Archives de catégorie : Petits Tuyaux pour les ARC

RGPD : Liste de présélection transmise au promoteur avec les initiales du patient sans ICF

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. Aujourd’hui, on se retrouve une nouvelle fois pour parler du Règlement Général sur la Protection des Données (le RGPD) qui, je vous le rappelle, est le texte de référence en matière de protection des données à caractère personnel et qui est entré en application au sein de l’Union Européenne le 25 mai 2018.

La question du jour est celle de savoir si lorsque l’on a une liste de présélection, il est possible d’y entrer les initiales du patient avant même que celui-ci ait signé son consentement éclairé. Alors, pour trouver la réponse à cette question, il faut se pencher sur l’essence même du RGPD. A la lecture de ce texte, on se rend bien compte que le sujet principal du texte c’est la personne concernée. C’est-à-dire qu’on est vraiment axés sur le choix de la personne concernée du devenir de ses données, de la manière dont elles sont traitées et de leur sécurité, évidemment.

Donc, les initiales du patient, elles sont considérées comme des données à caractère personnel. Dès lors on ne peut pas en faire n’importe quoi. En l’occurrence, il n’est pas possible de remplir la liste de présélection avec les initiales du patient avant qu’il ait signé son consentement éclairé, mais pourquoi ?

C’est simple, en fait le traitement de données à caractère personnel doit être fondé sur ce que l’on appelle une base légale. En fait, c’est une raison qui serait légitime. Les bases légales, elles sont aux articles 6 et 9 du RGPD. On a une liste qui est exhaustive et, dans ce cas là, il y a 2 bases légales que nous pouvons utiliser : le consentement de la personne concernée – donc du patient – à l’utilisation de ses données à caractère personnel ou les intérêts légitimes du responsable de traitement.

Si on fondait notre traitement sur le consentement de la personne concernée à l’utilisation de ses données à caractère personnel, cela voudrait dire que, puisqu’en règle générale, ce consentement-là est consigné dans un seul et même document avec le consentement éclairé, il faudrait que par un moyen détourné, le patient ait signé d’abord le consentement à l’utilisation de ses données personnelles puis, plus tard, le consentement éclairé. Ce qui est rare car en général, ces deux consentements là, même s’il ne s’agit pas vraiment de la même chose, sont dans un seul et même document. Donc on peut déjà écarter le consentement.

Ensuite, les intérêts légitimes du responsable de traitement ne sont pas utilisables non plus puisque tant que le patient n’a pas signé son consentement éclairé, il ne fait pas partie de l’étude. Il n’est donc pas inclus dedans puisqu’il peut refuser d’y participer à tout moment. Dès lors le responsable de traitement ne peut pas se fonder sur ses intérêts légitimes puisque précisément, il n’est pas encore en capacité de s’assurer que le patient participera à l’étude.

Voilà donc en conclusion, il n’est pas possible d’utiliser les initiales d’un participant à une étude clinique de quelque manière que ce soit avant qu’il n’ait signé son consentement éclairé.

Voilà j’espère que cette vidéo vous aura plu, si c’est le cas n’hésitez pas à vous abonner à la chaine et à aimer cette vidéo. Vous retrouverez dans la barre d’information des informations sur nos diverses prestations ; la vielle mensuelle juridique d’un côté et le conseil juridique en recherche clinique. Quant à nous, on se retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.com

RGPD : le DPO peut-il être basé en dehors de l’Union Européenne ?

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve une nouvelle fois pour parler du Règlement Général sur la Protection des Données (le RGPD) qui, je vous le rappelle, est le texte de référence en matière de protection des données à caractère personnel au sein de l’Union Européenne et qui est applicable depuis le 25 mai 2018.

La question du jour est celle de savoir s’il est possible de désigner un DPO qui serait situé en dehors de l’Union Européenne. Pour rappel, le délégué à la protection des données ou data protection officer, DPO, c’est la personne qui va s’occuper de la conformité de l’organisme qui l’a désigné au RGPD. C’est-à-dire que c’est lui qui va mettre en place l’ensemble des obligations liées au RGPD : les registres de traitement, l’analyse d’impact, les mesures de sécurité…

Il peut être interne à l’entreprise, c’est-à-dire qu’il peut s’agir d’un salarié mais il peut être également externe à l’entreprise c’est-à-dire que l’entreprise peut faire appel à une tierce société pour exercer ses missions de PDO. Il y a une liste de cas dans lesquels la désignation, la nomination d’un DPO est obligatoire, toutefois rien ne vous empêche de désigner un DPO quand bien même vous ne rentreriez pas dans cette liste de cas.

Donc, a priori il n’existe pas de contre-indication à la désignation d’un DPO qui serait situé en dehors de l’Union Européenne. Toutefois, si vous faites ce choix, il vous revient de vérifier que le DPO que vous choisissez est complètement au fait des principes et des règles du RGPD puisque précisément il est possible qu’il n’y soit pas soumis. Donc, qu’il n’ait pas à travailler avec le RGPD de manière régulière. Donc si vous faites ce choix c’est à vous de vérifier que votre conformité ne sera pas entachée par ce choix de DPO situé en dehors de l’Union Européenne.

Le deuxième point auquel vous devez être vigilent, c’est l’encadrement des transferts en dehors de l’Union Européenne puisque précisément si votre DPO est situé en dehors de l’Union Européenne, à moins qu’il soit situé dans un pays reconnu adéquat par la Commission Européenne, vous aurez à mettre en place des outils de transfert qui sont détaillés dans le RGPD donc par exemple les clauses contractuelles types ou les binding corporate rules pour sécuriser votre transfert. Donc faites bien attention si vous faites ce choix à bien encadrer votre transfert de données extérieur à l’Union Européenne pour ne pas déroger au RGPD.

