23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/19


Avis du contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil modifiant, en ce qui concerne la pharmacovigilance des médicaments à usage humain, le règlement (CE) no 726/2004 établissant des procédures communautaires pour l'autorisation et la surveillance en ce qui concerne les médicaments à usage humain et à usage vétérinaire, et instituant une Agence européenne des médicaments, et sur la proposition de directive du Parlement européen et du Conseil modifiant, en ce qui concerne la pharmacovigilance, la directive 2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain

2009/C 229/04

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité instituant la Communauté européenne, et notamment son article 286,

vu la Charte des droits fondamentaux de l'Union européenne, et notamment son article 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), et notamment son article 41,

A ADOPTÉ L'AVIS SUIVANT:

I.   INTRODUCTION

Les propositions de modification du système actuel de pharmacovigilance

1.

Le 10 décembre 2008, la Commission a adopté deux propositions modifiant respectivement le règlement (CE) no 726/2004 et la directive 2001/83/CE. (3) Le règlement (CE) no 726/2004 établit des procédures communautaires pour l'autorisation et la surveillance des médicaments à usage humain et à usage vétérinaire et institue une Agence européenne pour l'évaluation des médicaments (ci-après dénommée «l'EMEA») (4). La directive 2001/83/CE contient des règles sur le code communautaire relatif aux médicaments à usage humain, qui concernent des procédés spécifiques au niveau des États membres. (5) Les modifications proposées concernent les parties qui, dans les deux instruments, portent sur la pharmacovigilance des médicaments à usage humain.

2.

La pharmacovigilance peut se définir comme étant la science et les activités relatives à la détection, à l'évaluation, à la compréhension et à la prévention des effets indésirables des médicaments. (6) Le système de pharmacovigilance actuellement en vigueur en Europe permet aux patients et aux professionnels de la santé de notifier les effets indésirables aux organismes publics et privés compétents qui interviennent au niveau national et au niveau européen. L'EMEA gère une base de données européenne (la base de données EudraVigilance) qui permet de centraliser la gestion et la notification des effets indésirables présumés.

3.

La pharmacovigilance est considérée comme un complément nécessaire du système communautaire d'autorisation des médicaments qui date de 1965, année de l'adoption de la directive 65/65/CEE. (7)

4.

Ainsi qu'il ressort de l'exposé des motifs et de l'évaluation de l'impact annexée aux propositions, le système actuel de pharmacovigilance présente un certain nombre de faiblesses, notamment un manque de clarté en ce qui concerne les rôles et les responsabilités des différents acteurs concernés, des procédures complexes de notification des effets indésirables, la nécessité de renforcer la transparence et la communication en matière de sécurité des médicaments et la nécessité de rationaliser la planification de la gestion des risques liés aux médicaments.

5.

Les deux propositions entendent, d'une manière générale, remédier à ces faiblesses ainsi qu'améliorer et renforcer le système de pharmacovigilance communautaire, l'objectif global étant de mieux protéger la santé publique, d'assurer le bon fonctionnement du marché intérieur et de simplifier les règles et les procédures en vigueur. (8)

Données à caractère personnel dans le domaine de la pharmacovigilance et consultation du CEPD

6.

Le fonctionnement global du système de pharmacovigilance actuel repose sur le traitement de données à caractère personnel. Ces données, qui figurent dans les notifications des effets indésirables, peuvent être considérées comme des données relatives à la santé des personnes concernées (ci-après«données relatives à la santé») dans la mesure où elles donnent des informations sur l'utilisation de médicaments et sur les problèmes de santé qui y sont associés. Le traitement de ces données fait l'objet de règles strictes en matière de protection des données, qui sont énoncées à l'article 10 du règlement (CE) no 45/2001 et à l'article 8 de la directive 95/46/CE. (9) Récemment, la Cour européenne des droits de l'homme a souligné à plusieurs reprises qu'il est important de protéger ces données conformément à l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Elle a jugé que «la protection des données à caractère personnel, en particulier les données médicales, revêt une importance fondamentale pour l'exercice du droit au respect à la vie privée et à la vie de famille, tel qu'il est garanti par l'article 8 de la convention» (arrêt rendu en anglais, traduction du Conseil) (10).

7.

Toutefois, le texte actuel du règlement (CE) no 726/2004 et celui de la directive 2001/83/CE ne contiennent aucune référence à la protection des données, si ce n'est une seule référence spécifique dans le règlement qui sera examinée aux points 21 et suivants.

8.

