Délibération 2014-099 du 20 mars 2014

Délibération n° 2014-099 du 20 mars 2014 portant autorisation unique de mise en œuvre par les entreprises ou organismes exploitants de médicaments de traitements de données à caractère personnel relatifs à la gestion de données de santé recueillies dans le cadre de la pharmacovigilance des médicaments postérieurement à leur mise sur le marché (AU-013)

La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain modifiée par la directive 2010/84/UE en ce qui concerne la pharmacovigilance ;
Vu le règlement (UE) n° 1235/2010 du Parlement européen et du Conseil du 15 décembre 2010 modifiant, en ce qui concerne la pharmacovigilance des médicaments à usage humain, le règlement (CE) n° 726/2004 établissant des procédures communautaires pour l'autorisation et la surveillance en ce qui concerne les médicaments à usage humain et à usage vétérinaire, et instituant une Agence européenne des médicaments, et le règlement (CE) n° 1394/2007 concernant les médicaments de thérapie innovante ;
Vu le règlement (UE) n°520/2012 de la Commission du 19 juin 2012 sur l'exécution des activités de pharmacovigilance prévues par le règlement (CE) n°726/2004 du Parlement européen et du Conseil et par la directive 2001/83/CE du Parlement européen et du Conseil ;
Vu le code de la santé publique, et notamment ses articles L. 5121-22 à L. 5121-26 et R. 5121-150 à R. 5121-201 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV, 25-I-1° et 25-II ;
Vu la loi n° 2011-2012 du 29 décembre 2011 relative au renforcement de la sécurité sanitaire du médicament et des produits de santé ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2011-655 du 10 juin 2011 relatif aux modalités de signalement par les patients et associations agréées de patients d'effets indésirables susceptibles d'être liés aux médicaments et produits mentionnés à l'article L. 5121-1 du code de la santé publique ;
Vu le décret n° 2012-1244 du 8 novembre 2012 relatif au renforcement des dispositions en matière de sécurité des médicaments à usage humain soumis à autorisation de mise sur le marché et à la pharmacovigilance ;
Vu le décret n° 2013-923 du 16 octobre 2013 pris pour la transposition de la directive 2012/26/UE du 25 octobre 2012 modifiant en ce qui concerne la pharmacovigilance la directive 2001/83/CE instituant un code communautaire relatif aux médicaments à un usage humain ;
Vu l'arrêté du 28 avril 2005 modifié relatif aux bonnes pratiques de pharmacovigilance ;
Après avoir entendu M. Nicolas COLIN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

La pharmacovigilance, dont les règles sont harmonisées au niveau communautaire par les dispositions de la directive 2001/83/CE du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain modifiée par la directive 2010/84/UE en ce qui concerne la pharmacovigilance, a pour objet, aux termes de l'article L. 5121-22 du code de la santé publique, la surveillance, l'évaluation, la prévention et la gestion du risque d'effet indésirable résultant de l'utilisation des médicaments et produits mentionnés à l'article L. 5121-1 du même code.

A ce titre, toute entreprise ou organisme exploitant un médicament ou un produit mentionné à l'article L. 5121-1 est tenu de respecter les obligations qui lui incombent en matière de pharmacovigilance et, en particulier, de mettre en œuvre un système de pharmacovigilance garantissant le suivi et la surveillance des médicaments qu'il exploite, enregistré dans le dossier permanent du système de pharmacovigilance, mis à la disposition des autorités compétentes, ainsi que d'enregistrer, de déclarer et de suivre tout effet indésirable suspecté d'être dû à un médicament ou produit mentionné à ce même article, dont il a connaissance.

L'ensemble des obligations de pharmacovigilance est mis en œuvre conformément aux principes de bonnes pratiques de pharmacovigilance fixés par l'arrêté du 28 avril 2005 modifié, au Règlement (UE) n° 520/2012 de la Commission du 19 juin 2012 sur l'exécution des activités de pharmacovigilance ainsi qu'aux bonnes pratiques de pharmacovigilance européenne ( Guideline on Good pharmacovigilance practice (GVP) ).

Les exploitants de médicaments sont également tenus de conserver et de tenir à la disposition des autorités compétentes les informations détaillées relatives à tous les effets indésirables susceptibles d'être dus à un médicament ou produit dont ils ont connaissance, survenus à l'intérieur ou à l'extérieur de l'Union européenne, en application de l'article R. 5121-166 du code de la santé publique. Ces informations sont tenues à la disposition des autorités compétentes notamment à des fins de vérification.

