Archives de l’auteur : Cathya Raboanarijaona

En recherche clinique, qui doit opérer ces démarches liées au RGPD ?

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve aujourd’hui une nouvelle fois pour parler du RGPD, le Règlement Général sur la Protection des Données qui est, je vous le rappelle, le texte de référence en matière de protection des données à caractère personnel au sein de l’UE Il est entré en application le 25 mai 2018 dans les Etats membres de l’UE.

La question du jour est celle de savoir si les techniciens d’étude clinique (les TEC) sont responsables, à leur niveau, de mettre en place les obligations liées au RGPD ou alors si cela se passe à un autre niveau. Pour rappel, les techniciens d’étude clinique, c’est le personnel qui va être chargé de la saisie des données de l’étude qui sont recueillies auprès des patients pour mettre en place le bon déroulé de l’étude. Ils sont confrontés de manière quotidienne aux données à caractère personnel. Toutefois, ce n’est pas à eux de mettre en place les obligations liées au RPGD puisque cela se passe au niveau du responsable de traitement.

Je vous le rappelle, le responsable de traitement, c’est la personne qui détermine les finalités et les moyens du traitement. En pratique dans la recherche clinique, c’est le promoteur. Au sein de l’organisme du promoteur, il y a différents niveaux qui peuvent s’occuper de la conformité RGPD.

D’abord, si un délégué à la protection des données a été désigné – ce qui n’est pas toujours une obligation – si un délégué à la protection des données a été désigné, c’est lui qui va s’occuper de la conformité au RGPD, c’est-à-dire, mettre en place tous les outils requis, les registres de traitement, l’analyse d’impact le cas échéant, l’encadrement des transferts en dehors de l’UE etc.

S’il n’y a pas de DPO dans l’organisme du promoteur, cela va se passer soit au niveau du service juridique s’il y en a un et sinon directement au niveau de la direction. Ce n’est donc pas aux techniciens d’étude clinique de mettre en place la conformité RGPD. En revanche, ils doivent, comme tout le personnel impliqué dans l’étude, être formés aux règles du RGPD, à son esprit et à la manière dont les données doivent être traitées puisqu’ils sont confrontés de manière quotidienne a ces données, ils doivent pouvoir savoir ce qu’ils peuvent ou non faire sur les données.

Voilà j’espère que cette vidéo vous aura plu, si c’est le cas vous pouvez vous abonner à notre chaine et aimer cette vidéos et vous trouverez en barre d’information toutes les informations concernant nos prestations qu’il s’agisse de la veille juridique mensuelle ou du conseil juridique en recherche clinique, quant à nous, on se retrouve bientôt pour une nouvelle vidéo !

www.pharmaspecific-training.com

RGPD : peut-on faire une analyse d’impact à posteriori?

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve aujourd’hui pour parler du Règlement Général sur la Protection des Données (le RGPD) qui est, je vous le rappelle, le texte de référence en matière de protection des données à caractère personnel et qui est entré en application au sein de l’Union Européenne le 25 mai 2018.

La question du jour est celle de savoir s’il est possible de mettre en œuvre une analyse d’impact sur la protection des données à postériori, c’est-à-dire une fois que le traitement a déjà commencé. L’analyse d’impact, c’est un outil qui permet d’assurer sa conformité au RGPD et elle s’adresse aux traitements qui pourraient engendrer des risques élevés pour les droits et libertés des personnes concernées, c’est-à-dire qu’elle vient mettre en balance les mesures de sécurité qui sont mises en œuvre par le responsable de traitement avec les droits et libertés des personnes concernées.

Donc en pratique l’analyse d’impact se réalise comme vous le souhaitez, mais la CNIL met a disposition un logiciel qui s’appelle PIA qui vous permet de réaliser votre analyse d’impact d’une manière très claire et très simple. Donc vous pouvez utiliser ce logiciel et c’est mieux pour toutes ces raisons de mettre en place l’analyse d’impact en amont de votre traitement car cela va vous permettre, si vous trouvez que certaines mesures de sécurité sont insuffisantes ou sont mal utilisées, vous pouvez adopter des corrections avant votre traitement.

Toutefois, le RGPD n’est pas toujours simple donc vous pouvez avoir oublié de mettre en œuvre votre analyse d’impact. Si c’est le cas rien ne vous empêche de la faire quand même pendant votre traitement. Cela vous permettra, si vous avez des corrections à effectuer sur certaines mesures de sécurité, de les identifier et de les mettre en place et, autrement, si vous identifiez une violation des données, vous pourrez tout de même la notifier a la CNIL pour être vraiment en conformité avec le RGPD.

En conclusion, l’analyse d’impact est préférablement mise en place en amont du traitement mais rien ne vous empêche de la mettre en place pendant votre traitement si vous n’avez pas pu le faire avant. Reportez vous au site de la CNIL pour savoir dans quel cas vous devez mettre en place de manière obligatoire votre analyse d’impact. Et je rappelle que c’est une responsabilité qui revient au responsable de traitement avec l’aide de son sous-traitant, le cas échéant.