Le contrôleur européen de la protection des données ci-après (ci-après «le CEPD») regrette que les aspects concernant la protection des données ne soient pas pris en compte dans les modifications proposées et déplore de ne pas avoir été officiellement consulté sur les deux propositions de modifications, ainsi que le prévoit l'article 28, paragraphe 2, du règlement (CE) no 45/2001. Par conséquent, le présent avis se fonde sur l'article 41, paragraphe 2, de ce même règlement. Le CEPD recommande qu'il soit fait référence au présent avis dans l'exposé des motifs des deux propositions.

9.

Le CEPD note que, même si le cadre juridique actuel en matière de pharmacovigilance et les deux propositions n'accordent pas une place suffisante à la protection des données, l'application concrète du système communautaire central EudraVigilance soulève incontestablement des questions sur la protection des données. À cet égard, l'EMEA a notifié l'actuel système EudraVigilance au CEPD en juin 2008 en vue d'un contrôle préalable sur la base de l'article 27 du règlement (CE) no 45/2001.

10.

Le présent avis et les conclusions du CEPD sur le contrôle préalable (dont la publication est attendue plus tard dans l'année) contiendront nécessairement des redites. Toutefois, la portée des deux instruments est différente: si le présent avis porte tout particulièrement sur le cadre juridique général sur lequel repose le système, ainsi qu'il ressort du règlement (CE) no 726/2004 et de la directive 2001/83/CE et des modifications qu'il est proposé d'y apporter, le contrôle préalable constitue une analyse détaillée de la protection des données axée, d'une part, sur la manière dont les règles actuelles ont été développées dans les instruments ultérieurs (par exemple, décisions et lignes directrices) qui ont été établis par l'EMEA ou conjointement par la Commission et l'EMEA et, d'autre part, sur le mode de fonctionnement du système EudraVigilance dans la pratique.

11.

Le présent avis commence par une explication simplifiée du système de pharmacovigilance au sein de l'UE tel qu'il ressort du règlement (CE) no 726/2004 et de la directive 2001/83/CE sous leur forme actuelle. Il se poursuit par une analyse de la nécessité de traiter les données à caractère personnel dans le cadre de la pharmacovigilance, et se termine par un examen des propositions de la Commission visant à améliorer le cadre juridique actuel et celui qui est envisagé et par la formulation de recommandations en vue de garantir et d'améliorer les normes en matière de protection des données.

II.   LE SYSTÈME DE PHARMACOVIGILANCE DE L'UE: CONSIDÉRATIONS RELATIVES AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA PROTECTION DES DONNÉES

Les acteurs qui participent à la collecte et à la diffusion des informations

12.

Différents acteurs participent à la collecte et à la diffusion d'informations sur les effets indésirables des médicaments dans l'Union européenne. Sur le plan national, les deux principaux acteurs sont les titulaires d'une autorisation de mise sur le marché (entreprises autorisées à mettre des médicaments sur le marché) et les autorités nationales compétentes (autorités compétentes en matière d'autorisation de mise sur le marché). Les autorités nationales compétentes autorisent la mise sur le marché de produits via les procédures nationales, parmi lesquelles figurent la«procédure de reconnaissance mutuelle» et la «procédure décentralisée». (11) Pour les produits qui sont autorisés à être mis sur le marché via la procédure dite centralisée, la Commission européenne peut également faire office d'autorité compétente. L'EMEA est un autre acteur important au niveau européen. L'une des missions de cette agence est de veiller à ce que les informations sur les effets indésirables des médicaments autorisés dans la Communauté soient diffusées au moyen d'une base de données, à savoir la base de données EudraVigilance susmentionnée.

La collecte et la conservation des données à caractère personnel au niveau national

13.

La directive 2001/83/CE parle en termes généraux de la responsabilité des États membres à gérer un système de pharmacovigilance dans lequel sont collectées des informations «utiles pour la surveillance des médicaments» (article 102). Conformément aux articles 103 et 104 de la directive 2001/83/CE (voir également articles 23 et 24 du règlement (CE) no 726/2004), les titulaires d'une autorisation de mise sur le marché doivent disposer de leur propre système de pharmacovigilance pour pouvoir assumer la responsabilité de leurs produits sur le marché et veiller à ce que les mesures adéquates puissent être prises en cas de besoin. Les informations sont recueillies auprès des professionnels de la santé ou directement auprès des patients. Le titulaire d'une autorisation de mise sur le marché doit communiquer par voie électronique à l'autorité compétente toutes les informations présentant un intérêt pour le rapport bénéfices/risques d'un médicament.

