Dispositifs médicaux

2012/0266(COD)

Avis du Contrôleur européen de la protection des données (CEPD) sur les propositions de la Commission concernant un règlement relatif aux dispositifs médicaux (DM), et modifiant la directive 2001/83/CE, le règlement (CE) n° 178/2002 et le règlement (CE) n° 1223/2009, et un règlement relatif aux dispositifs médicaux de diagnostic in vitro (DIV).

Les règlements proposés affecteront les droits des personnes physiques par rapport au traitement de leurs données à caractère personnel. Ils abordent, entre autres, la question du traitement des données sensibles (données de santé), d’une base de données centralisée à l’échelle de l’Union, qui inclut des données à caractère personnel, de la surveillance du marché et de la tenue de registres.

Le CEPD veut apporter certains éclaircissements en ce qui concerne notamment les données sensibles, et, en particulier, en ce qui concerne leur traitement et leur stockage dans la base de données.

Le CEPD recommande:

  • que le règlement DM et règlement DIV proposé précisent que les dispositions s’appliqueront conformément aux règles nationales de transposition de la directive 95/46/CE;
  • d’introduire, dans le règlement DIV proposé, des paragraphes concernant les objectifs, les droits des personnes concernées et les durées de conservation des données, similaires à ceux qui figurent dans le règlement DM proposé ;
  • d’inclure une définition du terme «participant» dans les règlements proposés ;
  • d’empêcher clairement l’inclusion de toutes les données de santé des patients dans le module des investigations cliniques de la base de données Eudamed;
  • d’introduire, dans les règlements DM et DIV proposés, des dispositions qui précisent clairement dans quelles situations, et sous réserve de quelles garanties, les informations contenant des données de santé de patients seront traitées et stockées dans la base de données Eudamed en ce qui concerne la vigilance et la surveillance après commercialisation. Le règlement proposé doit en particulier exiger que la Commission procède à une évaluation des risques avant le traitement et le stockage de toute donnée de santé de patients dans la base de données Eudamed ;
  • d’indiquer explicitement que les rapports périodiques prévus dans les deux règlements doivent uniquement se fonder sur des données anonymes;
  • de préciser, dans les deux règlements proposés, que les fabricants devront obtenir le consentement explicite de la personne concernée avant que tout traitement de données relatives à la santé de patients ne puisse avoir lieu ;
  • d’inclure dans les règlements proposés des dispositions prévoyant les modalités de gestion des données à caractère personnel en ce qui concerne la surveillance par les autorités compétentes;
  • d’inclure une durée de conservation maximale pour les données à caractère personnel dans les règlements proposés.

Enfin, le CEPD devrait être consulté par rapport à tout acte délégué ou d’exécution adopté en vertu des règlements proposés si celui-ci est susceptible d’avoir un impact sur le traitement des données à caractère personnel.