Délibération 2014-501 du 11 décembre 2014

Commission Nationale de l'Informatique et des Libertés
Délibération n°2014-501 du 11 décembre 2014
Délibération n° 2014-501 du 11 décembre 2014 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel par les entreprises ou organismes exploitant ou important des médicaments dans le cadre des autorisations temporaires d'utilisation (ATU) et recommandations temporaires d'utilisation (RTU) (AU-041)
NOR: CNIL1500335
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment ses articles L. 5121-12, L. 5121-12-1 et R. 5121-68 à R. 5121-76-9 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV, 25-I-1° et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

Les autorisations temporaires d'utilisation (ATU) et les recommandations temporaires d'utilisation (RTU) de spécialités pharmaceutiques sont prévues aux articles
L. 5121-12 et L. 5121-12-1 du code de la santé publique (CSP).

Ces dispositifs ont pour objet, s'agissant des ATU, d'accélérer l'accès à l'innovation thérapeutique et, pour ce qui concerne les RTU, de sécuriser la prescription de médicaments en dehors du cadre de l'autorisation de mise sur le marché (AMM). Ainsi, les ATU permettent l'accès précoce aux spécialités pharmaceutiques qui sont en phase finale d'évaluation avant l'obtention de leur AMM en France et les RTU permettent d'encadrer, en vue de leur sécurisation, les prescriptions de spécialités pharmaceutiques en dehors des indications prévues dans leur AMM.

Les ATU sont dites de cohorte lorsqu'elles sont sollicitées par le laboratoire exploitant et accordées pour des spécialités dont l'efficacité et la sécurité sont fortement présumées par les résultats d'essais thérapeutiques menés en vue d'une demande d'AMM en France.

Les ATU sont dites nominatives lorsqu'elles sont demandées par le médecin prescripteur au bénéfice d'un patient nommément désigné dès lors que celui-ci ne peut participer à une recherche biomédicale.

Les ATU de cohorte et les RTU sont subordonnées à la mise en œuvre d'un protocole de suivi des patients, établi par l'Agence nationale de sécurité du médicament et des produits de santé (ANSM) en collaboration avec le laboratoire exploitant la spécialité pharmaceutique concernée.

La mise en place d'un protocole de suivi est un principe fixé par la loi pour les ATU. S'agissant des ATU nominatives, ce principe comporte des dérogations prévues au IV de l'article L. 5121-12 du CSP. Dans ce dernier cas, des échanges d'informations portant sur l'efficacité et la sécurité du médicament prescrit au patient concerné sont réalisés entre le médecin prescripteur et l'ANSM. La demande de fourniture du médicament implique également un traitement de données à caractère personnel concernant le patient par le laboratoire exploitant ou l'importateur, le cas échéant, qui reçoit la demande.

Ainsi, quel que soit l'encadrement choisi (ATU ou RTU) pour la prescription d'une spécialité pharmaceutique, le laboratoire exploitant est susceptible de traiter des données à caractère personnel relevant de l'article 8 de la loi du 6 janvier 1978 modifiée (données relatives à la santé).

Dans le cas où une RTU concernerait plusieurs spécialités pharmaceutiques exploitées par différents laboratoires, ces derniers peuvent désigner un seul responsable de traitement qui organisera de manière coordonnée la collecte des données de suivi des patients concernés, étant précisé que le terme responsable de traitement est utilisé dans la présente délibération au sens de l'article 3 de la loi du 6 janvier 1978 modifiée dite Informatique et Libertés .

Les dispositifs d'ATU et de RTU ainsi que les traitements de données associés, au-delà de leur caractère obligatoire en application des articles L. 5121-12,
L. 5121-12-1, R. 5121-70, R. 5121-76-2 du CSP, présentent un intérêt majeur pour la santé publique en ce qu'ils permettent notamment la délivrance et la prise en charge de médicaments à des patients tout en fournissant des garanties de sécurité et d'efficacité d'emploi.