14.

La directive 2001/83/CE n'est pas en soi très précise sur la nature des informations qui devraient être collectées au niveau national sur les effets indésirables, leur mode de conservation ou les modalités de leur communication. Les articles 104 et 106 évoquent uniquement les «apports» qui doivent être établis. Des règles plus détaillées concernant ces rapports figurent dans les lignes directrices qui sont établies par la Commission, après consultation de l'EMEA, des États membres et des parties intéressées, conformément à l'article 106. Dans ces lignes directrices sur la pharmacovigilance des médicaments à usage humain (ci-après les «lignes directrices»), il est fait référence aux «rapports de sécurité concernant des cas particuliers»(ci-après les «rapports de sécurité»), qui sont des rapports sur les effets indésirables de médicaments concernant un patient spécifique. (12) Il ressort desdites lignes directrices que parmi les informations minimales requises dans les rapports de sécurité figurent des informations sur un «patient identifiable» (13) D'après ces lignes directrices, le patient peut être identifié par ses initiales, son numéro de patient, sa date de naissance, son poids, sa taille et son sexe, son numéro de dossier dans un hôpital, des informations sur ses antécédents médicaux, des informations sur ses parents. (14)

15.

L'accent étant mis sur l'identifiabilité du patient, il est évident que le traitement de ces informations relève des règles sur la protection des données telles qu'elles sont énoncées dans la directive 95/46/CE. En effet, bien que le nom du patient ne soit pas mentionné, il est possible d'identifier ce dernier en rassemblant les différentes informations disponibles (par exemple, hôpital, date de naissance, initiales) et sous certaines conditions particulières (par exemple, dans le cas de communautés fermées ou de petites localités). Il convient donc en principe de considérer les informations traitées dans le cadre de la pharmacovigilance comme se rapportant à une personne physique identifiable au sens de l'article 2, point a), de la directive 95/46/CE. (15) Si ce point n'est pas clairement précisé dans le règlement ni dans la directive, il est établi dans les lignes directrices, qui indiquent que «les informations devraient être aussi complètes que possible et tenir compte de la législation de l'UE en matière de protection des données» (16).

16.

Il convient de souligner que, en dépit de ces lignes directrices, la notification des effets indésirables au niveau national est loin d'être uniforme. Cette question fera l'objet d'un examen plus approfondi aux points 24 et 25 ci-dessous.

La base de données EudraVigilance

17.

La base de données EudraVigilance, qui est gérée par l'EMEA, joue un rôle primordial dans le système de pharmacovigilance de l'UE. Ainsi que nous l'avons indiqué précédemment, EudraVigilance est un réseau centralisé de traitement des données et un système de gestion pour la notification et l'évaluation des effets indésirables présumés durant la phase de développement des médicaments et après leur autorisation de mise sur le marché dans la Communauté européenne et les pays qui font partie de l'Espace économique européen. La base juridique sur laquelle repose la base de données EudraVigilance est l'article 57, paragraphe 1, point d), du règlement (CE) no 726/2004.

18.

L'actuelle base de données EudraVigilance comporte deux volets: premièrement, les informations qui résultent d'essais cliniques (effectués avant la mise sur le marché du médicament au cours d'une période dite de «pré-autorisation») et, deuxièmement, les informations qui ressortent des rapports sur les effets indésirables (rassemblées par la suite, période dite de «post-autorisation»). Le présent avis porte essentiellement sur cette période de «post-autorisation» étant donné que les modifications proposées concernent surtout cette partie.

19.

La base de données EudraVigilance contient des données sur les patients qui proviennent des rapports de sécurité. L'EMEA reçoit ces rapports des autorités nationales compétentes (voir l'article 102 de la directive 2001/83/CE et l'article 22 du règlement (CE) no 726/2004) et, dans certains cas, directement des titulaires d'une autorisation de mise sur le marché (voir l'article 104 de la directive 2001/83/CE et l'article 24 du règlement (CE) no 726/2004).

20.

