L’essentiel : La CNIL, par sa Délibération n° 2019-057, a établi un référentiel pour les traitements de données personnelles liés à la gestion des vigilances sanitaires. Ce cadre vise à aider les responsables de traitement à réaliser une analyse d’impact sur la protection des données. Les traitements doivent permettre la collecte et l’analyse des événements sanitaires indésirables, tout en garantissant la protection des droits des personnes concernées. Les responsables doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la conformité et inscrire ces traitements dans le registre des activités, conformément au RGPD.

Par sa Délibération n° 2019-057 du 9 mai 2019, la CNIL a adopté un nouveau référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires. Les principes dégagés par la CNIL, dans ce référentiel, constituent une aide à la réalisation de l’analyse d’impact à la protection des données que les responsables de traitement concernés doivent mener. Les responsables de traitement pourront ainsi définir les mesures leur permettant d’assurer la proportionnalité et la nécessité de leurs traitements, de garantir les droits des personnes et la maîtrise de leurs risques

Vigilance sur les médicaments

Ce référentiel encadre exclusivement les traitements de données à caractère personnel i) constitués pour gérer les vigilances sanitaires et ii) mis en œuvre par des fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament.

Traitements de gestion des vigilances sanitaires

Un traitement mis en œuvre aux fins de gestion des vigilances sanitaires a pour finalité de permettre la prévention, la surveillance, l’évaluation, la gestion des événements sanitaires indésirables mis en place par le responsable de traitement. Le traitement vise à permettre :

– la collecte, l’enregistrement, l’analyse, le suivi, la documentation, la transmission et la conservation des données relatives à l’ensemble des événements sanitaires indésirables ;

– la gestion des contacts, par le responsable de traitement, avec la personne lui ayant notifié l’événement sanitaire indésirable (membre d’une association agréée, professionnel de santé, membre d’une autorité sanitaire, patient, etc.) ou le professionnel de santé pouvant être interrogé pour obtenir, dans le respect du secret médical, des précisions sur l’événement sanitaire indésirable signalé (professionnel suivant la personne victime de l’événement sanitaire indésirable, etc.).

Obligations des responsables de traitement

Les responsables de traitement doivent mettre en œuvre toutes les mesures appropriées (techniques et organisationnelles) afin de garantir la protection des données personnelles traitées, à la fois dès la conception du traitement et par défaut. Ils doivent, en outre, démontrer cette conformité tout au long de la vie des traitements. Les traitements mis en œuvre dans le cadre du référentiel doivent également être inscrits dans le registre des activités de traitement prévu à l’article 30 du RGPD.

Q/R juridiques soulevées :

Quel est l’objectif principal de la Délibération n° 2019-057 du 9 mai 2019 de la CNIL ?

La Délibération n° 2019-057 du 9 mai 2019 de la CNIL vise à établir un référentiel pour les traitements de données à caractère personnel liés à la gestion des vigilances sanitaires.

Ce référentiel a pour but d’aider les responsables de traitement à réaliser une analyse d’impact sur la protection des données.

Cela leur permet de définir des mesures pour assurer la proportionnalité et la nécessité de leurs traitements, tout en garantissant les droits des personnes concernées et en maîtrisant les risques associés.

Quels types de traitements de données sont encadrés par ce référentiel ?

Le référentiel encadre spécifiquement les traitements de données à caractère personnel qui sont constitués pour gérer les vigilances sanitaires.

Ces traitements doivent être mis en œuvre par des fabricants, des entreprises, des exploitants ou des organismes responsables de la mise sur le marché d’un médicament.

Cela signifie que seules les entités directement impliquées dans la gestion des médicaments et des événements sanitaires indésirables sont concernées par ce cadre réglementaire.

Quelles sont les finalités d’un traitement mis en œuvre pour la gestion des vigilances sanitaires ?

Un traitement destiné à la gestion des vigilances sanitaires a plusieurs finalités essentielles.

Il permet la prévention, la surveillance, l’évaluation et la gestion des événements sanitaires indésirables.

Les activités spécifiques incluent la collecte, l’enregistrement, l’analyse, le suivi, la documentation, la transmission et la conservation des données relatives à ces événements.

Quelles sont les obligations des responsables de traitement selon le référentiel ?

Les responsables de traitement ont l’obligation de mettre en œuvre des mesures appropriées, tant techniques qu’organisationnelles, pour garantir la protection des données personnelles.

Ces mesures doivent être intégrées dès la conception du traitement et appliquées par défaut.

De plus, ils doivent démontrer leur conformité tout au long de la vie des traitements, et ces derniers doivent être inscrits dans le registre des activités de traitement, conformément à l’article 30 du RGPD.