Le RGPD dans le secteur médical

,
par Dave Jensen, rédacteur chez MasterControl
Soyons réalistes : tant qu’il existera des données médicales d’intérêt, des failles seront exploitées pour tenter de les dérober. Cependant, un point est particulièrement positif : les agences de réglementation du monde entier renforcent actuellement les mesures sécurisant de telles informations.
Le Parlement européen se prépare à publier un ensemble de règles strictes visant à protéger celles associées aux participants à des essais cliniques, ainsi qu’aux patients. Ces individus sont appelés des « personnes concernées ». Cette nouvelle loi, connue sous le nom de « Règlement général sur la protection des données » (ou « RGPD »), a été adoptée en 2016 par l’Union européenne, en complément de la directive établie en 1995. Toutes les entreprises qui collectent et traitent des données relatives à des citoyens de l’Union européenne, ainsi que du Royaume-Uni, doivent se conformer à ces nouvelles prérogatives essentielles au plus tard le 25 mai 2018.

Le RGPD, c’est quoi exactement ?

Le RGPD a été instauré pour élargir les droits des personnes concernées en matière de confidentialité. Il a également pour but d’empêcher toute exploitation frauduleuse des données des personnes . Enfin, il vient réguler le traitement et l’exportation des informations stockées au sein de l’Union Européenne, qu’elles soient ou non liées à des ressortissants du continent.
Ce n’est pas tout : l’une des implications majeures du RGPD est l’harmonisation, au sein de l’Europe, des lois régissant la confidentialité.1 Bien que certains pays puissent choisir de faire entrer des régulations plus restrictives en vigueur, tous doivent mettre en place un même niveau de protection empêchant la divulgation ou le partage des éléments suivants :

  • Les coordonnées standard, comme le nom, l’adresse et le numéro de sécurité sociale ;
  • Les données Web, comme l’adresse IP et les informations enregistrées par les cookies ;
  • Les données biométriques ;
  • L’origine ethnique ;
  • Les opinions politiques ;
  • L’orientation sexuelle ;
  • Les tissus humains.

Il est fort possible que votre entreprise doive apporter les modifications qui s’imposent à ses systèmes et protocoles.

Qui sera affecté par le RGPD ?

Le RGPD s’applique à la fois aux contrôleurs et aux sous-traitants des données permettant l’identification directe ou indirecte d’une personne. Le contrôleur détermine la manière dont celles-ci seront traitées, à quelles fins et dans quelles conditions par le sous-traitant.
Géographiquement parlant, la portée du RGPD s’étend à toutes les entreprises basées dans l’Union européenne. Cependant, celles opérant hors de cette région, mais traitant les données de citoyens européens, y sont elles aussi soumises.2

Que faut-il faire pour se conformer au RGPD ?

Le RGPD diffère clairement de la directive de 1995. La confidentialité constitue toujours la priorité centrale, mais les exigences ont été réexaminées afin de mieux s’accorder avec les procédés et technologies avancées d’aujourd’hui.
Sa ressemblance est proche avec la partie 21 du CFR de la FDA américaine. Alors que toutes vos procédures opérationnelles normalisées doivent être conformes au règlement, vous devez, en outre, vous assurer que les organisations avec lesquelles vous échangez des données le respectent également.
Traitement des données
Le RGPD n’indique pas à proprement parler comment vous devez gérer et stocker les données collectées. Néanmoins, il souligne qu’il est essentiel d’en connaître le type et le volume, ainsi que l’emplacement, et d’être parfaitement familier des risques induits et des actions à entreprendre. Si vous souhaitez vous conformer au règlement, vous devez :

  • identifier l’intégralité des données associées à chaque personne concernée, ainsi que chaque entité externe vous fournissant celles-ci.
  • déterminer la manière dont vous allez exploiter les données à caractère personnel.
  • connaître l’emplacement des données transférées et les procédés mis en place pour protéger celles-ci lors de leur transport.
  • savoir où se trouvent tous vos serveurs, et lesquels sont spécifiquement employés pour stocker, traiter et transférer les données.

Vous êtes, d’autre part, invité à sécuriser les échanges de données entre tous vos systèmes, parmi lesquels :

  • les serveurs.
  • les postes de travail.
  • les entrepôts.
  • les appareils mobiles.
  • les appareils portables.

