Le référentiel « vigilances sanitaires » en questions

Un référentiel est un cadre de référence concernant un secteur ou une thématique particulière qui permet à des professionnels de mettre en conformité leurs traitements. Le référentiel « vigilances sanitaires » s’adresse aux fabricants, entreprises, exploitants et organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit qui mettent en œuvre des traitements de données de santé personnelles à des fins de gestion des vigilances sanitaires.

Quelles sont les démarches à réaliser auprès de la CNIL ?

• soit le traitement répond à toutes les exigences fixées par le référentiel : dans ce cas, le fabricant, l’entreprise, l’exploitant, l’organisme responsable de la mise sur le marché du médicament, du dispositif, du produit, responsable de traitement, adresse à la CNIL une déclaration de conformité ; il est, sur cette base, autorisé à mettre en œuvre le traitement ;

• soit le traitement ne satisfait pas aux exigences fixées par le référentiel : dans ce cas, le responsable de traitement doit procéder à une demande d’autorisation.

Non, les traitements constitués par ces professionnels et organismes constituent « des traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration des soins ou des traitements ou de la gestion des services de santé » (article 65 1° de la loi  « Informatique et Libertés »), pour lesquels aucune formalité préalable n’est requise depuis l’entrée en application du RGPD. Attention cependant, ces traitements doivent tout de même respecter les principes prévus par le RGPD.

Le référentiel couvre le périmètre des vigilances (au nombre de 14) mentionnées par l’arrêté du 27 février 2017 fixant la liste des catégories d’événements sanitaires indésirables pour lesquelles la déclaration ou le signalement peut s’effectuer au moyen du portail de signalement des événements sanitaires indésirables :

• l’addictovigilance ;
• la biovigilance ;
• la cosmétovigilance ;
• l’hémovigilance ;
• la matériovigilance ;
• la pharmacovigilance ;
• la pharmacovigilance vétérinaire ;
• la réactovigilance ;
• la toxicovigilance ;
• la vigilance alimentaire ;
• la vigilance exercée sur les logiciels et dispositifs à finalité non strictement médicale utilisés dans les laboratoires de biologie médicale pour les examens de biologie médicale ;
• la vigilance des produits de tatouage ;
• la vigilance relative à l’assistance médicale à la procréation et la phytopharmacovigilance.

L’engagement de conformité à l’ancienne AU-013 pour les traitements de données personnelles constitués à des fins de pharmacovigilance demeure valable tant que le traitement n’est pas modifié.

En cas de modification substantielle du traitement (par exemple sur les données traitées, la durée de conservation), le responsable de traitement doit faire une nouvelle déclaration de conformité au référentiel « vigilances sanitaires », dès lors que le traitement répond aux exigences du référentiel.

Attention, le périmètre couvert par le nouveau référentiel « vigilances sanitaires » n’est pas identique à celui de l’ancienne autorisation unique AU-013.

Le respect d’une obligation légale est retenu, dans le référentiel, comme base légale des traitements de données personnelles constitués aux fins de gestion des vigilances sanitaires par les fabricants, entreprises, exploitants, responsables de la mise sur le marché d’un médicament, d’un dispositif d’un produit. En effet, diverses obligations légales figurant notamment dans le code de la santé publique imposent à ces professionnels la gestion des événements sanitaires indésirables et impliquent la collecte de données personnelles.

Compte tenu de la sensibilité de ces données, les fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit ne peuvent la collecter que sous réserve qu’ils respectent en tant que responsable de traitement les conditions cumulatives suivantes :

• un document de présentation des caractéristiques du médicament, du dispositif ou du produit validé par une autorité compétente (par exemple : résumé des caractéristiques du produit pour les médicaments, résumé des caractéristiques du dispositif médical, etc.) fait état de la circonstance que l’origine ethnique des personnes peut avoir une incidence sur son efficacité ou sa sécurité ;
• ce document s’appuie sur des travaux scientifiques.

Si ces conditions ne sont pas remplies, l’opportunité de la collecte de la donnée ethnique devra être appréciée par la CNIL, dans le cadre de l’examen d’une demande d’autorisation. Le dossier devra alors comporter tout élément de nature à justifier la collecte de ces données.

