CNIL : Référentiel Protection des données à caractère personnel & accès précoce /accès compassionnel

Posted by

Traitements de données à caractère personnel mis en œuvre dans le cadre d’une autorisation d’accès précoce et d’une autorisation d’accès compassionnel.

Eléonore Scaramozzino, Avocate Partenaire de Constellation Avocats

Délibération no 2022-107 du 22 septembre 2022 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès précoce : JORF 10.11.2022
Délibération no 2022-106 du 22 septembre 2022 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès compassionnel : JORF 10.11.2022

La CNIL a publié deux référentiels relatifs aux traitements de données à caractère personnel mis en œuvre dans le cadre d’une autorisation d’accès précoce (article L. 5121-12 du CSP) et d’une autorisation d’accès compassionnel (article L. 5121-12-1 du CSP).

Ce référentiel encadre exclusivement les traitements de données à caractère personnel mis en œuvre par l’entreprise qui assure l’exploitation du médicament disposant d’une autorisation d’accès précoce, ci-après le responsable de traitement et ayant pour finalités la mise à disposition du médicament sous autorisation d’accès précoce et le suivi des patients traités par un médicament dans le cadre d’une telle autorisation.

Le responsable de traitement est l’entreprise qui assure l’exploitation du médicament disposant d’une autorisation d’accès précoce et d’accès compassionnel et qui met en œuvre un traitement de données personnelles dont la finalité est la mise à disposition du médicament sous AAP ou AAC et le suivi des patients traités par un médicament dans le cadre de ces autorisations.

Déclaration de conformité au référentiel 

Les responsables de traitement qui réalisent auprès de la CNIL une déclaration de conformité au référentiel pour les autorisations Accès Précoce ou Accès Compassionnel, sont autorisés à mettre en œuvre un traitement de données à caractère personnel à des fins de mise à disposition d’un médicament sous autorisation d’accès précoce (AAP) ou autorisation d’accès compassionnel (AAC) et de suivi des patients s’il est strictement conforme au référentiel. Si les exigences des référentiels ne sont pas respectées, les responsables de traitement devront obtenir une autorisation spécifique, de la CNIL conformément aux dispositions de l’article 66 III de la loi « informatique et libertés ».

 Base légale du traitement

Les obligations légales imposées au responsable de traitement, notamment à l’article L. 5121-12, ainsi qu’aux articles R. 5121-68 et suivants du CSP pour les AAP et article L. 5121-12-1 ainsi qu’aux articles R. 5121-74 et suivants du CSP pour les AAC, sont retenues comme bases légales du traitement de données à caractère personnel conformément aux dispositions de l’article 6.1.c du RGPD.

La collecte de données sensibles est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ; elle a notamment pour objectif de garantir le respect de normes élevées de qualité et de sécurité des soins de santé et des médicaments, conformément aux dispositions de l’article 9.2.i du RGPD et de l’article 66 de la loi « informatique et libertés ».

. Données à caractère personnel concernées

En fonction de l’objectif poursuivi par le traitement de données à caractère personnel, du médicament concerné et des situations, conformément au protocole d’utilisation thérapeutique et de recueil des données (PUT-RD) défini par la HAS et élaboré, le cas échéant, en lien avec l’ANSM, pour l’AAP et au PUT-SP défini par l’ANSM, pour l’AAC, le responsable de traitement peut collecter et traiter :

Le référentiel précise que les zones de saisie libre (« bloc-notes ») sont à exclure. Concernant, plus particulièrement, les données relatives à la qualité de vie collectées par l’intermédiaire des questionnaires directement auprès des patients, seuls les questionnaires validés par les autorités compétentes peuvent être utilisées.

Accès aux données collectées et destinataires

Les personnels des établissements participant à la prise en charge de la personne, dans la stricte limite des missions qui leur sont confiées peuvent collecter les données.

Pour les AAP et AAC

L’authentification des professionnels de santé prenant en charge la personne pour le recueil électronique des données devra faire intervenir les services PASREL et PLAGE de l’Agence technique de l’information sur l’hospitalisation (ATIH).

Seuls les membres de l’équipe de soins sont autorisés à consulter les données directement identifiantes des patients concernés collectés dans le cadre de leur suivi sanitaire (respect du secret médical).

Sous-Traitance

Conservation des données

Information des personnes

Note d’information remise par le médecin prescripteur

Conformément à l’article L. 5121-12 du CSP pour les AAP et l’article L 5121-12-1 du CSP, le médecin prescripteur remet au patient et/ou à ses représentants légaux une note d’information sur le traitement prescrit sous AAP, conforme aux dispositions des articles 13 et, le cas échéant, 14 du RGPD, ainsi que par les articles 69 et 70 de la loi « informatique et libertés ». En cas d’acceptation des soins, les articles L. 5121-12 et suivants et R. 5121-70 du CSP et suivants pour l’AAC et l’article L 5121-12-1 du CSP et suivants et R. 5121-74 et suivants du CSP, imposent le recueil de données à caractère personnel relatives au suivi du patient. Le patient peut être assisté par la personne de confiance qu’il a désignée en application de l’article L. 1111-6 du CSP. Une note d’information (articles 13/14 RGPD et articles 69 et 70 LIL) devra également être remise aux les personnes en lien avec le patient, affectées par la prise du médicament. Á cette occasion, le professionnel informe le patient et/ou ses représentants légaux des conséquences que cette information aura vis-à-vis du secret des informations le concernant.

