Avis du Contrôleur européen de la protection
des données (CEPD) sur les
propositions de la Commission concernant un règlement relatif
aux dispositifs médicaux (DM), et modifiant la directive
2001/83/CE, le règlement (CE) n° 178/2002 et le
règlement (CE) n° 1223/2009, et un règlement relatif
aux dispositifs médicaux de diagnostic in vitro
(DIV).
Les règlements proposés affecteront les
droits des personnes physiques par rapport au traitement de leurs
données à caractère personnel. Ils abordent, entre
autres, la question du traitement des données sensibles
(données de santé), dune base de données
centralisée à léchelle de lUnion, qui
inclut des données à caractère personnel, de la
surveillance du marché et de la tenue de registres.
Le CEPD veut apporter certains
éclaircissements en ce qui concerne notamment les données
sensibles, et, en particulier, en ce qui concerne leur
traitement et leur stockage dans la base de
données.
Le CEPD recommande:
- que le règlement DM et règlement DIV
proposé précisent que les dispositions
sappliqueront conformément aux règles nationales de
transposition de la directive 95/46/CE;
- dintroduire, dans le règlement DIV
proposé, des paragraphes concernant les objectifs, les droits
des personnes concernées et les durées de conservation
des données, similaires à ceux qui figurent dans le
règlement DM proposé ;
- dinclure une définition du terme
«participant» dans les règlements
proposés ;
- dempêcher clairement linclusion de
toutes les données de santé des patients dans le
module des investigations cliniques de la base de
données Eudamed;
- dintroduire, dans les règlements DM et DIV
proposés, des dispositions qui précisent clairement dans
quelles situations, et sous réserve de quelles garanties, les
informations contenant des données de santé de patients
seront traitées et stockées dans la base de
données Eudamed en ce qui concerne la vigilance et la
surveillance après commercialisation. Le règlement
proposé doit en particulier exiger que la Commission
procède à une évaluation des risques avant le
traitement et le stockage de toute donnée de santé de
patients dans la base de données Eudamed ;
- dindiquer explicitement que les rapports
périodiques prévus dans les deux règlements doivent
uniquement se fonder sur des données
anonymes;
- de préciser, dans les deux règlements
proposés, que les fabricants devront obtenir le
consentement explicite de la personne concernée avant
que tout traitement de données relatives à la santé
de patients ne puisse avoir lieu ;
- dinclure dans les règlements proposés
des dispositions prévoyant les modalités de gestion des
données à caractère personnel en ce qui concerne
la surveillance par les autorités
compétentes;
- dinclure une durée de conservation
maximale pour les données à caractère personnel
dans les règlements proposés.
Enfin, le CEPD devrait être consulté
par rapport à tout acte délégué ou
dexécution adopté en vertu des règlements
proposés si celui-ci est susceptible davoir un impact
sur le traitement des données à caractère
personnel.