Les traitements ainsi mis en œuvre poursuivent un intérêt public et relèvent des dispositions combinées des articles 8-IV, 25-I-1° et 25-II de la loi Informatique et Libertés. En effet, dans la mesure où ils répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes catégories de destinataires, la Commission peut adopter une décision unique d'autorisation.

Dans ces conditions, la Commission décide que les responsables de traitement qui lui adressent une déclaration comportant un engagement de conformité, pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique, sont autorisés à les mettre en œuvre.

Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit, en revanche, faire l'objet d'une formalité spécifique.

Article 1 - Sur les finalités du traitement :
Seuls peuvent faire l'objet d'un engagement de conformité par référence à la présente décision unique les traitements mis en œuvre par les entreprises ou organismes exploitant ou important des médicaments et ayant pour finalités :

- la collecte, l'enregistrement, l'analyse, le suivi, la documentation, la transmission et la conservation des données relatives à l'accès, à l'initiation, au suivi et à l'arrêt des prescriptions de spécialités pharmaceutiques dans le cadre défini par les articles L. 5121-12 et L. 5121-12-1 du CSP ;

- la gestion des contacts avec les médecins prescripteurs et les pharmaciens dispensateurs d'un médicament sous ATU ou RTU.

Article 2 - Sur la nature des données traitées :
Conformément à l'article 6-3° de la loi Informatique et Libertés, les données traitées doivent être pertinentes, adéquates et non excessives au regard des finalités du traitement.

Les seules catégories de données à caractère personnel qui peuvent être traitées par le laboratoire dans le cadre d'une ATU ou d'une RTU portent sur les informations suivantes, dans la limite fixée par le protocole visé par l'ANSM, lorsqu'il existe :

1) Les données systématiquement collectées :

- L'identification du patient :
numéro, code alphanumérique ou code alphabétique, informations signalétiques (sexe, poids, taille, âge ou année et mois de naissance ou date de naissance complète si nécessaire dans un contexte pédiatrique) ;

- L'identification des médecins prescripteurs et des pharmaciens dispensateurs : nom, prénom, spécialité, numéro d'inscription au répertoire partagé des professionnels de santé (RPPS), coordonnées professionnelles ;

- La santé de la personne concernée (le patient) : notamment l'histoire de la maladie, les antécédents personnels ou familiaux, les pathologies ou événements associés, les traitements concomitants, les informations relatives au mode de prescription et d'utilisation du médicament ainsi qu'à la conduite thérapeutique du prescripteur, les examens et leurs résultats, la tolérance du traitement initié, la nature et la fréquence des effets indésirables.

2) Les données collectées lorsqu'elles sont strictement nécessaires au regard du produit prescrit et de la pathologie en cause :

- L'origine ethnique ;
- La vie sexuelle ;
- La consommation de tabac, d'alcool et de drogues.

Article 3 - Sur la durée de conservation des données :
Les données traitées sont conservées en base active dans la limite de deux ans suivant l'approbation par l'ANSM du résumé du dernier rapport de synthèse prévu aux articles R. 5121-73-1 et R. 5121-76-1 du CSP.

Les données sont ensuite archivées en base intermédiaire pendant la durée de l'autorisation de mise sur le marché de la spécialité pharmaceutique concernée et jusque dix ans après l'expiration de cette autorisation.

A l'expiration de ce délai, les données sont supprimées ou archivées sous une forme anonyme.

La conservation et l'archivage des données doivent être réalisés dans des conditions de sécurité conformes aux dispositions de l'article 34 de la loi Informatique et Libertés.

