Référentiels autorisations accès précoce et accès compassionnel

Ce jour ont été publiés, au Journal officiel, deux référentiels de la CNIL : l’un portant sur les traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès compassionnel (ACC) et l’autre concernant les médicaments bénéficiant d’une autorisation d’accès précoce (AAP).

Ces référentiels visent les traitements de données à caractère personnel relatifs au suivi des patients traités par un médicament disposant d’une AAC ou d’une AAP et s’appliquent aux traitements mis en œuvre à partir de l’entrée en vigueur des référentiels.

• Déclaration de conformité

Les laboratoires titulaires des droits d’exploitation des médicaments concernés, en tant que responsables de traitements, sont tenus de procéder à une déclaration de conformité au référentiel. Cela concerne les responsables de traitement établis en France, qui recourent aux services d’un sous-traitant établi en France ou qui mettent en œuvre un traitement de données de personnes résident en France quelque soit leur lieu d’établissement.

Tout traitement qui ne respecterait pas l’ensemble des exigences fixées par les référentiels doit faire l’objet d’une demande d’autorisation de la CNIL. Dans ce cas, la CNIL se prononce dans un délai de deux (2) mois à compter de la réception de la demande, délai pouvant être prorogé une fois pour la même durée.

• Responsable de traitement et sous-traitant

Si les deux référentiels reprennent la structure habituelle des référentiels, notamment les exigences de sécurité minimales attendus par les responsables de traitements et leurs sous-traitants ainsi que celles opposables aux prestataires informatiques auxquels il pourrait être fait appel et la nécessité de mener une analyse d’impact, ils apportent des précisions sur le rôle des parties prenantes.

En effet, ces référentiels confirment que les établissements de santé et les professionnels de santé agissent comme sous-traitant pour la collecte et la transmission des données mais restent responsable de traitement pour lesquels ils définissent les finalités et les moyens, notamment la tenue du dossier patient.

Les fournisseurs d’une plateforme de saisie de données à caractère personnel relatives au suivi du patient traité sont qualifiés de sous-traitant.

• Information des personnes concernées

Le responsable de traitement est tenu de mettre sur son site web les notices d’information relatives au traitement des données à caractère personnel et conforme au RGPD.

Il est également précisé qu’en cas de réutilisation des données une nouvelle information devra être délivrée sauf si la personne concernée dispose déjà des éléments ou si la personne concernée a été informée dès la collecte de la possible réutilisation et le renvoi à un dispositif spécifique d’information tel que le portail de transparence disponible sur le site web auquel les personnes concernées pourront se reporter.

Délibération n°2022-106 du 22 septembre 2022 Adoption d’un référentiel accès compassionnel
Délibération n°2022-107 du 22 septembre 2022 portant adoption d’un référentiel autorisation d’acces précoce