La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, notamment ses articles 8-I, 8-IV et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié le 25 mars 2007 ;
Vu le code de la santé publique, et notamment ses articles R. 5121-150 à R. 5121-201 ;
Vu l'arrêté du 28 avril 2005 relatif aux bonnes pratiques de pharmacovigilance ;
Après avoir entendu M. Jean-Pierre de Longevialle, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La pharmacovigilance, dont les règles sont harmonisées au plan communautaire par les dispositions du titre IX de la directive 2001/83/CE du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain, a pour objet, aux termes de l'article R. 5121-150 du code de la santé publique, la surveillance du risque d'effet indésirable résultant de l'utilisation des médicaments et produits à usage humain mentionnés aux articles L. 5111-2 et L. 5121-1 et des contraceptifs mentionnés à l'article L. 5134-1.
A ce titre, les exploitants de médicaments sont tenus d'enregistrer tout effet indésirable grave survenu en France et susceptible d'être dû à ce médicament ou produit ayant été porté à leur connaissance par un professionnel de santé ou par les autorités sanitaires. Les exploitants de médicament sont également tenus de signaler tous les autres effets indésirables graves survenus en France et susceptibles d'être dus à ce médicament ou produit, dont ils peuvent prendre connaissance, compte tenu notamment de l'existence de publications en faisant état ou de leur enregistrement dans des bases de données accessibles, ou qui ont fait l'objet d'une déclaration répondant aux critères fixés par les bonnes pratiques de pharmacovigilance définies en application de l'article R. 5121-179, et tout effet indésirable grave et inattendu survenu dans un pays tiers et susceptible d'être dû à ce médicament ou produit ayant été porté à leur connaissance (art. R. 5121-171 du code de la santé publique).
Les exploitants de médicaments sont tenus également de conserver des informations détaillées relatives à tous les effets indésirables survenus à l'intérieur ou à l'extérieur de la Communauté européenne, et susceptibles d'être dus à ce médicament ou produit (art. R. 5121-172 du code de la santé publique).
Les bonnes pratiques de pharmacovigilance approuvées par arrêté du ministre chargé de la santé du 28 avril 2005 recommandent « vivement » de mettre en œuvre un traitement informatisé. En outre, les dispositions communautaires imposent une transmission électronique des informations relatives aux effets indésirables par les laboratoires à l'Agence européenne du médicament (European Medicines Agency Home-EMEA).
L'exploitant est ainsi amené à traiter des données personnelles de santé et ces traitements répondent tous à une même exigence réglementaire, ont la même finalité et traitent les mêmes données pour les mêmes destinataires.
La pharmacovigilance et les traitements de données personnelles associées, ainsi que l'échange international de ces données, au-delà de leur caractère obligatoire, présentent un intérêt majeur pour la santé publique et la prise en charge thérapeutique des patients par des médicaments en ce qu'ils permettent de partager toute nouvelle information relative à un potentiel effet indésirable d'un médicament quel que soit le lieu de sa survenue.
Les signalements d'effets indésirables par les professionnels de santé au laboratoire exploitant ne nécessitent pas la communication de l'identité du patient. L'exploitant d'un médicament à qui un effet indésirable est signalé doit pouvoir demander des précisions au(x) professionnel(s) de santé ayant suivi le patient. Par ailleurs, le laboratoire peut être directement contacté par le patient ; dans ce cas le laboratoire connaît l'identité complète de la personne mais l'identité « en clair » du patient n'est pas enregistrée dans la base de données informatisée.
Les traitements de pharmacovigilance ainsi mis en œuvre poursuivent un intérêt de santé public et relèvent des dispositions des articles 8-IV et 25-I et II de la loi du 6 janvier 1978. En effet, dans la mesure où ils répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes catégories de destinataires, la commission peut adopter une décision unique d'autorisation.
Dans ces conditions, la commission décide que les responsables de traitement exploitants de médicaments qui lui adressent une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.
