Pourquoi engager un DPO avec une expérience dans les sciences de la vie ?
Article
Délégué à la protection des données (DPD) avec une expérience en sciences de la vie – une valeur ajoutée pour les secteurs de la santé et des sciences de la vie
5 Juin 2023
Le Règlement général sur la protection des données de l’UE (RGPD) a introduit le concept de Délégué à la protection des données (DPD) qui, dans certaines circonstances, peut être une obligation légale pour une entreprise/institution. Cependant, le RGPD ne fournit pas de prérequis précis sur l’expertise des DPD. Être un DPD ne nécessite pas nécessairement d’avoir une formation juridique professionnelle. En plus de l’expertise juridique et technique (système d’information et sécurité des données) dans le domaine de la protection des données, un DPD doit avoir une bonne connaissance des opérations de traitement effectuées dans les entreprises/institutions. C’est le cas dans les secteurs de la santé et des sciences de la vie, où comprendre les opérations de traitement des données liées aux activités cliniques est important.
Cette connaissance est nécessaire pour analyser correctement les risques pour les libertés et les droits des personnes concernées dont les données de santé sont traitées, et pour garantir la mise en place de mesures techniques et organisationnelles appropriées pour protéger la vie privée des sujets. Un DPD avec une expérience en sciences de la vie peut apporter une valeur ajoutée en fournissant des informations sur les aspects techniques et organisationnels des activités de traitement des données, en garantissant la pertinence scientifique des politiques et procédures de protection des données, et en agissant en tant que conseiller stratégique sur les questions de protection des données dans le secteur des sciences de la vie. Combiner ces compétences avec celles d’un avocat peut apporter un éclairage sur l’environnement complexe de la confidentialité et de la conformité.
Nommer un DPD est obligatoire pour les entreprises/institutions qui réalisent des essais cliniques
Le RGPD de l’UE a introduit le concept de DPD qui est une obligation légale à nommer dans certaines circonstances spécifiques (Art. 37 RGPD). La nomination d’un DPD est basée sur le type d’activités de traitement des données, plutôt que sur le type ou la taille de l’entreprise/institution. La décision de nommer un DPD est importante pour toute organisation qui traite des données personnelles.
Les activités principales dans le cadre des essais cliniques impliquent toujours le traitement de données personnelles sensibles des participants. Les participants aux essais cliniques peuvent être des volontaires sains, mais la plupart d’entre eux sont des patients, des adultes, des personnes âgées ou des enfants. Les patients et les enfants (ou mineurs) sont considérés comme des sujets de données vulnérables et relèvent de catégories spéciales de données (Art. 12, Considérant 38 et 58 RGPD). Le traitement de catégories spéciales de données est autorisé sous certaines conditions et nécessite la mise en œuvre de mesures de sécurité supplémentaires. De plus, les essais cliniques ont une large portée géographique et incluent des opérations qui nécessitent une surveillance régulière et systématique des sujets de données à grande échelle (considérant 97). Par conséquent, la nomination d’un DPD est une obligation légale pour les institutions ou entreprises qui réalisent des recherches cliniques (Art. 37 RGPD).
La valeur ajoutée d’un DPD avec une expérience en sciences de la vie pour les entreprises/institutions qui réalisent des essais cliniques
Le RGPD ne stipule pas qu’un DPD doit avoir une formation juridique professionnelle. La définition du RGPD concernant l’expertise du DPD est large :
- « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les tâches visées à l’article 39. » (Art. 37 (5)).
- « Le niveau d’expertise nécessaire doit être déterminé en particulier en fonction des opérations de traitement des données effectuées et de la protection requise pour les données personnelles traitées par le contrôleur ou le processeur. » (Considérant l’article 96 du RGPD).
Par conséquent, la définition de la connaissance du DPD n’est pas limitée aux lois sur la protection des données. Le Groupe de travail sur la protection des données, un organe consultatif européen indépendant sur la protection des données et la vie privée, a publié des lignes directrices sur les DPD (WP 29) indiquant qu’une qualité professionnelle importante est la « Connaissance du secteur d’activité et de l’organisation du contrôleur. Le DPD doit également avoir une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d’information, et des besoins en matière de sécurité et de protection des données du contrôleur ».
Lorsqu’elles prennent la décision de nommer un DPD, les entreprises/institutions devraient prendre en compte des facteurs tels que la quantité et la sensibilité des données qu’elles traitent, les risques potentiels pour les personnes concernées, et la complexité des activités de traitement des données.
Il est également important de s’assurer que le DPD nommé a l’expertise et les ressources nécessaires pour exercer efficacement ce rôle, et cela comprend les éléments suivants :
— Connaissance de l’organisation générale d’un essai clinique et des flux de données entre les acteurs, y compris les sujets de l’étude.
— Connaissance des meilleures pratiques pour la gestion et la protection des données (par exemple, les bonnes pratiques cliniques (GCP) et autres réglementations connexes (réglementation des essais cliniques (CTR), réglementation des dispositifs médicaux (MDR), réglementation des dispositifs médicaux de diagnostic in vitro (IVDR), etc.).
— Connaissance des spécificités liées à la pharmacovigilance, à la sécurité et à la surveillance post-commercialisation.
— Connaissance de la manipulation appropriée des données : les entreprises/institutions spécialisées en sciences de la vie gèrent différents types de données personnelles, y compris des données génomiques, des données cliniques et des données précliniques. Un DPD avec une expérience en sciences de la vie serait capable de comprendre les défis spécifiques de la gestion et de la protection de ces types de données et d’identifier les risques et vulnérabilités potentiels.
