Le RGPD de l’UE a introduit le concept de DPD qui est une obligation légale à nommer dans certaines circonstances spécifiques (Art. 37 RGPD). La nomination d’un DPD est basée sur le type d’activités de traitement des données, plutôt que sur le type ou la taille de l’entreprise/institution. La décision de nommer un DPD est importante pour toute organisation qui traite des données personnelles.
Les activités principales dans le cadre des essais cliniques impliquent toujours le traitement de données personnelles sensibles des participants. Les participants aux essais cliniques peuvent être des volontaires sains, mais la plupart d’entre eux sont des patients, des adultes, des personnes âgées ou des enfants. Les patients et les enfants (ou mineurs) sont considérés comme des sujets de données vulnérables et relèvent de catégories spéciales de données (Art. 12, Considérant 38 et 58 RGPD). Le traitement de catégories spéciales de données est autorisé sous certaines conditions et nécessite la mise en œuvre de mesures de sécurité supplémentaires. De plus, les essais cliniques ont une large portée géographique et incluent des opérations qui nécessitent une surveillance régulière et systématique des sujets de données à grande échelle (considérant 97). Par conséquent, la nomination d’un DPD est une obligation légale pour les institutions ou entreprises qui réalisent des recherches cliniques (Art. 37 RGPD).

Le RGPD ne stipule pas qu’un DPD doit avoir une formation juridique professionnelle. La définition du RGPD concernant l’expertise du DPD est large :

• « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les tâches visées à l’article 39. » (Art. 37 (5)).
• « Le niveau d’expertise nécessaire doit être déterminé en particulier en fonction des opérations de traitement des données effectuées et de la protection requise pour les données personnelles traitées par le contrôleur ou le processeur. » (Considérant l’article 96 du RGPD).

Par conséquent, la définition de la connaissance du DPD n’est pas limitée aux lois sur la protection des données. Le Groupe de travail sur la protection des données, un organe consultatif européen indépendant sur la protection des données et la vie privée, a publié des lignes directrices sur les DPD (WP 29) indiquant qu’une qualité professionnelle importante est la “Connaissance du secteur d’activité et de l’organisation du contrôleur. Le DPD doit également avoir une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d’information, et des besoins en matière de sécurité et de protection des données du contrôleur”.

Il est également important de s’assurer que le DPD nommé a l’expertise et les ressources nécessaires pour exercer efficacement ce rôle, et cela comprend les éléments suivants :

Le développement professionnel continu du DPD est également essentiel pour apporter de la valeur et du crédit à leur rôle. Cela peut inclure la participation à des conférences, la participation à des cours pertinents et l’obtention de certifications, la veille sur les tendances émergentes et les meilleures pratiques en matière de protection des données et de confidentialité, la publication d’articles sur des sujets liés aux sciences de la vie et à la protection des données. Les opportunités de développement professionnel peuvent aider à améliorer les connaissances et les compétences du DPD, ce qui peut finalement être bénéfique pour l’organisation.

La réalité d’un département de conformité est très complexe. En plus du RGPD de l’UE, des réglementations nationales sur la protection des données existent dans chaque État membre de l’UE. De plus, les entreprises/institutions de l’UE qui mènent des essais cliniques en dehors de l’UE/EEE doivent se conformer aux lois nationales sur la vie privée (RGPD du Royaume-Uni, FADP, PIPEDA, LGPD, APPI, PIPL, etc.).
Les lois sont constamment révisées et, pour un DPD, il est difficile de se tenir au courant de toutes ces modifications. Par conséquent, une approche innovante est une étroite collaboration entre les avocats et les DPD.
Les avocats sont formés pour comprendre les nuances de la loi et sont compétents pour examiner les contrats et peuvent fournir des conseils sur la manière dont les considérations de protection des données et de confidentialité doivent être intégrées dans les contrats avec les fournisseurs, les prestataires de services et autres partenaires. Ils peuvent également aider à examiner et à négocier les accords de traitement des données, en veillant à ce que les données de l’organisation soient adéquatement protégées. Enfin, ils effectuent une veille juridique permanente pour garantir la connaissance la plus à jour de toutes les réglementations. La veille juridique implique de surveiller les changements dans les lois et réglementations qui peuvent avoir un impact sur les opérations d’une organisation et de s’assurer que l’organisation reste en conformité.

Ils peuvent travailler ensemble pour identifier les risques potentiels associés aux activités de traitement des données de l’organisation et développer des stratégies pour atténuer ces risques. Par exemple, le DPD peut mener des évaluations des risques pour identifier les problèmes potentiels de protection des données, tandis que l’avocat peut conseiller sur les risques juridiques et les responsabilités associées aux activités de traitement des données.
En cas de violation de données ou d’autre incident de protection des données, ils peuvent travailler ensemble pour analyser la violation et réagir de manière efficace et efficiente. Le DPD peut diriger l’enquête sur l’incident, évaluer les risques pour les personnes affectées, et coordonner la réponse technique, tandis que l’avocat peut conseiller sur les obligations légales et les responsabilités potentielles de l’organisation et aider avec toute notification requise.

L’avocat et le DPD peuvent travailler ensemble pour négocier des contrats avec des fournisseurs, des prestataires de services, et d’autres partenaires afin de garantir que les considérations relatives à la protection des données et à la confidentialité sont intégrées dans les contrats. Le DPD peut fournir une expertise technique pour évaluer les risques en matière de protection des données et de confidentialité associés au contrat, tandis que l’avocat peut conseiller sur les risques juridiques et les responsabilités et garantir que le contrat est conforme à la loi.

En conclusion, un DPD ayant des compétences dans les sciences de la vie apporte un ensemble unique de compétences et une connaissance du processus d’essai clinique du laboratoire au marché. Néanmoins, le meilleur soutien pour une conformité réussie aux réglementations sur la protection des données et l’assurance de la confidentialité des sujets est la combinaison de deux forces : les DPD avec des compétences en sciences de la vie associés à des avocats, qui fournissent des aspects juridiques plus approfondis et à jour.