Article 4 - Sur les destinataires des données :
Ont accès aux données traitées les services suivants du laboratoire :

- le pharmacien responsable ou son représentant ainsi que toute personne dûment habilitée et placée sous sa responsabilité, dans la limite de leurs attributions et pour ce qui les concerne ;

- le responsable de la pharmacovigilance ainsi que les collaborateurs placés sous sa responsabilité, dans la limite de leurs attributions et pour ce qui les concerne ;

- les membres des services en charge des affaires médicales, de la recherche et du développement, des affaires réglementaires, dans la limite de leurs attributions et pour ce qui les concerne ;

- les membres du service en charge de la gestion des commandes, de l'approvisionnement et de la distribution des médicaments, dans la limite de leurs attributions et pour ce qui les concerne ;

- les membres du service des audits peuvent, de façon ponctuelle et motivée, avoir accès à ces données pour vérifier le respect des exigences réglementaires et des procédures internes, dans la limite de leurs attributions et pour ce qui les concerne.


Peuvent également être destinataires des données :

- les prestataires de services intervenant dans la mise en œuvre de l'ATU ou de la RTU, dans le cadre et la limite de leurs fonctions et dans les conditions définies par le contrat les liant au responsable de traitement ;

- les autres sociétés du groupe auquel appartient le laboratoire exploitant ainsi que ses partenaires qui participent à la mise en œuvre de l'ATU ou de la RTU ;

- les organismes publics communautaires, nationaux ou locaux en charge de la surveillance des médicaments sous ATU ou RTU, dans le cadre de l'exercice de leurs missions telles que définies par les textes, notamment l'ANSM, les centres régionaux de pharmacovigilance et les centres anti-poison.

Article 5 - Sur l'information des personnes et sur leurs droits d'accès, de rectification et d'opposition:
S'agissant des patients, les modalités sont les suivantes :

- Conformément à l'article L. 5121-12 du CSP pour les ATU et à l'article L. 5121-12-1 du CSP pour les RTU, le médecin prescripteur doit informer le patient du cadre de la prescription, des risques encourus, des contraintes et des bénéfices potentiels.

- Le médecin prescripteur remet au patient une note d'information, établie conformément à l'article 32-I de la loi Informatique et Libertés, qui rappelle notamment que les droits d'accès et de rectification reconnus par les articles 39 et 40 de la loi précitée s'exercent, en l'espèce, par l'intermédiaire du médecin prescripteur, le laboratoire exploitant n'ayant pas accès à l'identité des patients concernés.

- Il est rappelé que les patients sont libres d'accepter ou de refuser leur traitement par un médicament prescrit sous ATU ou RTU. En cas d'acceptation des soins, les articles L. 5121-12 et R. 5121-70 du CSP pour les ATU, ainsi que les articles L. 5121-12-1 et R. 5121-76-2 du même code pour les RTU, imposent le recueil d'informations de suivi relatives au patient.

S'agissant des médecins prescripteurs et des pharmaciens dispensateurs, le laboratoire informe ces derniers du traitement de leurs données à caractère personnel dans le courrier qui leur est adressé au moment de l'initiation de l'ATU ou de la RTU. Cette information reprend les mentions prévues à l'article 32-I de la loi Informatique et Libertés notamment les modalités d'exercice des droits d'accès et de rectification.

Si une plateforme électronique est utilisée pour recueillir les informations, les professionnels de santé doivent être informés lors de leur connexion à cette plateforme.

Article 6 - Sur les transferts des données hors de l'Union européenne :
Tout transfert des données relatives au patient vers un pays non-membre de l'Union européenne n'accordant pas une protection suffisante au sens de l'article 68 de la loi Informatique et Libertés doit s'opérer conformément aux dispositions spécifiques de la loi précitée relatives aux transferts internationaux de données, notamment à son article 69.

Il est satisfait à ces dispositions lorsque l'une des conditions suivantes est réunie :

- les transferts s'effectuent à destination d'un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d'une entreprise américaine ayant adhéré aux principes du Safe Harbor ;

- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l'adoption de règles internes d'entreprise (dénommées BCR ), dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant ;

- ils correspondent à l'une des exceptions prévues à l'article 69 de la loi du 6 janvier 1978 modifiée, dont le champ d'application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l'objet d'un encadrement juridique spécifique ( BCR , clauses contractuelles types ou Safe Harbor).

