Référentiel santé RS - 001

Les fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d'un médicament, d'un dispositif ou d'un produit

Permettre la prévention, la surveillance, l'évaluation, la gestion des événements sanitaires indésirables mis en place par le responsable de traitement :

• la collecte, l'enregistrement, l'analyse, le suivi, la documentation, la transmission et la conservation des données relatives à l'ensemble des événements sanitaires indésirables ;
• la gestion des contacts, par le responsable de traitement, avec la personne lui ayant notifié l'événement sanitaire indésirable (membre d'une association agréée, professionnel de santé, membre d'une autorité sanitaire, patient, etc.) ou le professionnel de santé pouvant être interrogé pour obtenir, dans le respect du secret médical, des précisions sur  l'événement sanitaire indésirable signalé (professionnel suivant la personne victime de l'événement sanitaire indésirable, etc.).

Le responsable de traitement peut collecter et traiter, en fonction de l'objectif poursuivi par le traitement et des situations :

1. Les données relatives à la personne exposée strictement nécessaires à l'appréciation de l'événement sanitaire indésirable :

• données permettant d'identifier indirectement la personne exposée à l'événement sanitaire indésirable (informations signalétiques telles que l'âge, l'année ou la date de naissance, le sexe, le poids, la taille) ou numéro d'identification de la personne (code alphanumérique, code alphabétique d'identification tel que prévu par les formulaires existant) permettant de garantir le respect de sa vie privée, à l'exclusion du numéro d'inscription au répertoire national d'identification des personnes physiques et de l'identifiant national de santé ;
• données relatives à l'identification du produit concerné par le signalement de l'événement sanitaire indésirable : type de médicament, de dispositif ou de produit utilisé, numéro de série, etc. ;
• données de santé, notamment : traitements administrés, résultats d'examens, nature du ou des effets indésirables, antécédents personnels ou familiaux, maladies ou événements associés, facteurs de risques, informations relatives au mode de prescription et d'utilisation des médicaments et à la conduite thérapeutique du prescripteur ou des professionnels de santé intervenant dans la prise en charge de la maladie ou de l'événement sanitaire indésirable.

En complément de ces données, le responsable de traitement peut également collecter et traiter d'autres données sous réserve qu‘elles soient strictement nécessaires à l'appréciation de l'événement sanitaire indésirable (vie professionnelle, consommation de tabac, alcool, drogue, habitudes de vie et comportements). Des données relatives à l'origine ethnique peuvent être collectées par le responsable de traitement lorsqu'un document de présentation des caractéristiques du médicament, du dispositif ou du produit validé par une autorité compétente (p. ex. : résumé des caractéristiques du produit pour les médicaments, résumé des caractéristiques du dispositif médical, etc.) fait état, en s'appuyant sur des travaux scientifiques, de la circonstance que l'origine ethnique des personnes peut avoir une incidence sur son efficacité ou sa sécurité.

2. Les coordonnées de la personne ayant procédé à la notification de l'événement sanitaire indésirable ou de tout professionnel de santé susceptible d'apporter des précisions (nom, prénom, coordonnées postales, électroniques, téléphoniques, le cas échéant spécialité du professionnel de santé). Selon les situations, la personne ayant procédé à la notification peut être : le membre d'une autorité sanitaire, un professionnel de santé, la personne exposée à l'événement sanitaire indésirable ou son entourage, le(s) titulaire(s) de l'autorité parentale, l'ayant droit en cas de décès, une association de patients agréée, etc. La notification de l'événement sanitaire indésirable, qui serait réalisée directement par la personne exposée, a pour effet de lever le secret de son identité, et doit être limitée à ce que le responsable de traitement a besoin de connaître pour satisfaire à ses obligations en matière de vigilances sanitaires et pour une durée strictement limitée à ce qui est nécessaire pour répondre auxdites obligations.

Données génétiques

Les données sont conservées en base active pendant la durée d'utilisation courante des données. Elles sont ensuite conservées en archivage intermédiaire pendant la durée légale ou réglementaire applicable à chaque vigilance sanitaire. En l'absence de durée légale ou réglementaire, les données ne peuvent être conservées au-delà d'une période de soixante-dix ans à compter de la date du retrait du marché du médicament, du dispositif ou du produit. A l'expiration de ces délais, les données sont supprimées ou archivées sous une forme anonymisée.

Seuls les employés habilités du responsable de traitement doivent pouvoir, sous la responsabilité de ce dernier, accéder aux données à caractère personnel traitées, dans la limite de leurs attributions respectives et pour ce qui les concerne, notamment :

• le responsable de la vigilance, ainsi que ses collaborateurs et agents intervenant dans le processus de gestion des vigilances sanitaires ;
• les personnels du service des audits, de manière ponctuelle et motivée, pour vérifier le respect des exigences réglementaires ;
• les personnels habilités en charge de la gestion des réclamations, en fonction des dossiers qu'elles ont à traiter.