Le responsable de traitement est tenu de mettre à disposition sur son site web les notices d’information relatives au traitement de données à caractère personnel mis en œuvre qui devront être conformes aux dispositions du RGPD. Si une plateforme électronique est utilisée pour recueillir les données, les professionnels de santé doivent être informés lors de leur première connexion à cette plateforme.

Information sur la réutilisation des données : portail de transparence sur le site internet

En cas de réutilisation des données pour la recherche, l’étude ou l’évaluation dans le domaine de la santé, une nouvelle information individuelle des personnes concernées est requise, sauf si :

  • La personne concernée dispose déjà des informations prévues aux articles 13 ou 14 du RGPD concernant ce traitement ultérieur ;
  • L’information délivrée lors de la collecte des données dans le cadre d’une autorisation d’accès précoce prévoit la possibilité de réutiliser les données, et renvoie à un dispositif spécifique d’information, comme un portail de transparence disponible sur un site web, auquel les personnes concernées pourront se reporter préalablement à la mise en œuvre de chaque nouveau traitement de données

 Droits des personnes

Les personnes concernées par le traitement et/ou leurs représentants légaux disposent du droit d’accès, du droit de rectification, du droit à la limitation. Conformément à l’article L. 1111-6 du CSP, le patient peut être accompagné dans ses démarches par la personne de confiance qu’il a désignée. Le traitement est fondé sur le respect d’une obligation légale et poursuit un objectif d’intérêt public dans le domaine de la santé publique, dès lors les personnes concernées ne disposent ni du droit d’opposition, ni du droit à l’effacement, ni du droit à la portabilité des données. Les personnes concernées en sont informées préalablement. Le patient peut exercer ses droits auprès du professionnel de santé intervenant dans sa prise en charge ou par l’intermédiaire du médecin de son choix. Il peut également exercer ses droits directement auprès du responsable de traitement. Dans cette hypothèse, le patient est informé des conséquences sur la confidentialité de ses données. Pour les personnes en lien avec le patient et qui sont affectées par la prise du médicament, ces droits s’exercent dans des conditions compatibles avec les dispositions relatives au secret médical et professionnel. Pour les professionnels de santé intervenant dans la prise en charge du patient, leurs droits s’exercent directement auprès du responsable de traitement.

Transfert des données en dehors de l’Union européenne

Les données indirectement identifiantes des patients, des personnes en lien avec le patient qui sont affectées par la prise du médicament et les données directement identifiantes des professionnels de santé ne peuvent faire l’objet d’un transfert hors de l’Union européenne que si les conditions suivantes sont réunies :

  • Les exigences concernant les destinataires des données sont respectées ;
  • Le transfert est strictement nécessaire à la mise à disposition du médicament sous AAP/AAC ;
  • Le suivi des patients traités par un médicament faisant l’objet d’une telle autorisation.
  • Le transfert s’effectue à destination d’un pays ou d’une organisation internationale reconnu par la Commission européenne comme assurant un niveau de protection adéquat, conformément à l’article 45 du RGPD (décision d’adéquation) ;
  • Le transfert s’effectue moyennant des garanties appropriées, listées à l’article 46.2, du RGPD (notamment : clauses contractuelles types approuvées par la Commission européenne, règles d’entreprise contraignantes, code de conduite, mécanisme de certification) et, le cas échéant, de mesures supplémentaires si la législation du pays dans lequel les données sont exportées fait obstacle au respect des garanties contractuelles ;
  • En l’absence d’une décision d’adéquation ou de garanties appropriées, le transfert peut être fondé sur l’une des exceptions prévues à l’article 49 du RGPD)

Le responsable de traitement doit avoir préalablement informé les personnes concernées du transfert de leurs données à caractère personnel vers des pays tiers à l’Union européenne, de l’existence ou de l’absence d’une décision d’adéquation ou de garanties appropriées, et enfin des moyens d’en obtenir une copie conformément aux articles 13.1.f et 14.1.f du RGPD.

Sécurité

Le responsable du traitement définit, met en œuvre et contrôle l’application d’une politique de sécurité qui doit notamment décrire les mesures répondant à l’exigence de sécurité du traitement prévu par l’article 32 du RGPD. Le référentiel identifie une série de mesures techniques et organisationnelles à adopter par le responsable de traitement et ses sous-traitants. Ces mesures doivent être lues à la lumière des autres réglementations applicables à la sécurité des systèmes d’information en santé, notamment la politique générale de sécurité des systèmes d’information en santé (PGSSI-S).

Par ailleurs, elles doivent être complétées par les éventuelles mesures qui auront été jugées nécessaires lors de la réalisation de l’AIPD (article 35 du RGPD). Ces mesures devront être réévaluées au fur et à mesure.

**Les référentiels ne couvrent pas les cadres de prescription compassionnelle (CPC). La mise en œuvre des traitements de données liés aux CPC est donc soumise à autorisation de la CNIL.

Laisser un commentaire