Le présent avis porte essentiellement sur le traitement des informations à caractère personnel concernant les patients. Il convient néanmoins de noter que la base de données EudraVigilance contient également des informations à caractère personnel concernant des personnes qui travaillent pour l'autorité nationale compétente ou les titulaires d'une autorisation de mise sur le marché lorsque ces derniers fournissent des informations à la base de données. Le nom complet, l'adresse, les coordonnées, les données figurant sur le document d'identification de ces personnes sont conservés dans le système. Une autre catégorie d'informations à caractère personnel concerne les données relatives aux personnes possédant les qualifications appropriées, responsables en matière de pharmacovigilance, qui sont désignées par les titulaires d'une autorisation de mise sur le marché conformément aux dispositions de l'article 103 de la directive 2001/83/CE. Il est évident que les droits et les obligations qui découlent du règlement (CE) no 45/2001 s'appliquent entièrement au traitement de ces informations.

L'accès à la base de données EudraVigilance

21.

L'article 57, paragraphe 1, point d), du règlement (CE) no 726/2004 dispose que la banque de données devraient être consultable en permanence par tous les États membres; les professionnels de la santé, les titulaires d'une autorisation de mise sur le marché et le public doivent en outre disposer de niveaux d'accès appropriés à cette banque de données, la protection des données à caractère personnel étant garantie. Ainsi que nous l'avons indiqué au point 7 ci-dessus, il s'agit là de la seule disposition du règlement et de la directive 2001/83/CE qui fait référence à la protection des données.

22.

L'article 57, paragraphe 1, point d), a conduit à la mise en place des modalités d'accès suivantes. Dès que l'EMEA reçoit un rapport de sécurité concernant un cas particulier, celui-ci est directement placé dans la passerelle d'EudraVigilance, à laquelle l'EMEA, les autorités nationales compétentes et la Commission ont entièrement accès. Après validation du rapport par l'EMEA (vérification de son authenticité et de sa spécificité), les informations qui y figurent sont transférées dans la base de données proprement dite. L'EMEA, les autorités nationales compétentes et la Commission ont entièrement accès à la base de données, tandis que les titulaires d'une autorisation de mise sur le marché n'ont accès à la base de données que dans certaines conditions, c'est-à-dire qu'ils n'ont accès qu'aux données qu'ils ont eux-mêmes communiquées à l'EMEA. Enfin, l'ensemble des informations relatives aux rapports de sécurité sont introduites sur le site web d'EudraVigilance qui est accessible au public, et notamment aux professionnels de la santé.

23.

Le 19 décembre 2008, l'EMEA a publié, sur son site web, un projet d'orientations en matière d'accès à des fins de consultation publique. (17) Le document montre la manière dont l'EMEA envisage de mettre en œuvre l'article 57, paragraphe 1, point d), du règlement (CE) no 726/2004. Le CEPD reviendra brièvement sur la question à partir du point 48 ci-dessous.

Les faiblesses du système actuel et l'absence de garanties en matière de protection des données

24.

L'évaluation d'impact de la Commission révèle certaines faiblesses du système actuel de pharmacovigilance de l'UE, qui est considéré comme complexe et imprécis. La complexité du système de collecte, de conservation et de transmission de données par différents acteurs au niveau national et au niveau européen est présentée comme un des principaux défauts. Cette situation est encore compliquée par le fait que les modalités d'application de la directive 2001/83/CE diffèrent d'un État membre à l'autre. (18) Il s'ensuit que les autorités nationales compétentes ainsi que l'EMEA sont souvent confrontées à des notifications d'effets indésirables incomplètes ou redondantes. (19)

25.

Cela est dû au fait que, bien qu'une description du contenu du rapport de sécurité soit fournie dans les lignes directrices susmentionnées, c'est aux États membres qu'il appartient de décider des modalités de mise en œuvre de ces rapports au niveau national. Cela concerne tant les moyens de communication utilisés par les titulaires d'une autorisation de mise sur le marché pour effectuer une notification auprès des autorités nationales compétentes que les informations concrètes figurant dans les rapports (aucun formulaire normalisé n'est utilisé pour les notifications à l'intérieur de l'Europe). De plus, certaines autorités nationales compétentes peuvent appliquer des critères de qualité spécifiques pour la recevabilité des rapports (en fonction de leur contenu, de leur caractère exhaustif, etc.), et d'autres non. Il est évident que la méthode utilisée au niveau national pour la notification et l'évaluation de la qualité des rapports de sécurité a une incidence directe sur la manière dont cette notification est effectuée auprès de l'EMEA, c'est-à-dire dans la base de données EudraVigilance.

26.

