vignette_juilletProlongement de la Loi Informatique et liberté, le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai dernier. Quels changements structurels implique-t-il pour l’industrie pharma et les patients ? Comment impacte-t-il la relation client ? Décryptage.

 

Le RGPD s’applique à tous les traitements de données personnelles, quel qu’en soit le support, la structure et le domaine d’activité. Reprise d’anciens principes issus de la Loi informatique et liberté, poursuivies un cran plus loin, l’innovation réside dans l’harmonisation à l’échelle européenne de la protection des données. Autre nouveauté, les sanctions prévues en cas de dérives ou non- respect : une amende pouvant atteindre 4% du CA mondial de l’entreprise, épinglées publiquement pour leur faute. Elle implique néanmoins des changements organisationnels, techniques et juridiques.

 

Patients : protection de la personne et nouveaux droits

Cette nouvelle réglementation consacre de nouveaux droits aux patients tels que le droit à la portabilité des données ou le « droit d’être informé de façon compréhensible et aisément accessible ». Elle vient renforcer la protection des usagers de santé qui restent propriétaires de leurs droits puisque leurs données ne seront pas prêtées aux entreprises. Ils peuvent exercer leur droit de consentement, tout traitement des données devant faire l’objet d’une autorisation explicite, et bénéficient également du droit au respect de la vie privée et du droit à la transparence pour savoir à quoi vont servir leurs données. Le droit de désabonnement et le droit à la portabilité (toutes les données d’un individu doivent lui être directement exportées) sont également affirmés. C’est aussi et surtout le droit à l’oubli, réclamé par les associations, qui impacte le plus les patients.

Le consentement devient explicite et obligatoire avec une action délibérée d’inscription ou opt-in, notamment pour donner l’autorisation aux entreprises ou professionnels de santé de traiter leurs données personnelles. Le profilage restera subordonné à des fins marketing tant que le patient est informé et ne s’y oppose pas. Le droit d’introduire une réclamation auprès d’une autorité de contrôle est également effectif.

Pour la première fois, le RGPD donne une définition des données de santé à l’échelle européenne en soulignant leur spécificité comme catégorie particulière de données à caractère personnel. Elles doivent être « délivrée de façon concise et transparente, compréhensible et aisément accessible ». Leurs caractéristiques est de « pouvoir être accessible par le grand public » et « adaptée en fonction de la pathologie de la personne, de son âge, des circonstances du recueil des données ». Une information spécifique aux mineurs doit être donnée. De même qu’une information ciblée sera faite aux personnes vulnérables (personnes âgées, patients présentant un trouble cognitif).

Pour les usagers de santé, le RGPD est finalement synonyme de plus de confiance et de transparence.

 

Industrie pharma : enjeux et nouvelles opportunités

Fondés sur les grands principes de licéité, loyauté, transparence, limitation de la finalité et de la conservation des données, minimisation et exactitude des données, intégrité et confidentialité, le RGPD est empreint de nouveaux enjeux pour l’industrie pharma.

Le premier est de parvenir à articuler la conformité du RGPD aux autres règlementations et codes de bonnes pratiques européennes dont le Code de la transparence de la Fédération européenne des associations et industries pharmaceutiques ou les obligations de transparence formulées par l’Agence européenne du médicament, ainsi que les législations nationales. Le risque étant d’avoir un flou sur l’application concrète et opérationnelle des dispositions du RGPD au niveau français, certains articles renvoyant au droit national.

Les obligations induites par cette réglementation sont nombreuses : obtention du consentement express et spécifique de l’utilisateur, nomination d’un Délégué à la protection des données (DPD ou DPO) chargé de la mise en place et du suivi du RGPD, nouvelles obligations intégrées dans tous les contrats conclus avec les prestataires de services…entre autres. La plus notable concerne la prise en compte du respect de la vie privée dès la conception du produit, service ou application (Privacy by design) et par défaut (privacy by default), impliquant un système d’information sécurisé. Ces contraintes permettent une analyse des risques adaptés, mesure d’efficacité et d’efficience. Mais elles modifient la gestion de projet et peuvent obliger à faire des choix en restreignant l’offre proposée aux clients.

Il est néanmoins important de voir le RGPD, non pas comme une contrainte règlementaire de plus au sein d’un environnement déjà très cadré, mais comme un avantage concurrentiel couronné d’effets positifs, rappelle Le LEEM (Les Entreprises du médicament). Des bienfaits qui pourront profiter aux usagers de santé. On peut notamment souligner qu’un excellent niveau de conformité associé à une parfaite connaissance des enjeux de l’industrie pharmaceutique doit faciliter la mise en œuvre de projets liés au big data et aux innovations digitales.

La démarche pourra permettre à l’industrie pharma de s’inscrire dans une démarche plus responsable améliorant la confiance des utilisateurs et apportant un avantage compétitif certain. Le RGPD peut donc s’avérer une opportunité pour les établissements et industries de santé dans un climat de confiance renouvelé.