Finalités du traitement.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements mis en œuvre par ou pour le compte des laboratoires exploitants et ayant pour finalité :
― la collecte, la conservation, l'analyse, le suivi, la documentation et la transmission des données relatives aux risques d'effet indésirables résultant de l'utilisation de médicaments et produits à usage humain mentionnés aux articles L. 5111-2 et L. 5121-1 du code de la santé publique et des contraceptifs mentionnés à l'article L. 5120-20 du code de la santé publique, ainsi que les informations relatives à un mésusage, un surdosage, un abus ou à une utilisation d'un médicament pendant l'allaitement ou la grossesse ;
― la gestion des contacts, par le laboratoire, avec les professionnels de santé ayant signalé un effet indésirable, un mésusage, un surdosage, un abus ou une utilisation d'un médicament pendant l'allaitement ou la grossesse, ou devant être interrogés pour obtenir des précisions sur l'effet indésirable.
Données à caractère personnel traitées.
a) Les seules données à caractère personnel relatives aux personnes pouvant être traitées par le laboratoire dans le cadre de la pharmacovigilance sont :
1° Les données systématiquement collectées :
1. Identité : numéro ou code alphanumérique d'identification (1) ;
2. Santé : traitements administrés, résultats d'examens, nature du ou des effets indésirables, antécédents personnels ou familiaux, maladies ou événements associés, facteurs de risque ; informations relatives au mode de prescription et d'utilisation des médicaments et à la conduite thérapeutique du prescripteur et/ou des professionnels de santé intervenant dans la prise en charge de la maladie ou de l'effet indésirable ;
3. Informations signalétiques : année de naissance ou date de naissance, sexe, poids, taille ;
4. Identité des professionnels de santé concernés par l'observation ;
2° Les données collectées lorsqu'elles sont nécessaires à l'appréciation de l'effet indésirable :
1. Vie professionnelle : profession actuelle et antérieures (dans les seuls cas où cela peut être justifié pour l'évaluation de l'événement indésirable) ;
2. Consommation de tabac, alcool, drogues ;
3. Habitudes de vie et comportements :
― dépendance (seul, en institution, autonome, grabataire) ;
― assistance (aide ménagère, familiale) ;
― exercice physique (intensité, fréquence, durée) ;
― régime et comportement alimentaire ;
4. Mode de vie :
― urbain, semi-urbain, nomade, sédentaire ;
― habitat (maison particulière ou immeuble, étage, ascenseur) ;
5. Vie sexuelle.
b) Les seules données à caractère personnel relatives au(x) professionnel(s) de santé notificateur(s) ou ayant été interrogé(s) par le laboratoire pouvant être traitées par le laboratoire pour obtenir des précisions dans le cadre de la pharmacovigilance sont :
1. Le nom, le nom d'usage et le(s) prénom(s) ;
2. L'adresse professionnelle ;
3. Le numéro de téléphone et de télécopie ;
4. L'adresse électronique ;
5. La spécialité.
Destinataires des informations.
Les différents services du laboratoire exploitant :
― le responsable de la pharmacovigilance et ses collaborateurs ont accès à l'ensemble des informations ;
― le pharmacien responsable et la direction médicale ont accès aux informations dans la limite de leurs attributions et pour ce qui les concerne ;
― les personnes habilitées du service des affaires juridiques et des affaires réglementaires ont accès aux informations en fonction des dossiers qu'elles ont à traiter dans le cadre de la gestion des réclamations.
Le service chargé des audits peut, de façon ponctuelle et motivée, avoir accès à ces données pour vérifier le respect des exigences réglementaires et des procédures internes.