Le CEPD tient à souligner que les faiblesses susmentionnées n'entraînent pas uniquement des inconvénients d'ordre pratique, mais constituent également une menace considérable pour la protection des données relatives à la santé des citoyens. Bien que, comme nous l'avons vu dans les points précédents, les données relatives à la santé soient traitées à différents stades du processus de fonctionnement du système de pharmacovigilance, la protection de ces données ne fait actuellement l'objet d'aucune disposition. La seule exception est la référence générale à la protection des données figurant à l'article 57, paragraphe 1, point d), du règlement (CE) no 726/2004, qui concerne uniquement la dernière étape du traitement des données, à savoir l'accessibilité des données figurant dans la base de données EudraVigilance. Par ailleurs, le manque de clarté quant aux rôles et aux responsabilités des différents acteurs participant au processus, ainsi que l'absence de normes spécifiques pour le traitement proprement dit constituent une menace pour la confidentialité, mais aussi pour l'intégrité des données à caractère personnel qui sont traitées, ainsi que pour la responsabilité à l'égard de ce traitement.

27.

Le CEPD tient dès lors à souligner qu'il faut également considérer comme une faiblesse du système actuel l'absence d'analyse approfondie de la protection des données, qui transparaît dans le cadre juridique sur lequel repose le système de pharmacovigilance de l'UE. Il faudrait y remédier en modifiant la législation en vigueur.

III.   LA PHARMACOVIGILANCE ET LA NÉCESSITÉ DES DONNÉES À CARACTÈRE PERSONNEL

28.

Premièrement et d'une manière générale, le CEPD tient à soulever la question de savoir s'il est nécessaire de traiter des données relatives à la santé de personnes physiques identifiables à tous les stades du système de pharmacovigilance (au niveau national comme au niveau européen).

29.

Comme nous l'avons expliqué précédemment, le patient n'est pas nommément désigné dans les rapports de sécurité et n'est donc pas identifié comme tel. Il pourrait néanmoins l'être dans certains cas si l'on associe différentes informations figurant dans les rapports de sécurité. Ainsi qu'il ressort des lignes directrices dans certains cas, le patient se voit attribuer un numéro spécifique, ce qui implique que le système dans son ensemble permet la traçabilité de la personne concernée. Toutefois, ni la directive ni le règlement n'indiquent que la traçabilité des personnes s'inscrit dans l'objectif du système de pharmacovigilance.

30.

Le CEPD engage dès lors le législateur à préciser s'il est réellement prévu que la traçabilité constitue un objectif de la pharmacovigilance aux différents niveaux du traitement et plus précisément dans le cadre de la base de données EudraVigilance.

31.

À cet égard, il est instructif d'établir une comparaison avec le régime envisagé pour le don et la transplantation d'organes. (20) Dans le cadre de la transplantation d'un organe, il est extrêmement important de pouvoir remonter jusqu'au donneur et au receveur, notamment dans les cas d'incidents ou de réactions indésirables graves.

32.

Toutefois, dans le cadre de la pharmacovigilance, le CEPD ne dispose pas de suffisamment d'éléments pour conclure que la traçabilité est réellement toujours nécessaire. La pharmacovigilance concerne la notification des effets indésirables de médicaments qui sont et seront utilisés par un nombre (presque toujours) inconnu de personnes. Dès lors, le lien entre les informations sur les effets indésirables et la personne concernée est — en tout état de cause durant la période de «post-autorisation» — moins systématique et particulier, comme dans le cas des informations relatives aux organes et aux personnes intervenant dans la transplantation d'un organe spécifique. Il est évident que les patients qui ont utilisé un médicament donné et ont notifié des effets indésirables ont un intérêt à connaître l'issue de toute évaluation ultérieure. Toutefois, cela n'implique pas que les informations notifiées doivent dans tous les cas être liées à cette personne spécifique tout au long du processus de pharmacovigilance. Dans de nombreux cas, établir un lien entre les informations relatives aux effets indésirables et le médicament lui-même devrait suffire, ce qui permettrait aux acteurs concernés, éventuellement par l'intermédiaire de professionnels de la santé, d'informer les patients en général sur les conséquences qu'entraîne la prise d'un médicament donné.

33.