Le responsable de traitement ne peut conserver les données que pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont collectées (article 5-1-e) du RGPD).

En l’absence de durée légale ou réglementaire, la durée de conservation maximale autorisée par la CNIL dans le cadre du référentiel est de soixante-dix ans à compter de la fin de la date du retrait du marché du médicament, du produit ou du dispositif. A l’expiration de ces délais, les données sont supprimées ou archivées sous une forme anonymisée. Pour tout savoir sur les techniques d’anonymisation, vous pouvez consulter l’avis du G29.

Si le responsable de traitement souhaite conserver les données au-delà de cette durée maximale, il devra effectuer une demande d’autorisation spécifique et justifier dans son dossier la durée durant laquelle il souhaite conserver les données.

En cas de notification de l’événement sanitaire indésirable par une personne autre que celle qui y est exposée, l’information est réalisée par le notificateur sur la base des éléments d’information écrits qui lui auront été remis par le fabricant, l’entreprise, l’exploitant, l’organisme responsable de la mise sur le marché du médicament, du dispositif, du produit, responsable de traitement.

Le responsable de traitement doit à tout moment justifier que l’information des personnes concernées a été délivrée, à charge pour lui de recueillir auprès du notificateur la preuve de cette délivrance.

Le recours à un hébergeur de données de santé agréé ou certifié est imposé par le référentiel lorsque le traitement de données personnelles constitué aux fins de gestion des vigilances sanitaires est stocké et conservé par un prestataire extérieur.

Par exception, lorsque le responsable de traitement n’est pas établi en France, il doit démontrer que le prestataire auquel il recourt pour le stockage et la conservation du traitement présente des garanties de sécurité équivalentes.

La conduite d’une analyse d’impact relative à la protection des données est nécessaire lorsqu’un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées (article 35 du RGPD).

En raison de sa nature, de sa portée et du traitement à grande échelle de données de santé, le traitement de vigilances sanitaires est soumis à l’obligation de mener une analyse d’impact préalablement à la mise en œuvre du traitement.

Le NIR ne peut être utilisé pour identifier les personnes exposées à un événement sanitaire indésirable.

En revanche, peuvent être utilisés des informations signalétiques (âge, date ou année de naissance, sexe, poids, taille) ou un numéro d’identification (code alphanumérique, code alphabétique d’identification tel que prévu par les formulaires existant).

Le référentiel portant sur les vigilances sanitaires n’autorise pas la collecte de la donnée génétique.

Si le responsable de traitement souhaite collecter cette donnée dans le cadre de son traitement de vigilances sanitaires, il doit adresser à la CNIL une demande d’autorisation spécifique et justifier le bien-fondé d’une telle collecte.

Les données indirectement identifiantes des personnes exposées à un événement sanitaire indésirable ou des personnes ayant notifié l’événement sanitaire indésirable peuvent faire l’objet d’un transfert hors de l’Union européenne dès lors que les destinataires des données sont bien ceux visés par le référentiel et que le transfert est strictement nécessaire à la mise en œuvre du dispositif de vigilance.

L’une des conditions suivantes doit en outre être remplie :

• le transfert s’effectue à destination d’un pays ou d’une organisation internationale reconnu par la Commission européenne comme assurant un niveau de protection adéquat, conformément à l’article 45 du RGPD (décision d’adéquation) ;
• le transfert s’effectue moyennant des garanties appropriées, listées à l’article 46, paragraphe 2, du RGPD (notamment : clauses contractuelles types approuvées par la Commission européenne, règles d’entreprise contraignantes, code de conduite, mécanisme de certification) ;
• en l’absence d’une décision d’adéquation ou de garanties appropriées, le transfert peut être fondé sur l’une des exceptions prévues par l’article 49 du RGPD lorsqu’un tel transfert n’est pas répétitif, massif ou structuré.

Enfin, le responsable de traitement doit avoir préalablement informé les personnes concernées du transfert de leurs données personnelles vers des pays tiers à l’Union européenne, de l’existence ou de l’absence d’une décision d’adéquation ou de garantie appropriée et des moyens d’en obtenir une copie conformément à l’article 13, paragraphe 1, point f, du RGPD.