De plus, les exploitants de médicaments doivent pouvoir recontacter la personne à l'origine du signalement d'un effet indésirable, ci-après le notificateur (patient, membre d'une association agréée de patients, professionnel de santé, membre d'une autorité de santé) pour obtenir des informations complémentaires nécessaires à la validation du signalement ou à l'évaluation de l'effet indésirable. Ceci nécessite le traitement de l'identité du notificateur et notamment des données à caractère personnel le concernant. Ces données sont susceptibles d'être enregistrées dans une base de données informatisée dont l'accès est géré distinctement de l'accès à la base de données de pharmacovigilance.

En outre, les exploitants de médicaments doivent pouvoir demander des précisions au professionnel de santé ayant suivi la personne qui présente un effet indésirable, notamment son médecin prescripteur ou son médecin traitant. Il doit donc pouvoir collecter auprès du notificateur des données concernant ce professionnel de santé.

Pour satisfaire à l'ensemble de ces obligations, les bonnes pratiques de pharmacovigilance fixées par arrêté du ministre chargé de la santé recommandent vivement de mettre en œuvre un traitement informatisé. En outre, les dispositions communautaires imposent une transmission électronique des informations relatives aux effets indésirables par les laboratoires pharmaceutiques à la base de données européenne Eudravigilance .

Les traitements de données à caractère personnel résultant des activités de pharmacovigilance, ainsi que l'échange de ces données, y compris à l'international, au-delà de leur caractère obligatoire, présentent un intérêt majeur pour la santé publique et la prise en charge thérapeutique des patients en ce qu'ils permettent de partager toute information nouvelle relative à un potentiel d'effet indésirable lié à l'utilisation d'un médicament, quel que soit le lieu de sa survenue, et de déterminer ainsi les mesures nécessaires pour en prévenir et en réduire le risque. Ces traitements relèvent dès lors des dispositions des articles 8-IV et 25-I-1° de la loi du 6 janvier 1978 modifiée.

En application de l'article 25-II de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.

Les responsables de traitements exploitants de médicaments qui adressent à la Commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.

Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.


Article 1 - Sur la finalité des traitements :

Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements mis en œuvre par ou pour le compte des laboratoires exploitants et ayant pour finalité :

- la collecte, l'enregistrement, l'analyse, le suivi, la documentation, la transmission et la conservation, des données relatives aux risques d'effet indésirables résultant de l'utilisation de médicaments et produits mentionnés aux articles L. 5121-1 et R. 5121-150 du code de la santé publique et des contraceptifs mentionnés à l'article L. 5134-1 du même code, ainsi que les informations relatives à un mésusage, un surdosage, un abus, une erreur médicamenteuse, une exposition professionnelle ou à une utilisation d'un médicament pendant l'allaitement ou la grossesse ;

- la gestion des contacts, par le laboratoire, avec le notificateur (patient, membre d'une association agréée de patients, professionnels de santé, membre d'une autorité de santé), avec la personne devant être interrogée pour obtenir des précisions sur l'effet indésirable signalé ou le professionnel de santé ayant suivi la personne ayant présenté l'effet indésirable.

Article 2 - Sur la nature des données traitées :

a) Les seules données à caractère personnel relatives aux personnes présentant un effet indésirable et pouvant être traitées par le laboratoire dans le cadre de la pharmacovigilance sont :

1° Les données systématiquement collectées :

- Données d'identification du patient : numéro, code alphanumérique ou code alphabétique d'identification tel que prévu par le formulaire Cerfa de déclaration d'un effet indésirable, informations signalétiques (âge, année ou date de naissance, sexe, poids, taille) ;

- Données de santé : traitements administrés, résultats d'examens, nature du ou des effets indésirables, antécédents personnels ou familiaux, maladies ou événements associés, facteurs de risque ; informations relatives au mode de prescription et d'utilisation des médicaments et à la conduite thérapeutique du prescripteur ou des professionnels de santé intervenant dans la prise en charge de la maladie ou de l'effet indésirable ;

- Données d'identification des professionnels de santé concernés par l'observation.

2° Les données collectées lorsqu'elles sont strictement nécessaires à l'appréciation de l'effet indésirable :

- Données de santé : informations relatives à l'ascendance et à la descendance de la personne, s'il s'agit d'un nouveau-né ou en cas de grossesse ou d'allaitement ;

- Données relatives à la vie professionnelle : professions actuelle et antérieures (dans les seuls cas où cela peut être justifié pour l'évaluation de l'événement indésirable) ;

- Consommation de tabac, alcool, drogues ;

- Habitudes de vie et comportements : dépendance (seul, en institution, autonome, grabataire), assistance (aide ménagère, familiale), exercice physique (intensité, fréquence, durée), régime et comportement alimentaire ;

- Mode de vie (urbain, semi-urbain, nomade, sédentaire) et habitat (maison particulière ou immeuble, étage, ascenseur) ;

- Vie sexuelle ;

- Origine ethnique, uniquement dans les cas où le Résumé des Caractéristiques du Produit (RCP) d'un exploitant concerné par un signalement comporte des informations particulières relatives à l'origine ethnique des personnes et selon les critères définis dans le RCP.

