Le RGPD est un document de 88 pages comprenant 99 articles qui s'imposeront à tous les membres de l'Union européenne (UE) à compter du 25 mai 2018. Ils deviendront la référence en termes de protection des données.
Les objectifs du règlement sont multiples. Il vise à harmoniser la protection des données à l'échelle européenne, à alléger un certain nombre de démarches administratives pour les responsables de traitements de données, tout en alourdissant le montant des sanctions en cas de dérives, et à consacrer de nouveaux droits aux citoyens comme le "droit à la portabilité des données" ou le droit d'être informé "de façon compréhensible et aisément accessible" sur l'utilisation de ces données (voir dépêche TICsanté du 13 mai 2016).
Le texte présente la particularité de donner pour la première fois une définition des "données de santé" à l'échelle européenne. Le traitement de ces données, qu'il s'agisse de leur collecte, de leur stockage ou de leur analyse, est soumis à de multiples dispositions qui doivent être anticipées par tous les industriels.
Au sein du Leem (Les entreprises du médicament), le groupe de travail relatif au traitement des données de santé "s'est recentré sur l'identification des thèmes et problématiques du règlement particulièrement impactants pour les adhérents", a expliqué à TICpharma Claire Philipponneau, conseillère juridique de l'organisation professionnelle sur les questions de propriété intellectuelle et de données personnelles.
Elle a notamment cité la désignation d'un "délégué à la protection des données" (ou Data Protection Officer -DPO), les modalités de recueil du consentement des patients, la pseudonymisation ou encore la réalisation d'analyses d'impact des traitements de données sur la vie privée.
Pour la juriste du Leem, il s'agit dans un premier temps de répondre à "l'enjeu crucial d'information" et de "sensibiliser les adhérents sur la masse de travail et le nombre de questions qu'il faut se poser dès aujourd'hui pour être prêt lors de l'entrée en vigueur du règlement".
Sur le sujet des analyses d'impact, considéré comme "absolument majeur" par Claire Philipponneau, un sous-groupe de travail dédié a été créé afin de proposer "un accompagnement des industriels dans le développement d'un nouvel outil de mise en conformité".
Ce sous-groupe rassemble des correspondants informatique et liberté (CIL) de plusieurs adhérents du Leem ainsi que des juristes et représentants des services compliance des industriels. Des membres de la Commission nationale de l'informatique et des libertés (Cnil) y interviennent aussi ponctuellement.
Concernant les premières mesures à prendre pour anticiper l'entrée en vigueur du RGPD, Claire Philipponneau renvoie aux six étapes détaillées par la Cnil sur son site web.
Elles consistent à "désigner un pilote pour la gouvernance des données", qu'il s'agisse d'un CIL ou d'un DPO, à "cartographier les traitements de données personnelles", à "prioriser les actions à mener" au regard du risque présenté par ces traitements, ou encore à "documenter la conformité au règlement".
"C'est un cheminement à avoir très en amont car les prises de décisions internes sur les changements à mettre en œuvre vont prendre du temps dans les grands groupes", a prévenu Claire Philipponneau.
Avocate de formation, Sarah Taieb a été recrutée par le groupe pharmaceutique Ipsen au poste de DPO au niveau global en septembre 2016 afin d'"effectuer une analyse poussée des nouvelles contraintes dues au RGPD" et de "prendre en compte les nouveaux défis auxquels l'industrie fait face, notamment l'innovation digitale et l'essor du big data, sans limiter la fonction à la conformité", a-t-elle détaillé à TICpharma.
Elle a insisté sur la nécessité d'"articuler la conformité au RGPD avec les autres réglementations, les codes de bonnes pratiques européens comme le code de la transparence de l'EFPIA [Fédération européenne des associations et industries pharmaceutiques] et les législations nationales".
Pour ce faire, elle a souhaité créer au sein d'Ipsen un "Data privacy board" composé d'une douzaine de personnes représentant les fonctions et filiales clés du groupe.
"Cette instance permet de recueillir leurs avis et recommandations sur les outils au cœur de ce projet afin d'avoir une approche dynamique, collaborative, cohérente et globale", a-t-elle poursuivi, jugeant que "l'articulation de la mission de DPO avec les autres fonctions du groupe est essentielle".
