La Commission nationale de l’informatique et des libertés,

Saisie par la société ALCON d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la matériovigilance ;

Vu la Convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 90/385/CE du 20 juin 1990 concernant le rapprochement des législations des Etats membres relatives aux dispositifs médicaux implantables actifs;

Vu la directive 93/42 CE du 14 juin 1993 relative aux dispositifs médicaux ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la santé publique, notamment ses articles L. 5212-2 à L. 5212-3 et R. 5212-1 à R. 5212-42 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié, pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M. Michel TEIXEIRA, adjoint au commissaire du Gouvernement ;

Formule les observations suivantes :

Responsable du traitement

Le responsable de traitement est la société ALCON (groupe NOVARTIS), spécialisée dans l’industrie pharmaceutique.

Sur la finalité

Le traitement a pour finalité la matériovigilance qui a pour objet la surveillance des éventuels effets indésirables des dispositifs médicaux sur la santé humaine.

La Commission estime que la finalité du traitement est déterminée, explicite et légitime, conformément à l’article 6 de la loi du 6 janvier 1978 modifiée.

Ce traitement relève des dispositions combinées des articles 8-IV et 25-I-1° de la loi « informatique et libertés » qui soumettent à autorisation les traitements comportant des données relatives à la santé et justifiés par l’intérêt public.

Sur les données traitées

Les données systématiquement collectées sont :

les données d’identification du notificateur lorsque celui-ci n’est pas un professionnel de santé (patient ou membre d’une association agréée de patients) : nom, prénom, adresse, numéro de téléphone, numéro d’enregistrement unique généré par le logiciel Itrack ;

les données d’identification du patient : numéro, code alphanumérique ou code alphabétique d’identification tel que prévu par le formulaire Cerfa de déclaration d’un effet indésirable, informations signalétiques (âge, année ou date de naissance, sexe, poids, taille) ;

les données de santé : dispositifs médicaux utilisés, traitements administrés, résultats d’examens, nature du ou des effets indésirables, incidents, antécédents personnels ou familiaux, maladies ou événements associés, facteurs de risque, informations relatives au mode de prescription et d’utilisation des dispositifs médicaux et à la conduite thérapeutique du prescripteur ou des professionnels de santé intervenant dans la prise en charge de la pathologie ou de l’effet indésirable, incident, « plainte qualité » ;

les données d’identification des professionnels de santé concernés par l’observation : nom, nom d’usage, prénom, numéros de téléphone et de télécopie, adresse électronique, adresse postale, spécialité du professionnel de santé.

Les données collectées lorsqu’elles sont strictement nécessaires à l’appréciation de l’effet indésirable sont les suivantes :

données de santé : photographie des yeux présentant la pathologie ;

données relatives à la vie professionnelle : profession(s) actuelle et antérieure(s) ;

habitudes de vie et comportements : dépendance (seul, en institution, autonome, grabataire), assistance (aide-ménagère, familiale), exercice physique (intensité, fréquence, durée), régime et comportement alimentaire ;

mode de vie (urbain, semi-urbain, nomade, sédentaire) et habitat (maison particulière ou immeuble, étage, ascenseur).

Le responsable de traitement doit mettre en place les mesures techniques adéquates afin que les données codées relatives aux patients soient séparées des autres données.

La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée.

Sur les destinataires

Les personnes habilitées à accéder aux données de matériovigilance sont :

le responsable de la matériovigilance, ainsi que ses collaborateurs placés sous sa responsabilité ;

le pharmacien responsable ou son représentant, ainsi que toute personne dûment habilitée et placée sous sa responsabilité, dans la limite de ses attributions et pour ce qui la concerne ;

les personnes habilitées du service des affaires juridiques et des affaires réglementaires, en fonction des dossiers qu’elles sont à traiter dans le cadre de la gestion des réclamations ;

le service chargé des audits peut, de façon ponctuelle et motivée, avoir accès à ces données pour vérifier le respect des exigences réglementaires et des procédures internes dans la limite de ses attributions et pour ce qui le concerne;

le prestataire de services Universal Medica (centre d’appels) et le prestataire du logiciel iTrack, Sparta Systems, intervenant pour le compte et sous la responsabilité du laboratoire Alcon, dans la limite de ses fonctions et dans les conditions définies par le contrat de service ;

certaines sociétés du groupe (sans information sur l’identité du notificateur) : Novartis International AG (Suisse), ALCON US (USA) ;

les laboratoires tiers dont un produit pourrait être mis en cause (sans information sur l’identité du notificateur) ;

les professionnels de santé concernés par le signalement ;

les organismes publics nationaux et la Food and Drug Administration aux Etats-Unis (sans information sur l’identité du notificateur).

Cette liste de destinataires n’appelle pas d’observation de la part de la Commission.

Sur l’information et le droit d’accès

Les personnes concernées sont informées avec une mention lors de l’appel téléphonique et dans les échanges par courrier. Des consignes sont données aux professionnels de santé ou associations afin qu’ils puissent délivrer l’information aux patients.

Les droits prévus par la loi s’exercent auprès de la société ALCON.

La Commission estime que ces modalités d’information et d’exercice des droits sont satisfaisantes.

Sur les mesures de sécurité

Des profils d’habilitation définissent les fonctions ou les types d’informations accessibles à un utilisateur.

Le responsable de traitement doit mettre en place une politique de mot de passe conforme aux recommandations de la Commission (utilisation d’un mot de passe d’une longueur minimale de huit caractères et composé de trois types de caractères distincts avec mesures de blocage ou de ralentissement en cas d’essais infructueux ou douze caractères en l’absence de ces mesures).

La confidentialité des données est assurée par la mise en œuvre d’un dispositif de chiffrement. La Commission recommande de chiffrer également les sauvegardes.

Le traitement dispose d’une journalisation des accès.

Les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée.

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Sur les autres caractéristiques du traitement

Les données sont conservées pendant la durée de commercialisation du produit et pendant une durée supplémentaire de cinq ans. Pour les dispositifs médicaux implantables (par exemple les lentilles intra-oculaires, la durée de conservation des données est de trente ans à compter de la fin d’exploitation du dispositif. Au-delà de ces durées, les données sont supprimées ou archivées sous une forme anonymisée.

La Commission estime que cette durée de conservation est pertinente au regard de la finalité poursuivie par le traitement.

Les données sont transférées aux Etats-Unis. Ce transfert est encadré par des règles internes d’entreprise (binding corporate rules) conclues au niveau du groupe NOVARTIS.

Autorise, conformément à la présente délibération, la société ALCON à mettre en œuvre le traitement susmentionné.

Pour la Présidente,

Le Vice-Président Délégué

Marie-France MAZARS