Par sa Délibération n° 2019-057 du 9 mai 2019, la CNIL a adopté un nouveau référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires. Les principes dégagés par la CNIL, dans ce référentiel, constituent une aide à la réalisation de l’analyse d’impact à la protection des données que les responsables de traitement concernés doivent mener. Les responsables de traitement pourront ainsi définir les mesures leur permettant d’assurer la proportionnalité et la nécessité de leurs traitements, de garantir les droits des personnes et la maîtrise de leurs risques
Vigilance sur les médicaments
Ce référentiel encadre exclusivement les traitements de données à caractère personnel i) constitués pour gérer les vigilances sanitaires et ii) mis en œuvre par des fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament.
Traitements de gestion des vigilances sanitaires
Un traitement mis en œuvre aux fins de gestion des vigilances sanitaires a pour finalité de permettre la prévention, la surveillance, l’évaluation, la gestion des événements sanitaires indésirables mis en place par le responsable de traitement. Le traitement vise à permettre :
– la collecte, l’enregistrement, l’analyse, le suivi, la documentation, la transmission et la conservation des données relatives à l’ensemble des événements sanitaires indésirables ;
– la gestion des contacts, par le responsable de traitement, avec la personne lui ayant notifié l’événement sanitaire indésirable (membre d’une association agréée, professionnel de santé, membre d’une autorité sanitaire, patient, etc.) ou le professionnel de santé pouvant être interrogé pour obtenir, dans le respect du secret médical, des précisions sur l’événement sanitaire indésirable signalé (professionnel suivant la personne victime de l’événement sanitaire indésirable, etc.).
Obligations des responsables de traitement
Les responsables de traitement doivent mettre en œuvre toutes les mesures appropriées (techniques et organisationnelles) afin de garantir la protection des données personnelles traitées, à la fois dès la conception du traitement et par défaut. Ils doivent, en outre, démontrer cette conformité tout au long de la vie des traitements. Les traitements mis en œuvre dans le cadre du référentiel doivent également être inscrits dans le registre des activités de traitement prévu à l’article 30 du RGPD. |
S’abonner
Connexion
0 Commentaires
Le plus ancien