L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    

    Acteurs

    Industries de santé: "le RGPD n’est pas une révolution mais une continuité" (Cnil)

    PARIS (TICpharma) - Alors que le règlement général relatif à la protection des données (RGPD) entre en vigueur ce vendredi 25 mai dans toute l'Union européenne (UE) et redéfinit le traitement des données à caractère personnel, Valérie Peugeot, spécialiste des usages numériques et commissaire à la Commission nationale de l'informatique et des libertés (Cnil), et ‎Hélène Guimiot-Breaud, cheffe du service santé, sont revenues pour TICpharma sur les impacts du RGPD pour les industries de santé.

    TICpharma.com: Pour la première fois, un règlement vient définir les données personnelles à l’échelle européenne et concerne tous les domaines dont celui de la santé. En quoi les données de santé sont-elles particulières?

    Valérie Peugeot (Crédits: Cnil)

    Valérie Peugeot: Les données de santé sont particulièrement sensibles puisqu’elles parlent de nous: de notre histoire, de nos souffrances, de notre intimité et elles nous concernent tous. Par ailleurs, il y a une multitude d’acteurs -du monde de la recherche, de l’entreprise, etc.- qui entendent utiliser les données de santé pour permettre à la médecine de progresser, proposer de nouveaux services... Cette récente ébullition explique aussi toute l’attention portée aux données de santé et à leurs usages.

    Comment allez-vous accompagner ces nouveaux acteurs?

    V.P.: Il n’y a pas de rupture. La Cnil accompagne tous les acteurs dans leur mise en conformité avec le RGPD via différents outils juridiques, pratiques et un suivi au quotidien selon leurs besoins. Par exemple, en matière d’étude d’impact, la Cnil a mis en ligne un outil pour que les acteurs puissent établir seuls un diagnostic sur l’analyse d'impact relative à la protection des données (DPIA).

    Hélène Guimiot-Breaud (Crédits: Cnil)
    Hélène Guimiot-Breaud: La Cnil dispose d’un service consacré à l’accompagnement des correspondants informatique et libertés (CIL). Le RGPD a fait évoluer ce poste et désormais il s’agit de délégués à la protection des données (DPO). Chaque organisme public et chaque structure traitant à grande échelle des données sensibles (dont des données de santé) ont l'obligation de nommer un DPO, donc cela va changer notre façon d’accompagner ces acteurs dans la mesure où ils seront plus nombreux. Nous invitons les acteurs de terrain à s’organiser en réseau (association, fédération, syndicat, etc.) et nous privilégierons les échanges avec ces derniers. Dans le secteur de la santé, par exemple, il s’agit notamment du Leem (Les entreprises du médicament), de l’Afcros (l'Association française des sociétés de recherche clinique sous contrat) ou des fédérations hospitalières.

    Quel est le profil type d’un DPO?

    H.G.-B.: Il n’y a pas de profil type, il s’agit en réalité d’un "mouton à 5 pattes". Il doit allier des compétences juridiques et techniques pour fédérer et coordonner les services de son entreprise ou organisme, et jouer son rôle de chef d’orchestre de la protection des données. Pour ce faire, il doit disposer des moyens suffisants pour exercer ses missions (temps, moyens humaines et matériels, accès aux informations, implication en amont des projets) et être en capacité d'agir en toute indépendance.

    V.P.: Le privacy by design, ou la protection des données "dès la conception", est une autre notion très importante prévue par le RGPD. Le rôle du DPO sera de diffuser cette notion dans son entreprise, d'acculturer les équipes aux pratiques qui permettent de prendre en compte la question de la protection des données dès le départ.

    "Un discours de peur qui n’est pas innocent"

    Du côté des industriels de santé, des voix s’élèvent régulièrement pour faire part d’inquiétudes autour du RGPD. Concrètement, quel sera son impact sur leur activité?

    V.P.: Il y a un discours de peur autour du RGPD qui n’est pas innocent! Il sert surtout les intérêts de ceux qui veulent vendre du conseil ou des services. Le RGPD n’est pas une révolution mais une continuité de la loi informatique et libertés (loi n°78-17 du 6 janvier 1978, qui a institué la Cnil, NDLR) et finalement, le RGPD fait remonter des sujets vieux de 40 ans en France. Son impact est positif pour les industriels de santé puisqu’il va considérablement simplifier leurs démarches auprès des autorités de régulation. La Cnil va continuer à oeuvrer dans ce sens, en poursuivant l'élaboration de référentiels, tels que ses méthodologies de référence pour la recherche médicale ou encore ses packs de conformité. Plus généralement, pour les acteurs de la santé, la marche à grimper pour se mettre en conformité avec le RGPD sera moins haute, car ils sont sensibilisés à la question de la sécurité des données de santé depuis longtemps. L’autre nouveauté qui vaudra aussi pour les acteurs du monde de la santé est l’institution d'obligations spécifiques pour les sous-traitants lorsqu’ils traitent des données de santé externalisées par une entreprise ou un établissement de santé. Les entreprises de la santé ou les hôpitaux devront être vigilants s’ils souhaitent externaliser leurs données de santé et bien choisir leur sous-traitant.

    Quels conseils donneriez-vous aux industriels de santé pour se mettre en conformité avec le RGPD? Quelles sont les actions prioritaires à mener?

    V.P.: S'ils disposent de plusieurs bases de données, ils doivent commencer par les hiérarchiser selon leur degré de sensibilité pour identifier les urgences. Puis nous leur conseillons de vérifier la conformité juridique (choix de la base légale, habilitations, qualité du consentement, etc.) et technique (gestion des habilitations, chiffrement, etc.) de chacune des bases. Les données de santé étant sensibles, ils doivent également réaliser une analyse d'impact. La deuxième étape sera de bien identifier le responsable ou les responsables de traitement car si un contrôle devait être effectué et aboutissait à une non-conformité, il faut savoir à qui incombe cette responsabilité.