Si la traçabilité est envisagée malgré tout, le CEPD tient à rappeler l'analyse qu'il a faite dans son avis sur la proposition de la Commission de directive relative aux normes de qualité et de sécurité des organes humains destinés à la transplantation. Dans cet avis, il expliquait la relation entre traçabilité, identifiabilité, anonymat et confidentialité des données. L'identifiabilité est un terme qui revêt une importance primordiale dans la législation en matière de protection des données. (21) Les règles en matière de protection des données s'appliquent aux données relatives aux personnes qui sont identifiées ou identifiables. (22) La traçabilité des données jusqu'à une personne donnée peut être mise sur le même pied que l'identifiabilité de ces données. Dans la législation en matière de protection des données, l'anonymat est l'inverse de l'identifiabilité et, donc, de la traçabilité. Ce n'est que s'il est impossible d'identifier (ou de retrouver) la personne à laquelle correspondent les données que celles-ci sont considérées comme anonymes. Dès lors, la notion d'«anonymat» diffère de ce qu'on entend habituellement par ce terme dans la vie de tous les jours, à savoir qu'une personne ne peut être identifiée à partir de données en tant que telles, par exemple, parce que son nom a été supprimé. Dans ces cas, il s'agirait plutôt de confidentialité des données, c'est-à-dire que seules les personnes autorisées ont (pleinement) accès aux informations. La traçabilité et l'anonymat ne peuvent coexister, contrairement à la traçabilité et à la confidentialité.

34.

Outre la traçabilité, le bon fonctionnement du système pourrait expliquer pourquoi les patients doivent pouvoir être identifiés tout au long du processus de pharmacovigilance. Le CEPD croit comprendre que lorsque les informations concernent une personne identifiable et donc unique, il est plus aisé pour les autorités compétentes (à savoir les autorités nationales compétentes et l'EMEA) de surveiller et de contrôler le contenu d'un rapport de sécurité (par exemple, pour rechercher les répétitions inutiles). Même si le CEPD comprend qu'un tel mécanisme de contrôle puisse être nécessaire, il n'est pas convaincu que cela suffit à justifier la conservation de données identifiables à tous les stades du processus de pharmacovigilance et, notamment, dans la base de données EudraVigilance. En structurant et en coordonnant mieux le système de notification, par exemple au moyen d'un système décentralisé que nous évoquerons plus loin, points 42 et suivants, les répétitions inutiles pourraient déjà être évitées au niveau national.

35.

Le CEPD reconnaît que, dans certaines circonstances particulières, il est impossible de rendre les données anonymes. Tel est, par exemple, le cas si certains médicaments sont utilisés par un groupe très limité de personnes. Pour ces cas particuliers, il convient de prévoir des garanties afin de respecter les obligations découlant de la législation en matière de protection des données.

36.

Pour conclure, le CEPD exprime de sérieuses réserves quant à la nécessité de la traçabilité ou de l'utilisation, à tous les stades du processus de pharmacovigilance, de données relatives à des patients identifiables. Le CEPD n'ignore pas qu'il peut s'avérer impossible d'empêcher le traitement de données identifiables à tous les stades, en particulier au niveau national, là où les informations sur les effets indésirables sont effectivement collectées. Toutefois, selon les règles en matière de protection des données, les données relatives à la santé ne sont traitées qu'en cas de stricte nécessité. L'utilisation de données identifiables devrait dès lors être réduite autant que faire se peut et évitée ou interrompue le plus rapidement possible dans les cas où elle n'est pas jugée nécessaire. Le CEPD engage dès lors le législateur à réévaluer la nécessité d'utiliser ces informations au niveau européen, ainsi qu'au niveau national.

37.

Il est à noter que dans les cas où il est vraiment nécessaire de traiter des données identifiables ou lorsqu'il est impossible de rendre les données anonymes (voir point 35 ci-dessus), il y a lieu d'étudier les possibilités techniques d'identification indirecte des personnes concernées, par exemple au moyen de mécanismes de pseudonymisation. (23)

38.

Le CEPD recommande dès lors d'insérer dans le règlement (CE) no 726/2004 et dans la directive 2001/83/CE un nouvel article stipulant que les dispositions du règlement (CE) no 726/2004 et de la directive 2001/83/CE sont sans préjudice des droits et des obligations découlant respectivement des dispositions du règlement (CE) no 45/2001 et de la directive 95/46/CE, avec une référence particulière à l'article 10 du règlement (CE) no 45/2001 et à l'article 8 de la directive 95/46/CE respectivement. À cela il convient d'ajouter que les données identifiables relatives à la santé ne doivent être traitées qu'en cas de stricte nécessité et que les parties concernées devraient évaluer cette nécessité à tous les stades du processus de pharmacovigilance.

IV.   ANALYSE DÉTAILLÉE DES PROPOSITIONS

39.

Bien que la protection des données ne soit pratiquement pas prise en compte dans les modifications proposées, une analyse plus détaillée des propositions demeure instructive car elle montre que certaines des modifications envisagées augmentent l'incidence du système et les risques qui en résultent pour la protection des données.

