[2019-07-18] La Commission Nationale de l’Informatique et des Libertés (CNIL) a adopté le 9 mai 2019 un référentiel concernant le traitement des données à caractère personnel qui sont utilisées pour la gestion des vigilances sanitaires (médicaments, dispositifs médicaux ou produits). Il a été publié au journal officiel de la république française le 18 juillet 2019.
Ce cadre juridique est issu du Règlement Général sur la Protection des Données à caractère personnel (RGPD). Il précise en particulier :
– les finalités du traitement (les données ne pourront pas être réutilisées à d’autres fins) ;
– les données personnelles concernées ;
– les destinataires de ces données ;
– les durées de conservation (qui peuvent aller jusqu’à 70 ans) ;
– l’information des personnes (transparence) ;
– les mesures à prendre concernant la sécurité (plus de 50 mesures préconisées) ;
– les conditions à respecter en cas de transfert des données hors de l’UE ;
– et enfin, l’obligation, pour le responsable de traitement, de réaliser une analyse d’impact sur la protection des données.
Dans le chapitre relatif à la sécurité, il est précisé que, si le responsable de traitement a recours à un prestataire extérieur pour le stockage et la conservation des données de santé à caractère personnel, ce prestataire doit être un hébergeur agréé ou certifié.