RGPD dans l’industrie des produits de santé 1/3 - Publication d’un guide pratique sur la protection des données personnelles CNIL/ Conseil national de l’Ordre des médecins

A la suite de l’entrée en application du RGPD[1] le 25 mai 2018 et dans le but d’assister notamment les médecins à se mettre en conformité avec cette nouvelle réglementation, la CNIL et le CNOM (Conseil national de l’Ordre des médecins) ont adopté un guide pratique. Certaines fiches thématiques contenues dans le guide pourraient cependant être utiles à l’industrie des produits de santé.  

En effet, alors que certains guides[2] et outils de conformité[3] adoptés par la CNIL peuvent avoir une portée très générale et concerner tout type d’activité, le guide co-rédigé par la CNIL et le CNOM procède par exemples à travers six fiches thématiques - tout en conservant néanmoins l’esprit de caractère général formulé par le RGPD s’agissant des données de santé. Pour chacune des thématiques abordées, le guide propose une « check-list des bonnes pratiques à respecter » pour une conformité au RGPD.

Par ailleurs, si ce guide a pour ambition d’aider les médecins en exercice libéral dans la mise en œuvre des obligations prévues par le nouveau droit sur la protection des données personnelles, il apporte des précisions s’agissant notamment des recherches et de l’utilisation des technologies en consacrant trois fiches pratiques relatives à l’utilisation de la messagerie électronique, aux téléphones portables et tablettes et à la télémédecine pouvant être utilisées par l’industrie des produits de santé.

Les fiches thématiques relatives au cadre applicable à la télémédecine (1), et aux recherches (2) seront abordées ci-après.

1. Cadre applicable à la télémédecine

Si le titre de cette fiche implique qu’elle a vocation à s’appliquer à l’ensemble des activités de télémédecine, - qui regroupent essentiellement pour mémoire la téléconsultation, téléexpertise, téléassistance, et télésurveillance médicale[4], - le guide ne semble s’appliquer qu’à la téléexpertise et à la téléconsultation.

Ces deux actes constituant une forme de pratique médicale, le guide rappelle que l’ensemble des obligations déontologiques habituelles ainsi que les règles relatives à l’échange et au partage de données entre les professionnels intervenant dans la prise en charge d’un patient sont applicables. L’industrie devra alors prendre en compte ces réglementations ainsi que leurs implications dans la mise en place des activités de télémédecine.

Enfin, des données de santé étant collectées, la plateforme de télémédecine mise en place devrait être hébergée par un hébergeur de données de santé agréé ou certifié. 

2. Cadre applicable aux recherches

La fiche relative aux recherches donne quant à elle des éléments de compréhension (i) sur des études  « sur des patients dont vous assurez la prise en charge (« études internes ») » ; et (ii) sur les recherches médicales « en partenariat avec un tiers (recherche dite multicentrique) ou nécessitant un recueil de données supplémentaires ».

S’agissant des recherches multicentriques à l’initiative de l’industrie, le guide précise qu’il revient au promoteur d’accomplir les formalités auprès de la CNIL en qualité de responsable de traitement. Alors, par exemple, si une méthodologie de référence telle que la MR-001 existe, le promoteur devra procéder à une déclaration de conformité à cette méthodologie ou à défaut obtenir une autorisation de la CNIL.

Il lui convient également de réaliser une analyse d’impact « si le traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques et renseigner le registre des activités de traitement » (la notion de « risque élevé » reste toutefois à apprécier).

Enfin, il sera noté s’agissant des recherches dans le cadre de la santé avec recueil du consentement que la CNIL a récemment mis à jour notamment la MR-001. Un commentaire sera réalisé dans un second article prochainement.

[1] Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Implémentation à travers la loi n°2018-493 relative à la protection des données personnelles.
[2] Page « Vos démarches en ligne » sur le site de la CNIL.
[3] Page « Les outils de la conformité » sur le site de la CNIL.
[4] Art. R. 6316-1 du Code de la santé publique.