Peuvent également être destinataires des informations :
― les prestataires de services intervenant pour la pharmacovigilance, dans le cadre et la limite de leurs fonctions et dans les conditions définies par le contrat les liant à l'exploitant ;
― les autres sociétés du groupe auquel appartient le laboratoire exploitant ainsi que ses partenaires qui participent à l'exploitation ou à la commercialisation du médicament mis en cause ;
― les laboratoires tiers dont un des médicaments pourrait être mis en cause ;
― les professionnels de santé visés par la notification ;
― les organismes publics nationaux, communautaires ou étrangers en charge de la pharmacovigilance dans le cadre de l'exercice de leurs missions telles que définies par les textes : les centres régionaux de pharmacovigilance, l'Agence française de sécurité sanitaire des produits de santé, l'Agence européenne du médicament, les autorités ou agences sanitaires nationales étrangères et les autorités ou agences sanitaires internationales qui peuvent avoir accès aux données à caractère personnel relatives aux personnes traitées par le laboratoire dans le cadre de la pharmacovigilance.
Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
Le responsable du traitement définit une politique de sécurité qui devra notamment décrire :
― les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
― les modalités d'accès aux traitements, dont les mesures d'identification et de vérification de la qualité des utilisateurs, et de recours à des dispositifs d'accès sécurisés ;
― les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l'histoire des connexions.
Un audit pourra être effectué pour tout projet commencé avec un nouveau prestataire. Le plan de l'audit couvre notamment la vérification du plan qualité de l'entreprise, de la validation des systèmes informatiques avec l'existence d'un système de sauvegarde et de récupération des données.
Information des personnes, droit d'accès et de rectification.
S'agissant des patients, l'information s'effectue et les droits d'accès et de rectification s'exercent ainsi :
― si le patient a contacté le laboratoire par courrier, une mention, établie conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée, est insérée dans le courrier de réponse (papier ou électronique) ou communiquée par téléphone. Cette même mention précise les modalités d'exercice du droit d'accès ;
― si le patient contacte le laboratoire par téléphone, une information orale (par exemple un message vocal) indique les différentes informations devant être communiquées aux personnes dont des données personnelles sont traitées, conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée. Ce message oral précise les modalités d'exercice du droit d'accès.
Dans ces deux cas, le patient peut exercer ses droits d'accès et de rectification auprès du ou des services que le responsable du traitement exploitant de médicaments a désignés dans la mention d'information ou le message oral ;
― si la notification au laboratoire est effectuée par un professionnel de santé, ce dernier communique oralement au patient les différentes informations devant lui être communiquées conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée. Le professionnel de santé informe également le patient que son droit d'accès et de rectification ne peut s'exercer que par son intermédiaire, le laboratoire n'ayant pas accès à l'identité des patients.
S'agissant des professionnels de santé, l'information s'effectue ainsi :
― une mention, reprenant les différentes informations devant être communiquées aux personnes dont des données personnelles sont traitées (conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée), est insérée dans chaque courrier adressé aux professionnels de santé dans le cadre de la pharmacovigilance. Cette même mention précise les modalités d'exercice du droit d'accès ainsi que le fait qu'il peut y avoir transfert de leurs données hors de l'Union européenne et sous quelle forme.
Les droits d'accès et de rectification s'exercent auprès du ou des services que le responsable de traitement aura désignés dans la mention d'information.
Transfert des données hors de l'Union européenne.
Dès lors que les données relatives aux patients ne comprennent comme données d'identité qu'un code alphanumérique, elles peuvent être transférées hors de l'Union européenne, en particulier vers les organismes publics étrangers en charge de la pharmacovigilance, les autorités et agences sanitaires internationales et les prestataires de service liés par contrat à l'exploitant.
Les données relatives aux professionnels de santé peuvent être transférées, en tant que de besoin, hors de l'Union européenne à l'exclusion de l'identité complète du professionnel de santé. Tout transfert de l'identité complète d'un professionnel de santé vers une personne morale établie dans un pays non membre de l'Union européenne n'accordant pas une protection suffisante au sens de l'article 68 de la loi du 6 janvier 1978 modifiée doit faire l'objet d'une autorisation particulière de la CNIL, conformément à l'article 69, alinéa 8, de la loi précitée.
La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 10 janvier 2008.
Le président,
A. Turk