    H.G.-B.: Avant le RGPD, le responsable de traitement remplissait le plus souvent une fiche déclarative en ligne et ne se posait plus de question. L’intérêt du RGPD, qui a supprimé ces formalités déclaratives, est d'amener le responsable de traitement à s'interroger constamment sur sa conformité, ainsi qu'à documenter chaque traitement de données personnelles.

    Comment la Cnil a-t-elle organisé son pôle santé pour faire face aux nouveaux défis posés par l’entrée en vigueur du RGPD?

    H.G.-B.: Le service santé s’est légèrement étoffé ces dernières années. Nous sommes passés de 8 à 10 personnes (7 juristes, 2 assistantes et une cheffe de service) au sein de ce service en l’espace de trois ans. Nous n’avons pas réorganisé notre service en fonction du RGPD, les demandes faites hier étant à peu de choses près les mêmes que celles qui seront formulées à l'avenir. La "nouveauté", ce sont les deux mois de délais de réponse à une demande d’autorisation: avant le RGPD, sans réponse au terme de deux mois, cela signifiait un refus. Désormais, la demande sera réputée acceptée, sauf dans certains cas, en matière de recherche spécifiquement. Cependant, les délais de traitement en matière de demandes d'autorisation pour de la recherche médicale ont été fortement réduits et devraient donc permettre de rendre une décision expresse pour la grande majorité des demandes.

    Une période de souplesse pour les premiers contrôles

    Comment se dérouleront les premiers contrôles relatifs à la conformité au RGPD?

    H.G.-B.: Nous n’attendons pas le 25 mai pour "tomber" sur les entreprises ou organismes. Il y aura une période de souplesse de 3 ans pour les analyses d’impact notamment. Néanmoins, une fois ce délai passé, en cas de contrôle et s’il y a manquement, nous devrons sanctionner. Par ailleurs, la souplesse ne porte que sur les nouveautés du règlement. Les obligations qui figuraient dans la loi informatique et libertés doivent d'ores et déjà être respectées.

    V.P.: Concernant le calendrier des contrôles, la Commission se fixe un programme sectoriel de contrôle chaque année et le publie. Il y a également des contrôles qui peuvent être effectués après une plainte ou une fuite de données rendue publique, et une série de contrôles peut aussi être menée de façon aléatoire. La Cnil intervient à la fois en "action" et en "réaction".

    Aujourd’hui, avez-vous les moyens de mener efficacement vos missions de contrôle et de régulation?

    V.P.: Non. La Cnil est aujourd’hui sous-équipée en termes d’effectifs face à la numérisation croissante du monde et la circulation des données. Le besoin d’accompagnement et de contrôle augmente et la Cnil, qui est pourtant avant-gardiste sur le sujet des données, n’est pas suffisamment armée pour y répondre. L'écart se creuse avec de nombreux pays européens qui recrutent activement. Le RGPD instaure le principe de "porte d’entrée" pour des entreprises présentes dans plusieurs pays européens qui formulent des demandes d’autorisation. C’est-à-dire qu’elles formulent leur première demande dans un pays et celle-ci est valable sur tout le territoire de l'UE. L'avance de la Cnil en matière "d’innovation protectrice" peut donc permettre à la France d’être compétitive en Europe en attirant les entreprises. Il ne faudrait pas que le manque d'effectifs nous fasse perdre cet avantage.

    Quid du RGPD dans les établissements de santé? La nomination d'un DPO est-elle obligatoire?

    H.G.-B.: La nomination d’un DPO dans les établissements de santé est obligatoire s'agissant des établissements publics et des établissements réalisant des traitements de données de santé à grande échelle.

    Le Conseil constitutionnel a annoncé le 16 mai avoir enregistré une saisine portée par 60 sénateurs qui contestent le contenu du projet de loi relatif à la protection des données personnelles, qui permet notamment de transposer le RGPD en France. L'entrée en vigueur du règlement est-elle possible sans la réponse des Sages?

    V.P.: Le Conseil constitutionnel rendra certainement sa réponse très rapidement mais si cela devait tarder un peu -on parle d'un délai d'un mois maximum-, cela ne remettra pas en cause l'entrée en vigueur du RGPD, puisque le règlement européen prime sur la loi et s'applique à tous les Etats membres de l'UE.

    Wassinia Zirar

    À suivre

    Protection des données personnelles: ce que change le RGPD pour les acteurs de santé

    Politique

    Intelligence artificielle: le gouvernement promet des moyens humains et financiers en 2018

    PARIS (TICpharma) - Le gouvernement consacrera des moyens humains et financiers en 2018 à la mise en oeuvre d'une stratégie nationale sur l'intelligence artificielle (IA), sur la base du rapport de la mission Villani, a indiqué mercredi le secrétaire d'Etat en charge du numérique, Mounir Mahjoubi, lors d'une conférence de presse.

    0 186

    Solutions

    Comment le laboratoire Ipsen transforme la gestion de ses "Master Data"

    PARIS (TICpharma) - Le déploiement d'un outil de gestion des données de référence (Master Data Management -MDM) de l'éditeur Informatica a permis à Ipsen d'"harmoniser" ses données et d'assurer leur traçabilité, a témoigné auprès de TICpharma la Chief Digital Officer (CDO) du laboratoire.

    0 277

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    8 + 7 =