Peuvent également être destinataires des données nécessaires à l'exercice de leurs missions, exclusivement dans le cadre de leur activité de vigilance:

• les sous-traitants intervenant pour le compte et sous la responsabilité de l'organisme, dans la limite de leurs fonctions et dans les conditions définies par le contrat de sous-traitance. En cas de recours à un sous-traitant, le contrat qui lie le responsable de traitement au sous-traitant doit faire mention des obligations qui lui incombent en matière de protection des données (article 28 du RGPD). Le guide du sous-traitant édité par la CNIL précise ses obligations et les clauses à intégrer dans les contrats ;
• les autres sociétés du groupe auquel l'organisme appartient qui participent à l'exploitation ou à la commercialisation du médicament, du dispositif ou du produit mis en cause ;
• les tiers dont un médicament, un dispositif ou un produit pourrait être mis en cause, à l'exception des données directement identifiantes de la personne exposée à l'événement sanitaire indésirable qui aurait notifié l'événement ;
• les professionnels de santé participant au suivi du patient et les professionnels de santé ou autres professionnels pouvant apporter un complément ;
• les organismes notifiés en charge de l'évaluation d'un médicament, d'un dispositif ou d'un produit, à l'exception des données directement identifiantes de la personne exposée à l'événement sanitaire indésirable qui aurait notifié l'événement ;
• les organismes publics nationaux (p. ex. : agences régionales de santé, agences sanitaires, etc.) ou étrangers en charge des vigilances dans le cadre de l'exercice de leurs missions telles que définies par les textes, les autorités ou agences sanitaires nationales étrangères et les autorités ou agences sanitaires internationales (p. ex. : Agence européenne des médicaments), à l'exception des données directement identifiantes de la personne exposée à l'effet indésirable qui aurait notifié l'événement.

Le responsable de traitement prend les mesures appropriées pour fournir à la personne concernée une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Dès le stade de la collecte, les personnes concernées par le traitement doivent être individuellement informées des modalités de traitement de leurs données dans les conditions prévues par les articles 13, le cas échéant, 14 du RGPD, 69 et 70 de la loi Informatique et libertés.

En cas de notification de l'événement sanitaire indésirable par la personne qui y est exposée, une information particulière doit lui être fournie préalablement, afin de l'informer que le secret de son identité ne sera pas préservé.

Le support d'information est libre (oral ou écrit).

Si la personne concernée en fait la demande, elle peut obtenir la mise à disposition d'un support d'information écrit.

En cas de notification de l'événement sanitaire indésirable par une personne autre que celle qui y est exposée, l'information est réalisée par le notificateur sur la base des éléments d'information écrits remis par le responsable de traitement au notificateur.

Le responsable de traitement doit à tout moment justifier que l'information des personnes concernées a été délivrée, à charge pour le responsable de traitement de recueillir auprès du notificateur la preuve de cette délivrance.

Les personnes concernées doivent par ailleurs être informées de la manière d'exercer leurs droits.

Les personnes concernées par le traitement (personnes exposées à l'événement sanitaire indésirable, personne ayant notifié l'événement sanitaire indésirable et professionnel de santé ayant suivi la personne concernée par l'événement) disposent des droits suivants, qu'elles exercent dans les conditions prévues par le RGPD :

• droit d'accès ;
• droit de rectification ;
• droit à la limitation du traitement (par exemple, lorsque la personne conteste l'exactitude de ses données, elle peut demander au responsable de traitement le gel temporaire de ses données le temps que celui-ci procède aux vérifications nécessaires).

Dans la mesure où le traitement est fondé sur le respect d'une obligation légale, les personnes concernées par la collecte des données ne disposent ni du droit d'opposition, ni du droit à l'effacement des données, ni du droit à la portabilité des données. Les personnes concernées en sont informées préalablement.

Les données indirectement identifiantes des personnes exposées à un événement sanitaire indésirable et les données directement identifiantes des personnes ayant notifié l'événement sanitaire indésirable peuvent faire l'objet d'un transfert hors de l'Union européenne si les conditions suivantes sont réunies :

• les dispositions de l'article 6 relatives aux destinataires des données sont respectées;
• le transfert de données est strictement nécessaire à la mise en œuvre du dispositif de vigilance.

Le transfert peut être effectué dans le cadre de la déclaration de conformité au présent référentiel lorsque l'une des conditions suivantes est remplie :

• le transfert s'effectue à destination d'un pays ou d'une organisation internationale reconnu par la Commission européenne comme assurant un niveau de protection adéquat, conformément à l'article 45 du RGPD (décision d'adéquation) ;
• le transfert s'effectue moyennant des garanties appropriées, listées à l'article 46, paragraphe 2, du RGPD (notamment : clauses contractuelles types approuvées par la Commission européenne, règles d'entreprise contraignantes, code de conduite, mécanisme de certification) ;
• en l'absence d'une décision d'adéquation ou de garanties appropriées, le transfert peut être fondé sur l'une des exceptions prévues par l'article 49 du RGPD lorsqu'un tel transfert n'est pas répétitif, massif ou structuré.

Le responsable de traitement doit avoir préalablement informé les personnes concernées du transfert de leurs données à caractère personnel vers des pays tiers à l'Union européenne, de l'existence ou de l'absence d'une décision d'adéquation ou de garantie appropriée et des moyens d'en obtenir une copie conformément à l'article 13, paragraphe 1, point f, du RGPD.