d’adéquation ou de garantie appropriée, et enfin des moyens d’en obtenir une copie conformément aux articles 13.1.f), et 14.1.f) du RGPD.
Tout accès distant aux données depuis l’extérieur du territoire de l’Union européenne est considéré comme un transfert.
Sécurité
Le responsable du traitement définit, met en œuvre et contrôle l’application d’une politique de sécurité qui doit notamment décrire les mesures répondant à l’exigence de sécurité du traitement prévu par l’article 32 du RGPD.
Dans le contexte du présent référentiel, le responsable de traitement et ses sous-traitants, doivent adopter les mesures techniques et organisationnelles suivantes

Ces mesures ne sont pas exhaustives :
- devront être complétées par les éventuelles mesures qui auront été jugées nécessaires lors de la réalisation de l’analyse d’impact sur la protection des données (AIDP) ;
- devront être réévaluées au regard des risques (art 5-1 f) et art 32 du RGPD).
Analyse d’impact relative à la protection des données
Le RT devra réaliser une analyse d’impact relative à la protection des données (AIPD), en se rapportant notamment aux principes contenus dans ce référentiel. Elle devra être réexaminée et mise à jour régulièrement. Conformément à l’article 36 du RGPD, le responsable de traitement doit consulter la CNIL préalablement à la mise en œuvre du traitement si, à l’issue de l’analyse d’impact, il ne parvient pas à identifier et à mettre en place des mesures suffisantes pour réduire les risques à un niveau acceptable (risque résiduel restant trop élevé).