Les responsables de traitements doivent mettre en place les mesures techniques adéquates afin que les données codées relatives aux patients soient séparées des autres données.

b) Les seules données à caractère personnel relatives au notificateur lorsque celui-ci n'est pas un professionnel de santé (patient ou membre d'une association agréée de patients) et pouvant être traitées par le laboratoire pour obtenir des précisions dans le cadre de la pharmacovigilance sont :

- Le nom, le nom d'usage et le(s) prénom(s) ;

- Le numéro de téléphone et de télécopie ;

- L'adresse électronique ou, à défaut, l'adresse postale ;

c) Les seules données à caractère personnel relatives au membre d'une autorité de santé ou au professionnel de santé notificateur (ou ayant suivi le patient) pouvant être traitées par le laboratoire pour obtenir des précisions dans le cadre de la pharmacovigilance sont :

- Le nom, le nom d'usage et le(s) prénom(s) ;

- Le numéro de téléphone et de télécopie ;

- L'adresse électronique ;

- Une adresse postale ;

- La spécialité du professionnel de santé.

Article 3 - Sur la durée de conservation des données :

Les données et documents de pharmacovigilance relatifs à une spécialité pharmaceutique sont conservés pendant la durée de l'autorisation de mise sur le marché et dix ans après que cette autorisation cesse d'exister.

A l'expiration de ce délai, les données sont supprimées ou archivées sous une forme anonymisée.

La conservation et l'archivage des données doivent être réalisés dans des conditions de sécurité conformes aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.

Article 4 - Sur les destinataires des données :

Ont accès aux données traitées les différents services du laboratoire exploitant :

- le responsable de la pharmacovigilance, ainsi que ses collaborateurs placés sous sa responsabilité ;
- le pharmacien responsable ou son représentant, ainsi que toute personne dûment habilitée et placée sous sa responsabilité, dans la limite de ses attributions et pour ce qui la concerne ;

- les personnes habilitées du service des affaires juridiques et des affaires réglementaires, en fonction des dossiers qu'elles ont à traiter dans le cadre de la gestion des réclamations.

Le service chargé des audits peut, de façon ponctuelle et motivée, avoir accès à ces données pour vérifier le respect des exigences réglementaires et des procédures internes dans la limite de ses attributions et pour ce qui le concerne.

Peuvent également être destinataires de ces données :

- les prestataires de services intervenant pour le compte et sous la responsabilité du laboratoire dans le cadre de son activité de pharmacovigilance, dans la limite de leurs fonctions et dans les conditions définies par le contrat les liant à l'exploitant ;

- les autres sociétés du groupe auquel appartient le laboratoire exploitant ainsi que ses partenaires qui participent à l'exploitation ou à la commercialisation du médicament mis en cause, à l'exception de l'identité du notificateur telle que prévue à l'article 2.b) ;

- les laboratoires tiers dont un des médicaments pourrait être mis en cause, à l'exception de l'identité du notificateur telle que prévue à l'article 2.b) ;

- les professionnels de santé concernés par le signalement ;

- les organismes publics nationaux, communautaires ou étrangers en charge de la pharmacovigilance dans le cadre de l'exercice de leurs missions telles que définies par les textes : les centres régionaux de pharmacovigilance (CRPV), l'Agence Nationale de Sécurité du Médicament et des produits de santé (ANSM), l'Agence européenne du médicament (EMA), les autorités ou agences sanitaires nationales étrangères et les autorités ou agences sanitaires internationales qui peuvent avoir accès aux données à caractère personnel relatives aux personnes traitées par le laboratoire dans le cadre de la pharmacovigilance.

Article 5 - Sur les mesures de sécurité :

Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité.

Le responsable du traitement définit, met en œuvre et contrôle la mise en œuvre d'une politique de sécurité qui devra notamment décrire:

- les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;

- les habilitations d'accès aux données, en fonction du besoin des utilisateurs du système d'information, en particulier les mesures de restriction de l'accès à l'identité du notificateur, les modalités d'accès aux traitements, dont les mesures d'identification et d'authentification ; les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l'historique des connexions ;

- les mesures de sécurité devant être mises en œuvre pour les transmissions de données.

Cette politique de sécurité doit être définie au regard des risques identifiés aux termes d'une analyse des risques présentés par le traitement (cette analyse devra notamment couvrir les risques que peut présenter le traitement sur les libertés et la vie privée des personnes).

