{:fr}
Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve une nouvelle fois pour parler du Règlement Général sur la Protection des Données (le RGPD). Il s’agit du texte de référence en matière de protection des données à caractère personnel. Ce texte est entré en application au sein de l’Union Européenne le 25 mai 2018.
Qu’est-ce qu’une violation de données à caractère personnel?
La question du jour est celle de savoir qui doit faire la notification de violation des données auprès de la CNIL. Pour rappel, une violation de données à caractère personnel c’est une violation de la sécurité de ces données.
Cette violation pourra être fait de manière accidentelle ou illicite. Elle se caractérise par une destruction, une perte ou une altération des données transmises. Ou encore une divulgation et accès non autorisé à des données à caractère personnel.
Lorsqu’une telle violation de données à caractère personnel survient et qu’elle entraîne un risque pour les droits et libertés des personnes concernées, elle doit être notifiée à la CNIL dans un délai de 72h.
Quand notifier une violation de données?
En pratique, comment cela se passe ? Si l’attaché de recherche clinique (ARC) se rend compte qu’une violation de données a caractère personnelles est intervenue, il en informe le chef de projet. De son côté, le chef de projet prendra directement contact avec le promoteur ou son DPO, si celui-ci a été désigné, pour que celui-ci fasse la notification de violation à la CNIL. C’est donc le promoteur ou son DPO qui sera chargé de cette notification de la violation.
Lorsqu’un sous-traitant travaille avec le responsable de traitement, avec le promoteur, il en va de même : s’il existe une violation des données à caractère personnel chez le sous-traitant, il doit en informer directement le promoteur ou son DPO qui sera chargé de faire la notification de la violation des données à la CNIL.
En conclusion, la personne chargée de faire cette notification de violation de données à la CNIL, dans le délai de 72h c’est le promoteur ou son DPO s’il a été désigné.
Rapprochez vous du site de la CNIL pour savoir les modalités de notification de violation des données à la CNIL. Dans le cas où la violation n’entraîne pas de risques pour les droits et libertés des personnes concernées, vous devez simplement faire une documentation en interne.
Si la violation entraîne un risque il faut faire une documentation en interne et informer la CNIL dans un délai de 72h. Enfin, si le risque est élevé, vous devez documenter en interne, faire une notification à la CNIL et informer les personnes concernées au plus tôt.
Voilà, c’est fini pour cette nouvelle vidéo, j’espère que celle-ci vous a plu. Si c’est le cas n’hésitez pas, comme d’habitude, à vous abonner à notre chaîne, à aimer cette vidéo et vous retrouverez en barre d’information les informations sur nos prestations et notamment la veille juridique mensuelle et le conseil juridique en recherche clinique. Quant à moi je vous retrouve bientôt pour une prochaine vidéo.
www.pharmaspecific-training.com{:}{:en}
Hello everyone, this is Manon DURAND, health lawyer at Pharmaspecific. We meet again to talk about the General Data Protection Regulation (the GDPR), which is the reference text in terms of personal data protection, and which came into force in the European Union on May 25, 2018.
The question of the day is who should file a data breach notification with the CNIL. As a reminder, a personal data breach is a breach of security resulting in the accidental or unlawful destruction, loss, alteration or unauthorized disclosure of or access to personal data. When such a personal data breach occurs and it entails a risk to the rights and freedoms of the persons concerned, it must be notified to the CNIL within 72 hours.
In practice, how does this happen? If the clinical research associate (CRA) realizes that a personal data breach has occurred, he/she informs the project manager who will contact the sponsor – or its DPO, if one has been designated – directly so that the latter can notify the CNIL of the breach. It is therefore the sponsor or its DPO who will be responsible for this breach notification.
When a subcontractor works with the controller, with the developer, the same applies: if there is a personal data breach at the subcontractor’s premises, it must directly inform the developer or its DPO, who will be responsible for notifying the data breach to the CNIL.
In conclusion, the person in charge of making this data breach notification to the CNIL, within the 72-hour time limit, is the sponsor or his DPO if he has been appointed.
Get in touch with the CNIL website to find out how to notify a data breach to the CNIL, knowing that when the breach does not entail any risk for the rights and freedoms of the persons concerned, you simply have to document it internally, if the breach entails a risk, you have to document it internally and inform the CNIL within 72 hours, and finally, if the risk is high, you have to document it internally, notify it to the CNIL and inform the persons concerned as soon as possible
That’s it for this new video, I hope you liked it. If you did, don’t hesitate, as usual, to subscribe to our channel, to like this video and you will find in the information bar the information about our services and in particular the monthly legal watch and the legal advice in clinical research. As for me, I’ll see you soon for a new video.{:}
