AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES(CEPD) sur la proposition de règlement du Parlement européen et du Conseil modifiant, en ce qui concerne la pharmacovigilance des médicaments à usage humain, le règlement (CE) n° 726/2004 établissant des procédures communautaires pour l'autorisation et la surveillance en ce qui concerne les médicaments à usage humain et à usage vétérinaire, et instituant une Agence européenne des médicaments, et sur la proposition de directive du Parlement européen et du Conseil modifiant, en ce qui concerne la pharmacovigilance, la directive 2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain.
Rappel : le 10 décembre 2008, la Commission a présenté deux propositions de modification du système actuel de pharmacovigilance, l'objectif global étant de mieux protéger la santé publique, d'assurer le bon fonctionnement du marché intérieur et de simplifier les règles et les procédures en vigueur (voir également COD/2008/0257).
Le fonctionnement global du système de pharmacovigilance actuel repose sur le traitement de données à caractère personnel. Ces données, qui figurent dans les notifications des effets indésirables, peuvent être considérées comme des données relatives à la santé des personnes concernées dans la mesure où elles donnent des informations sur l'utilisation de médicaments et sur les problèmes de santé qui y sont associés. Le traitement de ces données fait l'objet de règles strictes qui sont énoncées au règlement (CE) n° 45/2001 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données et à la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Toutefois, le texte actuel du règlement (CE) n° 726/2004 et celui de la directive 2001/83/CE ne contiennent aucune référence à la protection des données, si ce n'est une seule référence spécifique dans le règlement. Le CEPD regrette que les aspects concernant la protection des données ne soient pas pris en compte dans les modifications proposées et déplore de ne pas avoir été officiellement consulté sur les deux propositions de modifications. Le CEPD recommande en outre qu'il soit fait référence au présent avis dans l'exposé des motifs des deux propositions.
Contenu de l’avis : le présent avis commence par une explication simplifiée du système de pharmacovigilance au sein de l'UE tel qu'il ressort du règlement (CE) n° 726/2004 et de la directive 2001/83/CE sous leur forme actuelle. Il se poursuit par une analyse de la nécessité de traiter les données à caractère personnel dans le cadre de la pharmacovigilance, et se termine par un examen des propositions de la Commission visant à améliorer le cadre juridique actuel et celui qui est envisagé et par la formulation de recommandations en vue de garantir et d'améliorer les normes en matière de protection des données.
Conclusions et recommandations : le CEPD estime que l'absence d'évaluation appropriée des implications de la pharmacovigilance pour la protection des données constitue une des faiblesses de l'actuel cadre juridique prévu par le règlement (CE) n° 726/2004 et la directive 2001/83/CE. Il considère que les modifications proposées du règlement (CE) n° 726/2004 et de la directive 2001/83/CE offrent l'occasion d'instituer la protection des données comme un aspect important et à part entière de la pharmacovigilance.
Il y a lieu à cet égard de se poser une question générale, à savoir la nécessité réelle de traiter des données à caractère personnel relatives à la santé à tous les stades du processus de pharmacovigilance. Ainsi qu'il l'a expliqué dans le présent avis, le CEPD exprime de sérieuses réserves quant à cette nécessité et engage le législateur à la réévaluer aux différents niveaux du processus. Il est évident que l'objectif de la pharmacovigilance peut, dans de nombreux cas, être atteint en partageant des informations sur les effets indésirables, qui sont anonymes au sens de la législation en matière de protection des données. La répétition inutile des notifications peut être évitée par l'application de procédures bien structurées de notification des données au niveau national.
Les modifications proposées prévoient un système de notification simplifié et un renforcement de la base de données EudraVigilance. Le CEPD a expliqué que ces modifications entraînent une augmentation des risques pour la protection des données, en particulier lorsqu'il s'agit de la notification directe par des patients à l’Agence européenne pour l'évaluation des médicaments (EMEA) ou à la base de données EudraVigilance. À cet égard, le CEPD :
a) préconise vivement un système de notification décentralisé et indirect permettant de coordonner les communications vers le portail web européen au moyen des portails web nationaux ;
b) souligne que le respect de la vie privée et la sécurité devraient être pris en compte dans la conception et la mise en œuvre d'un système de notification au moyen de portails web (prise en compte du respect de la vie privée dès la conception) ;
c) souligne également qu'une fois que les données relatives à la santé de personnes physiques identifiées ou identifiables sont traitées, il convient que le responsable du traitement se conforme à toutes les exigences de la législation communautaire en matière de protection des données.
Plus particulièrement, le CEPD recommande:
· d'insérer une référence au présent avis dans l'exposé des motifs des deux propositions;
· d'insérer dans le règlement (CE) n° 726/2004 et la directive 2001/83/CE un considérant rappelant l'importance de la protection des données dans le cadre de la pharmacovigilance, avec des références à la législation communautaire pertinente;
· d'insérer dans le règlement (CE) n° 726/2004 et la directive 2001/83/CE un nouvel article à caractère général stipulant que:
i. les dispositions du règlement (CE) n° 726/2004 et de la directive 2001/83/CE sont sans préjudice des droits et des obligations découlant respectivement des dispositions du règlement (CE) n° 45/2001 et de la directive 95/46/CE, avec une référence particulière à l'article 10 du règlement (CE) n° 45/2001 et à l'article 8 de la directive 95/46/CE respectivement;
ii. les données identifiables relatives à la santé sont uniquement traitées en cas de stricte nécessité et les parties concernées devraient évaluer cette nécessité à tous les stades du processus de pharmacovigilance;
· d'insérer dans le nouvel article 24, paragraphe 2, de la proposition de règlement une phrase indiquant que l'accessibilité de la base de données EudraVigilance est régie conformément aux droits et aux obligations découlant de la législation communautaire en matière de protection des données;
· d'ajouter un paragraphe au nouvel article 24 proposé disposant que des mesures sont mises en place pour faire en sorte que la personne concernée puisse exercer son droit d'accès aux données la concernant, ainsi que le prévoit l'article 13 du règlement (CE) n° 45/2001;
· d'ajouter à l'article 101 de la proposition de directive un paragraphe qui dispose qu'en cas de traitement de données à caractère personnel, la personne concernée est dûment informée conformément à l'article 10 de la directive 95/46/CE;
· d'insérer dans les nouveaux articles 25 et 26 de la proposition de règlement et dans le nouvel article 106 de la proposition de directive, qui portent sur la mise au point d'un système de notification des effets indésirables au moyen de portails web, l'obligation de prévoir, en matière de respect de la vie privée et de sécurité, des mesures appropriées de même niveau dans l'ensemble des États membres, en tenant compte des principes fondamentaux de confidentialité, d'intégrité et de disponibilité des données ainsi que de responsabilité à l'égard de leur traitement.