Voilà, c’est fini pour cette vidéo j’espère qu’elle vous a plu. Si c’est le cas n’hésitez pas à vous abonner à notre chaîne et à aimer cette vidéo et vous trouverez en barre d’information les informations sur nos prestations et notamment la veille juridique mensuelle et le conseil juridique en recherche clinique. Quant à moi je vous retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.com

Existe-t-il une certification RGPD ? Comment prouver que son entreprise est conforme au RGPD ?

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve encore pour parler du Règlement Général sur la Protection des Données (le RGPD) qui est le texte de référence en matière de protection des données à caractère personnel et qui est entré en application au sein de l’Union Européenne le 25 mai 2018.

Aujourd’hui on s’intéresse à la certification. On veut savoir s’il existe une certification en matière de RGPD. D’abord, la certification elle est prévue par le RGPD en ses articles 42 et 43. Elle va permettre à un responsable de traitement de demander à ce qu’un organisme certification tiers atteste de la conformité de ses processus, produits, services ou compétences aux caractéristiques qui vont être définies dans un référentiel donné. L’organisme certificateur, il doit être indépendant et impartial, forcément, et pour cela, il y a deux manières : soit l’organisme a reçu un agrément auprès de la CNIL, soit il a été accrédité par le comité français d’accréditation (COFRAC).

La certification, elle va permettre à un organisme de prouver sa conformité au RGPD et ainsi, d’être un gage de confiance pour ses clients. La certification la plus connue en termes de protection des données à caractère personnel c’est la certification des compétences du DPO, donc du délégué à la protection des données, et le fait de passer cette certification va permettre à l’entreprise de prouver que son DPO, la personne donc qui s’occupe de tous les aspects liés au RGPD, exerce ses missions conformément aux référentiels qui est fourni par la CNIL. Donc, encore une fois, il s’agira d’un gage de confiance auprès de vos clients.

En conclusion, il est possible d’obtenir une certification RGPD. Il y en a qui sont différentes sur différents sujets mais la principale c’est bien celle des compétences du DPO. Si vous souhaitez avoir recours à une certification, vous pouvez vous rendre sur le site du COFRAC (comité français d’accréditation) puisqu’il liste l’ensemble des organismes certificateurs.

Voilà, c’est tout pour cette vidéo, j’espère qu’elle vous aura plu. Si c’est le cas n’hésitez pas à vous abonner à notre chaîne, à aimer cette vidéo et vous retrouverez en barre d’information les informations concernant notre veille juridique mensuelle et le conseil juridique en recherche clinique. Quant à moi je vous retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.com

RGPD : Qui doit faire la notification de violation à la CNIL ?

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve une nouvelle fois pour parler du Règlement Général sur la Protection des Données (le RGPD) qui est le texte de référence en matière de protection des données à caractère personnel et qui est entré en application au sein de l’Union Européenne le 25 mai 2018.

La question du jour est celle de savoir qui doit faire la notification de violation des données auprès de la CNIL. Pour rappel, une violation de données à caractère personnel c’est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération ou encore la divulgation et l’accès non autorisé à des données à caractère personnel. Lorsqu’une telle violation de données à caractère personnel survient et qu’elle entraîne un risque pour les droits et libertés des personnes concernées, elle doit être notifiée à la CNIL dans un délai de 72h.

En pratique, comment cela se passe ? Si l’attaché de recherche clinique (ARC) se rend compte qu’une violation de données a caractère personnelles est intervenue, il en informe le chef de projet qui prendra directement contact avec le promoteur ou son DPO, si celui-ci a été désigné, pour que celui-ci fasse la notification de violation à la CNIL. C’est donc le promoteur ou son DPO qui sera chargé de cette notification de la violation.

Lorsqu’un sous-traitant travaille avec le responsable de traitement, avec le promoteur, il en va de même : s’il existe une violation des données à caractère personnel chez le sous-traitant, il doit en informer directement le promoteur ou son DPO qui sera chargé de faire la notification de la violation des données à la CNIL.

En conclusion, la personne chargée de faire cette notification de violation de données à la CNIL, dans le délai de 72h c’est le promoteur ou son DPO s’il a été désigné.

Rapprochez vous du site de la CNIL pour savoir les modalités de notification de violation des données à la CNIL, sachant que lorsque la violation n’entraîne pas de risques pour les droits et libertés des personnes concernées, vous devez simplement faire une documentation en interne, si la violation entraîne un risque il faut faire une documentation en interne et informer la CNIL dans un délai de 72h et enfin, si le risque est élevé, vous devez documenter en interne, faire une notification à la CNIL et informer les personnes concernées au plus tôt.

Voilà, c’est fini pour cette nouvelle vidéo, j’espère que celle-ci vous a plu. Si c’est le cas n’hésitez pas, comme d’habitude, à vous abonner à notre chaîne, à aimer cette vidéo et vous retrouverez en barre d’information les informations sur nos prestations et notamment la veille juridique mensuelle et le conseil juridique en recherche clinique. Quant à moi je vous retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.com

Recherches utilisés pour trouver cet article :cnil rgpd