Article 6 - Sur l'information et les droits d'accès et de rectification :

S'agissant des patients, l'information est réalisée et les droits d'accès et de rectification s'exercent dans les conditions suivantes :

- si le patient a contacté le laboratoire par courrier, une mention, établie conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée, est insérée dans le courrier de réponse (papier ou électronique) ou communiquée par téléphone. Cette même mention précise les modalités d'exercice des droits d'accès et de rectification ;

- si le patient contacte le laboratoire par téléphone, une information orale (par exemple un message vocal) indique les différentes informations devant être communiquées aux personnes dont des données personnelles sont traitées, conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée. Ce message oral précise les modalités d'exercice des droits d'accès et de rectification.

Dans ces deux cas, le patient peut exercer ses droits d'accès et de rectification auprès du (ou des) service(s) que le responsable du traitement exploitant de médicaments a désigné(s) dans la mention d'information ou le message oral ;

- si la notification au laboratoire est effectuée par un membre d'une association agréée de patients ou un professionnel de santé, ce dernier communique oralement au patient les différentes informations devant lui être communiquées conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée. Le membre de l'association agréée de patients ou le professionnel de santé informe également le patient que ses droits d'accès et de rectification ne peuvent s'exercer que par son intermédiaire, le laboratoire n'ayant pas accès à l'identité des patients.

S'agissant des membres des associations agréées de patients et des professionnels de santé, l'information s'effectue au moyen d'une mention, reprenant les différentes informations devant être communiquées aux personnes dont les données à caractère personnel sont traitées. Cette mention est insérée dans le courrier qui est adressé aux membres des associations agréées de patients et des professionnels de santé dans le cadre de la pharmacovigilance. Cette même mention précise les modalités d'exercice des droits d'accès et de rectification.

Les droits d'accès et de rectification s'exercent auprès du ou des services désigné(s) par le responsable de traitement dans la mention d'information.

Article 7 - Sur les transferts des données hors de l'Union européenne :

Dès lors que les données relatives au patient ne comprennent comme données d'identité qu'un code alphanumérique ou alphabétique tel que prévu à l'article 2 a), elles peuvent être transférées hors de l'Union européenne, en particulier vers les organismes publics étrangers en charge de la pharmacovigilance, les autorités et agences sanitaires internationales, les prestataires de service liés par contrat à l'exploitant et les autres sociétés du groupe auquel appartient le laboratoire exploitant.

Les données relatives aux notificateurs (patients, membres des associations agréées de patients et professionnels de santé) peuvent être transférées, en tant que de besoin, hors de l'Union européenne sous une forme anonymisée ne permettant pas de révéler l'identité des personnes concernées.

Tout transfert de ces données vers une personne morale établie dans un pays non membre de l'Union européenne et n'accordant pas une protection suffisante au sens de l'article 68 de la loi du 6 janvier 1978 modifiée doit s'opérer conformément aux dispositions spécifiques de la loi du 6 janvier 1978 modifiée relatives aux transferts internationaux de données, notamment à son article 69, alinéa 8.

Il est satisfait à ces dispositions lorsque l'une des conditions suivantes est réunie :

- les transferts s'effectuent à destination d'un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d'une entreprise américaine ayant adhéré aux principes du Safe Harbor ;

- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l'adoption de règles internes d'entreprise (dénommées BCR ), dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant ;

- ils correspondent à l'une des exceptions prévues à l'article 69 de la loi du 6 janvier 1978 modifiée, dont le champ d'application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l'objet d'un encadrement juridique spécifique ( BCR , clauses contractuelles types ou Safe Harbor).

Le responsable de traitement doit avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers, dans les conditions prévues par les dispositions de l'article 91 du décret du 20 octobre 2005 modifié.

S'il est satisfait à ces conditions, et si le traitement dont le transfert est issu est par ailleurs conforme à l'ensemble des autres dispositions de la présente délibération, l'engagement de conformité à la présente autorisation unique porte également autorisation du transfert envisagé en application de l'article 69, alinéa 8, de la loi du 6 janvier 1978 modifiée.


Article 8 - Dispositions transitoires.

La délibération n° 2008-005 du 10 janvier 2008 portant autorisation unique de mise en œuvre par les entreprises ou organismes exploitants de médicaments de traitements automatisés de données à caractère personnel relatifs à la gestion des données de santé recueillies dans le cadre de la pharmacovigilance des médicaments postérieurement à leur mise sur le marché est abrogée.

Les responsables de traitements ayant effectué un engagement de conformité en référence à la délibération n° 2008-005 du 10 janvier 2008 et qui ne respectent pas les conditions fixées par la présente délibération disposent d'un délai de douze mois à compter de la publication de la présente délibération pour mettre leur traitement en conformité.


Article 9 - Publication.

La présente délibération sera publiée au Journal officiel de la République française.

La Présidente


Isabelle FALQUE-PIERROTIN

Retourner en haut de la page