Cas RGPD et pharmacovigilance

Une notification de pharmacovigilance valide requiert la présence des quatre éléments suivants :

1. un déclarant identifiable
2. un patient identifiable
3. un ou des médicaments concernés
4. la nature du ou des effets indésirables, ou de la situation particulière

Par ailleurs, l’identité complète et les coordonnées du déclarant permettent au laboratoire exploitant de recueillir les informations nécessaires à la gestion du cas.

Lorsque le patient n’est pas lui-même déclarant, la collecte de son identité complète et de ses coordonnées est excessive.

En effet, le patient peut être « identifiable » par référence à un identifiant (par ex. ses initiales) ou un élément qui lui est propre (poids, taille, âge, etc.).

Lorsque le patient est également déclarant, la collecte de son identité et de ses coordonnées devient pertinente et adéquate.

Lorsque le patient est également déclarant, les mesures suivantes participent à la minimisation des données et à la protection des données par défaut :

• l’identité et les coordonnées du patient sont gérées localement et ne sont pas saisies dans la base PV centralisée
• l’identité et les coordonnées du patient sont supprimées après la clôture du cas
• l’adresse email ou le numéro de téléphone du patient sont collectées prioritairement par rapport à l’adresse postale, ces données étant moins intrusives

Par ailleurs, une séparation (logique ou physique) entre l’identité et les coordonnées du patient d’une part et ses données de santé d’autre part, constitue une mesure pertinente de minimisation du risque présenté par le traitement en cas d’accès illégitime aux données.

Selima ELLOUZE : Conseil en protection des données personnelles pour les industries de santé – DP Conformity.

Les corrigés ci-dessus n’engagent pas la responsabilité des intervenants, il ne s’agit que d’éléments de réponse basés sur la réglementation en vigueur. En aucun cas ces corrigés ne sauraient avoir une valeur opposable.