Consentement
Le processus de consentement a été à la fois renforcé et simplifié par le RGPD : les demandes de consentement doivent désormais être concises et claires. Les formulaires ad hoc doivent, quant à eux, être accessibles facilement et aisément compréhensibles.2 D’autres conditions ont été édictées :

  • Les personnes concernées doivent pouvoir mettre fin à leur consentement aussi facilement qu’elles l’ont accordé.
  • Les personnes concernées sont autorisées à demander la suppression de leurs données (elles doivent cependant rester à disposition des fournisseurs de soins médicaux pendant une durée raisonnable, qui aura été spécifiée aux personnes concernées par ces derniers).
  • Les personnes concernées sont autorisées à demander à ce que leurs données ne soient plus traitées ou communiquées à l’avenir.
  • Les personnes concernées sont autorisées à demander gratuitement une copie de leurs données.

Délégué à la protection des données
Le rôle du délégué à la protection des données (DPD) est de s’assurer que la gestion et le traitement des données s’effectuent conformément au RGPD.
Le RGPD indique dans quelles circonstances une entreprise est appelée à nommer un tel délégué. Cette action est obligatoire uniquement si un volume très élevé d’informations sensibles est contrôlé et traité.2
Il est néanmoins conseillé de faire appel à un délégué dès que des données confidentielles sont manipulées, quelle que soit leur quantité. Voici quelques recommandations à prendre en compte :

  • Il n’est pas nécessaire de créer un nouveau poste. Un responsable de la qualité peut très bien remplir ce rôle, à partir du moment où aucun conflit d’intérêts n’a lieu.
  • Toutes les réglementations, lois et meilleures pratiques applicables doivent être connues par le DPD.
  • Le DPD doit pouvoir fournir des suggestions éclairées lorsque nécessaire.
  • Les entreprises peuvent faire appel à un DPD externe.

 
Notification en cas de fuite de données
En cas de fuite de données, il est obligatoire de contacter les autorités compétentes dans les 72 heures. Les clients du sous-traitant devront également être informés dans les mêmes délais. Si ce n’est pas le cas, un motif documenté doit être avancé pour expliquer leur non-respect.
Formation des employés
La conformité au RGPD doit passer par la formation des employés. Ceux-ci doivent non seulement être formés à toutes les implications du RGPD, mais également aux politiques de sécurité mises en place dans leur entreprise. Tout doit donc être revu : les technologies et les procédés généraux.

Que se passe-t-il si l’on ne se conforme pas au RGPD ?

Tous les pays membres de l’Union Européenne doivent se conformer au RGPD au 25 mai 2018. Dans le cas contraire, ils s’exposent à des amendes pouvant atteindre 20 millions d’euros, ou jusqu’à 4 % du revenu annuel de l’entreprise en question. Des paliers ont été définis : vous serez, par exemple, redevable de 2 % si vous n’avez pas procédé à une évaluation des risques, si les dossiers associées ne sont pas correctement consignés, ou si vous n’avez pas alerté les autorités en cas de fuite.

Conclusion

À première vue, le processus de conformité au RGPD peut sembler intimidant. Cela étant dit, si l’on s’y intéresse de plus près, on remarque qu’un système efficace et électronique de gestion de la qualité, s’il est à portée, le facilite grandement. Grâce à lui, vous pouvez :

  • gérer des volumes élevés de données et en assurer l’intégrité et la sécurité.
  • prendre en compte toutes les exigences qui s’imposent.
  • contrôler le niveau de conformité des fournisseurs.
  • vérifier que toutes les formations adéquates ont bien été suivies et mises à jour si nécessaire.

Pour l’instant, le RGPD concerne uniquement l’Europe. Malgré cela, et car la confidentialité et la protection des données constitue une préoccupation majeure, il est très probable qu’il s’adresse rapidement à d’autres continents.
 
Références

  1. Règlement (UE) 2016 du Parlement européen et du Conseil http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/fr/pdf
  2. Portail EUGDPR.org https://www.eugdpr.org/key-changes.html

 
MasterControl David Jensen protection des données
David Jensen est spécialiste de la communication & marketing chez MasterControl. Il a écrit du contenu technique, marketing et de relations publiques dans les domaines de la technologie, du développement professionnel, des affaires et des environnements réglementés pendant plus de deux décennies. Il est titulaire d’un baccalauréat en communications de la Weber State University et d’une maîtrise en communication professionnelle du Westminster College.