Voilà, c’est fini pour cette vidéo j’espère qu’elle vous a plu. Si c’est le cas n’hésitez pas à vous abonner à notre chaîne et à aimer cette vidéo vous retrouverez en barre d’information des informations sur nos prestations et notamment la veille juridique mensuelle ainsi que le conseil juridique en recherche clinique et quant à moi je vous retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.com

RGPD : Un patient peut-il demander de supprimer des données de son dossier médical ?

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve encore pour parler du Règlement Général sur la Protection des Données (le RGPD) qui est le texte de référence en matière de protection des données à caractère personnel et qui est entré en application au sein de l’Union Européenne le 25 mai 2018.

La question du jour est celle de savoir si un patient peut demander à ce que des données contenues dans son dossier médical soient supprimées. Le dossier médical c’est un ensemble de documents qui va retracer la vie du patient concernant sa santé. Donc il peut y avoir des historiques d’opérations, de traitements pris, de visites médicales… Sauf que l’importance de ce dossier médical est telle que si un médecin consulte le dossier médical d’un patient et qu’il y manque des informations, sa prise de décision peut être erronée puisqu’il n’aura pas toutes les informations à sa disposition.

Cette problématique est à mettre en balance avec les principes de protection des données à caractère personnel qui veulent qu’une personne concernée, en l’occurrence le patient, puisse avoir quand même certains pouvoirs sur ses données à caractère personnel. En effet, le patient peut demander à supprimer ou rectifier les données à caractère personnel qui sont contenues dans son dossier médical, il peut faire cette demande à l’hôpital mais ce n’est pas sans conditions.

D’abord, il ne peut le faire que si les données sont inexactes, équivoques, périmées ou si elles sont incomplètes. Et ensuite, il doit pouvoir justifier d’un motif légitime à la suppression ou à la rectification de ses données. Ainsi, un patient avait pu obtenir la suppression de ses données au motif qu’un membre de sa famille travaillait dans le même hôpital et qu’il ne souhaitait pas que le membre de sa famille ait accès à ses informations de santé et notamment une pathologie dont il était victime.

Donc si l’ensemble de ces conditions est réuni, le patient pourra demander une notification ou une suppression de ses données mais en pratique il faut vraiment que le motif soit justifié.

Voilà c’est tout pour aujourd’hui, j’espère que cette vidéo vous aura plu. Si c’est le cas n’hésitez pas à vous abonner à notre chaîne, à aimer cette vidéo et vous retrouverez en barre d’information les informations sur nos prestations et notamment la veille juridique mensuelle et le conseil juridique en recherche clinique. Quant à moi je vous retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.comRecherches utilisés pour trouver cet article :supprimer ces données personnelles après un passage à lhôpital

En recherche clinique, qui doit opérer ces démarches liées au RGPD ?

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve aujourd’hui une nouvelle fois pour parler du RGPD, le Règlement Général sur la Protection des Données qui est, je vous le rappelle, le texte de référence en matière de protection des données à caractère personnel au sein de l’UE Il est entré en application le 25 mai 2018 dans les Etats membres de l’UE.

La question du jour est celle de savoir si les techniciens d’étude clinique (les TEC) sont responsables, à leur niveau, de mettre en place les obligations liées au RGPD ou alors si cela se passe à un autre niveau. Pour rappel, les techniciens d’étude clinique, c’est le personnel qui va être chargé de la saisie des données de l’étude qui sont recueillies auprès des patients pour mettre en place le bon déroulé de l’étude. Ils sont confrontés de manière quotidienne aux données à caractère personnel. Toutefois, ce n’est pas à eux de mettre en place les obligations liées au RPGD puisque cela se passe au niveau du responsable de traitement.

Je vous le rappelle, le responsable de traitement, c’est la personne qui détermine les finalités et les moyens du traitement. En pratique dans la recherche clinique, c’est le promoteur. Au sein de l’organisme du promoteur, il y a différents niveaux qui peuvent s’occuper de la conformité RGPD.

D’abord, si un délégué à la protection des données a été désigné – ce qui n’est pas toujours une obligation – si un délégué à la protection des données a été désigné, c’est lui qui va s’occuper de la conformité au RGPD, c’est-à-dire, mettre en place tous les outils requis, les registres de traitement, l’analyse d’impact le cas échéant, l’encadrement des transferts en dehors de l’UE etc.

S’il n’y a pas de DPO dans l’organisme du promoteur, cela va se passer soit au niveau du service juridique s’il y en a un et sinon directement au niveau de la direction. Ce n’est donc pas aux techniciens d’étude clinique de mettre en place la conformité RGPD. En revanche, ils doivent, comme tout le personnel impliqué dans l’étude, être formés aux règles du RGPD, à son esprit et à la manière dont les données doivent être traitées puisqu’ils sont confrontés de manière quotidienne a ces données, ils doivent pouvoir savoir ce qu’ils peuvent ou non faire sur les données.

Voilà j’espère que cette vidéo vous aura plu, si c’est le cas vous pouvez vous abonner à notre chaine et aimer cette vidéos et vous trouverez en barre d’information toutes les informations concernant nos prestations qu’il s’agisse de la veille juridique mensuelle ou du conseil juridique en recherche clinique, quant à nous, on se retrouve bientôt pour une nouvelle vidéo !

www.pharmaspecific-training.com