Cas RGPD et pharmacovigilance

20 avril 2020
Cas RGPD et pharmacovigilance

Sommaire

    ENONCE DU CAS

    Dans le cadre de la pharmacovigilance, comment se matérialise l’obligation de minimisation des données et de protection des données par défaut : quelles informations peut-on recueillir ? Combien de temps peut-on les conserver ? Qui peut y avoir accès ? Par exemple, est-il pertinent de collecter l’identité et les coordonnées d’un patient ?

    CORRIGE DU CAS

    Une notification de pharmacovigilance valide requiert la présence des quatre éléments suivants :

    1. un déclarant identifiable
    2. un patient identifiable
    3. un ou des médicaments concernés
    4. la nature du ou des effets indésirables, ou de la situation particulière

    Par ailleurs, l’identité complète et les coordonnées du déclarant permettent au laboratoire exploitant de recueillir les informations nécessaires à la gestion du cas.

    Lorsque le patient n’est pas lui-même déclarant, la collecte de son identité complète et de ses coordonnées est excessive.

    En effet, le patient peut être « identifiable » par référence à un identifiant (par ex. ses initiales) ou un élément qui lui est propre (poids, taille, âge, etc.).

    Lorsque le patient est également déclarant, la collecte de son identité et de ses coordonnées devient pertinente et adéquate.

    Lorsque le patient est également déclarant, les mesures suivantes participent à la minimisation des données et à la protection des données par défaut :

    • l’identité et les coordonnées du patient sont gérées localement et ne sont pas saisies dans la base PV centralisée
    • l’identité et les coordonnées du patient sont supprimées après la clôture du cas
    • l’adresse email ou le numéro de téléphone du patient sont collectées prioritairement par rapport à l’adresse postale, ces données étant moins intrusives

    Par ailleurs, une séparation (logique ou physique) entre l’identité et les coordonnées du patient d’une part et ses données de santé d’autre part, constitue une mesure pertinente de minimisation du risque présenté par le traitement en cas d’accès illégitime aux données.

    Selima ELLOUZE : Conseil en protection des données personnelles pour les industries de santé – DP Conformity.

     

    Les corrigés ci-dessus n’engagent pas la responsabilité des intervenants, il ne s’agit que d’éléments de réponse basés sur la réglementation en vigueur. En aucun cas ces corrigés ne sauraient avoir une valeur opposable.

    Formations liées


    Articles récents

    Réglementaires-Fondamentaux, Réglementaire pharma
    30-05-2024

    PR/PRI : rôle, attributions, différences

    Lire l'article