40.

L'objectif général des deux propositions est d'améliorer la cohérence des règles, de préciser les responsabilités, de simplifier le système de notification et de renforcer la base de données EudraVigilance. (24)

Précision concernant les responsabilités

41.

La Commission s'est manifestement efforcée de préciser les responsabilités en proposant de modifier les dispositions en vigueur de manière à ce que la législation proprement dite indique d'une manière plus explicite «qui devrait faire quoi». Il est évident que le fait de préciser quels acteurs interviennent et quelles sont leurs obligations respectives en ce qui concerne la notification d'effets indésirables améliore la transparence du système et représente donc aussi une évolution positive en ce qui concerne la protection des données. D'une manière générale, les patients devraient être en mesure de comprendre, en lisant les textes législatifs, la manière dont sont traitées leurs données à caractère personnel, quand et par qui. Toutefois, les obligations et les responsabilités que l'on propose de préciser devrait explicitement être mises en relation avec celles qui découlent de la législation en matière de protection des données.

Simplification du système de notification

42.

Il convient de simplifier le système de notification en utilisant les portails web nationaux sur la sécurité des médicaments, qui sont reliés au portail web européen en la matière (voir le nouvel article 106 de la proposition de directive, ainsi que le nouvel article 26 de la proposition de règlement). Les portails web nationaux contiendront des formulaires accessibles au public permettant aux professionnels de la santé et aux patients de notifier des effets indésirables présumés (voir l'article 106, paragraphe 3, de la proposition de directive, ainsi que l'article 25 de la proposition de règlement). Le portail web européen contiendra également des informations sur les modalités de notification, y compris les formulaires standard pour la notification en ligne par les patients et les professionnels de la santé.

43.

Le CEPD tient à souligner que, si l'utilisation de ces portails web et des formulaires normalisés renforce l'efficacité du système de notification, elle accroît aussi les risques que présente le système pour la protection des données. Le CEPD invite le législateur à subordonner le développement de ce système de notification aux exigences de la législation en matière de protection des données. Cela implique, comme nous l'avons souligné, qu'il y a lieu d'évaluer comme il se doit la nécessité de traiter des données à caractère personnel à chaque étape du processus. Cela devrait transparaître dans la manière dont la notification est organisée au niveau national, ainsi que dans la communication d'informations à l'EMEA et à la base de données EudraVigilance. D'une manière plus générale, le CEPD recommande vivement l'élaboration de formulaires uniformes au niveau national pour éviter que des pratiques divergentes n'aboutissent à différents niveaux de protection des données.

44.

Le système envisagé semble impliquer que les patients peuvent effectuer des notifications directement auprès de l'EMEA, et peut-être même auprès de la base de données EudraVigilance. Cela signifie que, dans le cadre de l'application actuelle de cette base de données, les informations seront placées dans la passerelle de l'EMEA qui est pleinement accessible à la Commission et aux autorités nationales compétentes, ainsi que cela a été expliqué aux points 21 et 22 ci-dessus.

45.

D'une manière générale, le CEPD préconise vivement un système de notification décentralisé. Il convient de coordonner les communications vers le portail web européen en utilisant des portails web nationaux qui relèvent de la responsabilité des autorités nationales compétentes. Il serait par ailleurs préférable de recourir à la notification indirecte par les patients, à savoir par l'intermédiaire des professionnels de la santé (en utilisant ou non les portails web), plutôt qu'à la notification directe par les patients, en particulier à la base de données EudraVigilance.

46.

Un système de notification via des portails web passe en tout état de cause par des règles strictes de sécurité. À cet égard, le CEPD tient à rappeler l'avis susmentionné qu'il a rendu sur la proposition de directive relative à l'application des droits des patients en matière de soins de santé transfrontaliers, en particulier la partie concernant la sécurité des données dans les États membres et le respect de la vie privée dans les applications «santé en ligne». (25) Dans cet avis, le CEPD avait déjà souligné que le respect de la vie privée et la sécurité devraient être pris en compte dans la conception et la mise en œuvre de toute application «santé en ligne» («prise en compte du respect de la vie privée dès la conception»). (26) Cette observation vaut aussi pour les portails web qui sont prévus.

47.