— Connaissance des menaces spécifiques à l’industrie telles que le vol de propriété intellectuelle, les cyberattaques et les violations des données des patients. Un DPD avec une expérience en sciences de la vie comprendrait le flux et serait capable d’identifier ces menaces et de développer des stratégies pour les atténuer.
— Communication efficace avec les parties prenantes, y compris les prestataires de soins de santé, les chercheurs, les régulateurs, les patients et les autorités de protection des données.
En tenant compte de la nature, de l’ampleur, du contexte et des objectifs du traitement, comme l’exige l’article 39 (2) du RGPD, la connaissance des activités liées aux sciences de la vie et aux soins de santé est obligatoire pour comprendre les opérations de traitement des données. Par conséquent, un DPD combinant la connaissance du RGPD avec une expertise en sciences de la vie est un avantage.
Le développement professionnel continu du DPD est également essentiel pour apporter de la valeur et du crédit à leur rôle. Cela peut inclure la participation à des conférences, la participation à des cours pertinents et l’obtention de certifications, la veille sur les tendances émergentes et les meilleures pratiques en matière de protection des données et de confidentialité, la publication d’articles sur des sujets liés aux sciences de la vie et à la protection des données. Les opportunités de développement professionnel peuvent aider à améliorer les connaissances et les compétences du DPD, ce qui peut finalement être bénéfique pour l’organisation.
Concertation accrue et collaboration renforcée entre les DPD et les avocats pour une conformité réussie
La réalité d’un département de conformité est très complexe. En plus du RGPD de l’UE, des réglementations nationales sur la protection des données existent dans chaque État membre de l’UE. De plus, les entreprises/institutions de l’UE qui mènent des essais cliniques en dehors de l’UE/EEE doivent se conformer aux lois nationales sur la vie privée (RGPD du Royaume-Uni, FADP, PIPEDA, LGPD, APPI, PIPL, etc.).
Les lois sont constamment révisées et, pour un DPD, il est difficile de se tenir au courant de toutes ces modifications. Par conséquent, une approche innovante est une étroite collaboration entre les avocats et les DPD.
Les avocats sont formés pour comprendre les nuances de la loi et sont compétents pour examiner les contrats et peuvent fournir des conseils sur la manière dont les considérations de protection des données et de confidentialité doivent être intégrées dans les contrats avec les fournisseurs, les prestataires de services et autres partenaires. Ils peuvent également aider à examiner et à négocier les accords de traitement des données, en veillant à ce que les données de l’organisation soient adéquatement protégées. Enfin, ils effectuent une veille juridique permanente pour garantir la connaissance la plus à jour de toutes les réglementations. La veille juridique implique de surveiller les changements dans les lois et réglementations qui peuvent avoir un impact sur les opérations d’une organisation et de s’assurer que l’organisation reste en conformité.
L’avocat et le DPD peuvent travailler ensemble pour garantir que les activités de traitement des données de l’organisation sont conformes aux lois et réglementations applicables en matière de protection des données, tout en prenant en compte les exigences spécifiques du secteur des sciences de la vie. En collaborant et en exploitant leurs domaines d’expertise respectifs, ils peuvent élaborer des politiques et des procédures qui sont à la fois juridiquement conformes et scientifiquement appropriées.
Ils peuvent travailler ensemble pour identifier les risques potentiels associés aux activités de traitement des données de l’organisation et développer des stratégies pour atténuer ces risques. Par exemple, le DPD peut mener des évaluations des risques pour identifier les problèmes potentiels de protection des données, tandis que l’avocat peut conseiller sur les risques juridiques et les responsabilités associées aux activités de traitement des données.
En cas de violation de données ou d’autre incident de protection des données, ils peuvent travailler ensemble pour analyser la violation et réagir de manière efficace et efficiente. Le DPD peut diriger l’enquête sur l’incident, évaluer les risques pour les personnes affectées, et coordonner la réponse technique, tandis que l’avocat peut conseiller sur les obligations légales et les responsabilités potentielles de l’organisation et aider avec toute notification requise.
Ils peuvent tous deux travailler ensemble pour garantir que l’organisation est conforme aux lois et réglementations applicables en matière de protection des données. Le DPD peut veiller à ce que les activités de traitement des données de l’organisation soient conformes aux attentes des lois et réglementations en matière de protection des données, tandis que l’avocat peut fournir des conseils juridiques et des orientations sur la conformité réglementaire et assurer la liaison avec les organismes de réglementation, tels que les autorités de protection des données.
L’avocat et le DPD peuvent travailler ensemble pour négocier des contrats avec des fournisseurs, des prestataires de services, et d’autres partenaires afin de garantir que les considérations relatives à la protection des données et à la confidentialité sont intégrées dans les contrats. Le DPD peut fournir une expertise technique pour évaluer les risques en matière de protection des données et de confidentialité associés au contrat, tandis que l’avocat peut conseiller sur les risques juridiques et les responsabilités et garantir que le contrat est conforme à la loi.
MyData-TRUST : Votre DPD spécialisé en Protection des Données et exclusivement dédié au secteur des Sciences de la Vie
En conclusion, un DPD ayant des compétences dans les sciences de la vie apporte un ensemble unique de compétences et une connaissance du processus d’essai clinique du laboratoire au marché. Néanmoins, le meilleur soutien pour une conformité réussie aux réglementations sur la protection des données et l’assurance de la confidentialité des sujets est la combinaison de deux forces : les DPD avec des compétences en sciences de la vie associés à des avocats, qui fournissent des aspects juridiques plus approfondis et à jour.