Le responsable de traitement doit avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers, dans les conditions prévues par les dispositions de l'article 91 du décret du 20 octobre 2005 modifié.

S'il est satisfait à ces conditions et si le traitement dont le transfert est issu est par ailleurs conforme à l'ensemble des autres dispositions de la présente délibération, l'engagement de conformité à la présente autorisation unique porte également autorisation du transfert envisagé en application de l'article 69 de la loi du 6 janvier 1978 modifiée.

Les données relatives aux médecins prescripteurs et aux pharmaciens dispensateurs peuvent être transférées, hors de l'Union européenne, dans les conditions d'encadrement précitées, lorsque ce transfert est strictement nécessaire à la mise en œuvre de l'ATU ou de la RTU.

Article 7 - Sur la sécurité des données et la traçabilité des actions :
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité.

Le responsable du traitement définit, met en œuvre et contrôle l'application d'une politique de sécurité qui devra notamment décrire :

- les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;

- les habilitations d'accès aux données et en particulier les mesures d'identification et d'authentification, les procédures de traçabilité des accès aux informations médicales, ainsi que l'historique des connexions ;

- les mesures de sécurité devant être mises en œuvre pour les transmissions de données.

Cette politique de sécurité doit être définie au regard des risques identifiés au terme d'une analyse des risques présentés par le traitement (cette analyse devra notamment couvrir les risques que peut présenter le traitement sur les libertés et la vie privée des personnes concernées).

Les données relatives aux patients pourront être renseignées par le médecin prescripteur et le pharmacien dispensateur dans des formulaires de recueil d'informations au format électronique ou au format papier.

Si le format électronique est utilisé par l'intermédiaire d'une plateforme électronique de recueil des informations, le médecin prescripteur et le pharmacien dispensateur devront créer un compte personnel afin de compléter les formulaires. Leur adresse électronique pourra être collectée afin de permettre l'envoi d'un courriel contenant un lien permettant d'activer le compte et de vérifier que l'adresse électronique saisie est valide. Le contrôle d'accès au compte des professionnels de santé doit être opéré conformément aux dispositions de l'article L. 1110-4 du code de la santé publique qui impose une authentification forte des professionnels de santé par l'utilisation d'une carte de professionnel de santé (CPS) ou un dispositif équivalent agréé par l'organisme chargé d'émettre la CPS pour toute transmission ou tout accès aux données de santé.

Si le format papier est utilisé et que les transmissions sont effectuées par fax, la Commission rappelle que les mesures de sécurité suivantes doivent être mises en place :

- le fax doit être situé dans un local physiquement contrôlé et accessible uniquement au personnel habilité ;

- l'impression des messages doit être subordonnée à l'introduction d'un code d'accès personnel ;

- lors de l'émission des messages, le fax doit afficher l'identité du fax destinataire afin d'être assuré de l'identité du destinataire ;

- le carnet d'adresses des fax doit préenregistrer, dans la mesure du possible, les destinataires potentiels.

S'agissant des transmissions par courriel, celles-ci devront être sécurisées par exemple en chiffrant les données à caractère personnel par un algorithme de chiffrement asymétrique avec une clé privée détenue uniquement par le destinataire des données.

En cas de recours à un prestataire de service pour la mise en œuvre du traitement, le contrat doit prévoir la limitation de l'utilisation des données à la finalité prévue par la présente autorisation. Le contrat doit également prévoir une clause de confidentialité et encadrer les modalités de destruction ou de restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de la prestation.


Article 8 - Publication :

La présente délibération sera publiée au Journal officiel de la République française.

La Présidente


I. FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION UNIQUE
Date de la publication sur legifrance: 16 janvier 2015