Exit

Traduction de l’article rédigé par Ruth Knowles, le 26/03/2014.

 

La protection des données en Europe

La Fédération Européenne des Industries et Associations Pharmaceutiques (EFPIA) rappelle que les entreprises souhaitant se conformer au code de conduite européen devront faire face aux problèmes soulevés par les lois locales relatives à la protection des données à caractère personnel. La publication de l’identité des professionnels de santé pour 2016 soulève en effet des questions de protection des données individuelles. Tout l’enjeu repose ainsi sur la compatibilité entre le code et les lois locales de chaque pays européen.

Les lois de protection des données à caractère personnel sont à peu près les mêmes dans chaque pays d’Europe. A travers cet article, nous nous attarderons sur les lois de 3 pays : celle du Royaume-Uni, de la France et de l’Allemagne.

 

La protection des données au Royaume-Uni : justifier l’utilisation des données à caractère personnel

Au Royaume-Uni, le Data Protection Act de 1998 exige la justification du traitement des données à caractère personnel. Le code de conduite pharmaceutique britannique (ABPI Code) va plus loin en privilégiant le « consentement explicite ». Selon la loi, le consentement doit être accordé librement et doit pouvoir être révoqué de manière simple.

Justifier l’utilisation de données à caractère personnel peut également se faire par le biais de ce que l’on appelle  « l’intérêt légitime ». Les entreprises peuvent traiter des données personnelles sans le consentement de l’utilisateur si elles peuvent affirmer qu’elles ont un intérêt légitime à le faire. Cette pratique, très largement utilisée, n’est malheureusement pas applicable dans toute l’Europe du fait de son application purement légale et non conforme à une publication commandée par un code de conduite.

 

La protection des données en France : la rigueur avant tout

Concernant la transparence, la loi française est bien plus stricte que le code EFPIA lui-même. Le décret n° 2013-414 du 21 mai 2013  stipule que toutes les entreprises produisant et commercialisant des produits de santé sont concernées par la publication, notamment dans le cadre de conventions conclues avec les associations de professionnels de santé, les établissements de santé, les fondations, les sociétés savantes, etc. En France, tous les produits de santé sont concernés par la publication. Cela va bien au-delà des médicaments définis par le code EFPIA puisque les dispositifs médicaux, les cosmétiques et les médicaments en vente libre y sont inclus.

De plus, même si la loi française exige que le contractant soit prévenu de la publication de ses données, le consentement n’est, lui pas requis. La publication des informations sur le site web public est de la responsabilité du Ministère français des Affaires Sociales.

En France, comme dans d’autres pays d’Europe, des questions persistent sur l’identité du responsable de la publication en cas de paiements transfrontaliers : le LEEM  indique que seules les entreprises établies en France sont assujetties à la publication quand les praticiens travaillent sur le sol français.

 

 

La protection des données en Allemagne : surmonter le problème du consentement

En Allemagne, aucune disposition juridique concernant la transparence n’a encore été prise à ce jour. Un projet de loi a été déposé en 2013, mais la procédure législative n’a pas abouti pour cause de fin de période électorale. Le système  allemand repose donc sur l’autorégulation volontaire. La Freiwillige Selbstkontrolle für die Arzneimittelindustrie (FSA) adapte en ce moment même son code local pour qu’il corresponde à celui de l’EFPIA. La principale différence avec ce dernier est que l’aide financière pour les activités de formation externes doit être communiquée par les organisateurs à l’annonce de l’événement, mais aussi lorsque l’événement se produit.

La loi allemande de protection des données est stricte et les noms et adresses des professionnels de santé collectés selon le code FSA sont protégés par la loi. Seul le consentement préalable de chaque  professionnel de santé, autorise la  publication des données. Cependant, comme pour la loi sur la protection des données au Royaume-Uni, le consentement doit être donnée librement, volontairement et doit être révocable à tout moment.

En Allemagne tout comme au Royaume-Uni, de nombreuses questions persistent au sujet du consentement. Qu’advient-il si le consentement n’a pas été demandé ou si celui-ci n’est pas accordé ? Le transfert de valeur est-il alors permis ? La publication est-elle tout de même autorisée ? Pour répondre à cela, la FSA propose une publication anonyme ou agrégée.

 

 

Y a-t-il d’autres questions à se poser concernant la publication des données nominatives ?

  • La préséance des lois nationales sur le code européen : les législations nationales, les décrets  gouvernementaux et les codes de conduite élaborés par les organismes locaux ont préséance sur les codes européens : Les entreprises pharmaceutiques doivent donc respecter la loi de protection des données de leur pays avant d’appliquer les dispositions des codes « d’application volontaire ».
  • le traitement équitable des données : les lois sur la protection des données exigent un traitement équitable de celles-ci, ce qui implique la transparence vis-à-vis des personnes concernées par la publication de leurs données personnelles. La publication des transferts de valeur doit être justifiable et les individus doivent être informés de la façon dont leurs données vont être utilisées.
  • La finalité du traitement des données : Les législateurs limitent l’utilisation des informations. Cette attitude fait suite au problème du « big data » qui consiste pour les entreprises à collecter un maximum de données et à les utiliser à d’autres fins que ce à quoi elles étaient initialement destinées. Il est important pour les entreprises de santé de comprendre que si des données personnelles sont collectées, la finalité du traitement doit être clairement et préalablement à tout traitement, définie. Les données ne peuvent être utilisées à d’autres fins si cela n’a pas été clairement énoncé à l’avance.
  • La période de conservation des données : les lois protégeant les données personnelles exigent que celles-ci ne soient pas conservées plus longtemps que nécessaire. Rappelons que le code EFPIA recommande une conservation au minimum pendant 5 ans. Si un code d’application volontaire évoque une période de conservation qui ne va pas à l’encontre de celle indiquée par la loi, les entreprises pharmaceutiques peuvent alors la respecter.

 

Quelles sont les prochains enjeux pour les entreprises pharmaceutiques ?

  • La conformité juridique : Au Royaume-Uni par exemple, le code de l’ABPI et la loi de 1998 sur la protection des données doivent être tous deux respectés pour assurer la collecte, le stockage et l’utilisation des données des professionnels de santé. Des problèmes pourraient survenir lorsque la publication concerne des personnes extérieures au Royaume-Uni. Dans ce cas, l’entreprise pharmaceutique britannique devra toujours s’assurer que ses processus (notamment dans les opérations transfrontalières) sont conformes aux codes de réglementation pharmaceutique et aux lois de protection des données du pays en question.
  • Le défi du consentement: les sociétés pharmaceutiques devront faire face à un grand défi : les situations lors desquelles un médecin refuse de consentir ou retire son consentement pour la publication. La solution pourrait être alors d’obtenir le consentement par l’intermédiaire d’un tiers, ou comme nous l’avons vu avec l’Allemagne, de procéder à une publication anonyme.
  • La bonne tenue des registres et des bases de données : avoir en sa possession un bon système d’archivage et de consultation des données deviendra vite important. Ce dispositif est essentiel pour être en mesure de prouver que le consentement a bien été donné.
  • La mise à jour des politiques de formation au sein de l’entreprise : Celle-ci est nécessaire pour que les employés soient conscients des enjeux de la protection des données et qu’ils puissent informer les professionnels et organismes de santé de l’utilisation de leur données. Les politiques de conservation des données doivent être également mises à jour.

Ligne-2

Pour finir ce dossier, voici une vidéo publiée cette semaine par l’EFPIA concernant son « disclosure code ». Pour la visionner, cliquer sur le bouton play du lecteur ci-dessous.

Ligne-2

Close
Go top