A un niveau plus opérationnel, Sarah Taieb identifie des "relais Privacy", notamment au sein des services qualité et R&D, afin de leur transmettre les principales instructions concernant la protection des données. Elle explique qu'Ipsen a volontairement fait ce choix du "réseau" plutôt que d'adopter une approche de recrutement centralisée au niveau du département juridique.
Le positionnement de chef d'orchestre de la protection des données, au croisement de l'ensemble des services et en interaction avec le comité de direction, est également jugé "essentiel" par Mireille Violleau, CIL du laboratoire Roche à plein temps depuis deux ans.
"Une des premières choses que j'ai voulu faire en tant que CIL a été de communiquer auprès des différentes équipes du laboratoire sur l'existence de mon poste, afin d'être identifiée et de pouvoir les accompagner dès l'initiation des projets", a-t-elle témoigné. Avec un objectif: "que tous ceux qui traitent de la donnée personnelle, quelle qu'elle soit, aient le réflexe de demander conseil au CIL".
Et le spectre des fonctions concernées est large. Mireille Violleau a cité les cas d'une enquête sur les risques psycho-sociaux menée par la direction des ressources humaines de Roche, d'une application développée par la direction de la communication pour les collaborateurs de la filiale, ou encore de la conformité des essais cliniques en cours.
En tant que CIL, Mireille Violleau centralise l'ensemble des déclarations de traitements de données chez Roche, ce qui lui permet de tenir un registre à jour de ces informations.
Elle planche actuellement sur la mise en place d'outils pour tracer chacun des traitements, et sur les études d'impact sur la vie privée. "Nous regardons aussi les conséquences du règlement sur la façon de rédiger les contrats avec les prestataires", a ajouté Mireille Violleau, faisant référence à la "coresponsabilité" des sous-traitants en matière de protection des données inscrite dans le RGPD.
Si le RGPD ajoute une nouvelle couche de contraintes réglementaires à un environnement déjà très encadré pour les laboratoires pharmaceutiques, Mireille Violleau et Sarah Taieb disent en attendre des effets surtout positifs.
"Un excellent niveau de conformité, couplé à une parfaite connaissance de l'industrie pharmaceutique et de ses enjeux, ne peut que faciliter la mise en œuvre de projets liés au big data et aux innovations digitales", a soutenu Sarah Taieb.
Bien qu'aucun incident n'ait été relevé dans les systèmes informatiques de Roche, Mireille Violleau a rappelé les effets dévastateurs de la cyber-attaque mondiale WannaCry, qui a notamment paralysé plusieurs hôpitaux britanniques mi-mai et a mis en avant "l'enjeu de la sécurité et de la protection des données". "Vis-à-vis des médecins, des pharmacien, ou des patients qui n'ont pas toujours un regard tendre sur l'industrie, on peut vraiment utiliser cette protection comme un avantage concurrentiel", a-t-elle noté.
Sarah Taieb a toutefois dit "rester vigilante face à de potentielles injonctions contradictoires" et compte notamment se pencher sur la meilleure articulation entre les obligations de transparence formulées par l'Agence européenne du médicament (EMA) et les dispositions du RGDP.
D'autant qu'un certain flou persiste sur l'application concrète du règlement dans les différents pays de l'Union. "Certains articles du RGPD renvoient au droit national et plusieurs notions ont déjà été précisées par le biais des 'lignes directrices" que le G29 [groupe des "Cnil" européennes] a élaborées", a confirmé Claire Philipponneau du Leem, citant l'exemple des analyses d'impact. D'autres notions feront prochainement l'objet de nouvelles lignes directrices du G29.
"Tout l'enjeu sera de décliner ces dispositions et lignes directrices d'un point de vue opérationnel et pratique", a-t-elle estimé, renvoyant aux concertations menées par la Cnil en France sur le sujet (voir encadré ci-dessous). Il faudra peut-être aussi revoir certains articles de la loi Informatique et libertés dans l'Hexagone, a-t-elle prévenu.
Pour la juriste, "la bonne articulation entre les textes nationaux et l'environnement réglementaire communautaire est absolument majeure, notamment en termes de visibilité et de lisibilité pour les entreprises".
Plusieurs éléments d'application du RGPD sont donc encore à préciser d'ici l'an prochain mais ces travaux juridiques et réglementaires ne doivent pas faire hésiter les industriels à s'engager dès aujourd'hui dans une démarche d'audit général de leurs traitements de données.
Vos réactions