Le CEPD tient par conséquent à recommander l'inclusion dans les nouveaux articles 25 et 26 de la proposition de règlement et dans le nouvel article 106 de la proposition de directive, qui portent sur la mise au point d'un système de notification des effets indésirables au moyen de portails web, de l'obligation de prévoir des mesures appropriées en matière de respect de la vie privée et de sécurité. Les principes de confidentialité, d'intégrité, de responsabilité et de disponibilité pourraient également être mentionnés en tant qu'objectifs essentiels en matière de sécurité, qui devraient être garantis de manière homogène dans l'ensemble des États membres. Le recours à des normes et à des moyens techniques appropriés, tels que le cryptage et l'authentification de signatures numériques, pourrait également être inclus.

Renforcement de la base de données EudraVigilance: meilleur accès

48.

Le nouvel article 24 de la proposition de règlement porte sur la base de données EudraVigilance. Il précise que le renforcement de la base de données implique une utilisation accrue de cette dernière par les différentes parties concernées en termes de fourniture d'informations à la base de données et à partir de celle-ci et d'accès à ces informations. Deux paragraphes de l'article 24 présentent un intérêt particulier.

49.

L'article 24, paragraphe 2, porte sur l'accessibilité de la base de données. Il remplace l'actuel article 57, paragraphe 1, point d), du règlement (CE) no 726/2004, qui a été examiné précédemment, s'agissant de la seule disposition qui fait actuellement référence à la protection des données. La référence à la protection des données est maintenue, mais le nombre d'acteurs qui en font l'objet est réduit. Alors que le texte actuel indique qu'il convient d'offrir aux professionnels de la santé, aux titulaires d'une autorisation de mise sur le marché et au public des niveaux d'accès appropriés à la base de données, la protection des données à caractère personnel étant garantie, la Commission propose à présent de supprimer de cette liste les titulaires d'une autorisation de mise sur le marché et de leur donner l'accès «dans la mesure nécessaire pour leur permettre de s'acquitter de leurs obligations en matière de pharmacovigilance», sans faire aucune référence à la protection des données. Les raisons en sont peu claires.

50.

L'article 24, paragraphe 3, définit en outre les règles sur l'accès aux rapports de sécurité. L'accès peut être demandé par le public et est accordé dans un délai de 90 jours, «sauf si leur divulgation compromettrait l'anonymat des sujets des notifications». Le CEPD est favorable à l'idée qui sous-tend cette disposition, à savoir que seule les données anonymes peuvent être divulguées. Il tient néanmoins à souligner que, ainsi qu'il a expliqué précédemment, l'anonymat doit être entendu comme étant l'impossibilité complète d'identifier la personne qui a notifié l'effet indésirable (voir également point 33).

51.

D'une manière générale, il convient de réévaluer l'accessibilité du système EudraVigilance à la lumière des règles en matière de protection des données, ce qui a également des conséquences directes pour le projet d'orientations en matière d'accès, publié par l'EMEA en décembre 2008 et mentionné au point 23 ci-dessus. (27) Dans la mesure où les informations figurant dans la base de données EudraVigilance concernent nécessairement des personnes physiques identifiables, l'accès aux données devrait être aussi restrictif que possible.

52.

Le CEPD recommande dès lors d'inclure dans le nouvel article 24, paragraphe 2, de la proposition de règlement une phrase indiquant que l'accessibilité de la base de données EudraVigilance est régie conformément aux droits et aux obligations découlant de la législation communautaire en matière de protection des données.

Droits de la personne concernée

53.

Le CEPD tient à souligner qu'une fois que les données identifiables ont été traitées, il convient que le responsable de ce traitement se conforme à toutes les exigences de la législation communautaire en matière de protection des données. Cela implique notamment que la personne concernée soit bien informée sur l'utilisation des données la concernant et sur le responsable du traitement et qu'elle dispose de toutes les informations supplémentaires requises conformément à l'article 11 du règlement (CE) no 45/2001 et/ou à l'article 10 de la directive 95/46/CE. La personne concernée devrait en outre être autorisée à invoquer ses droits tant au niveau national qu'au niveau européen, tels que le droit d'accès (article 12 de la directive 95/46/CE et article 13 du règlement (CE) no 45/2001), le droit d'opposition (article 18 du règlement (CE) no 45/2001 et article 14 de la directive 95/46/CE), etc.

54.

Le CEPD recommande dès lors d'ajouter dans le nouvel article 101 de la proposition de directive un paragraphe qui dispose qu'en cas de traitement de données à caractère personnel, la personne est dûment informée conformément à l'article 10 de la directive 95/46/CE.

55.

La question de l'accès par une personne aux informations la concernant qui figurent dans la base de données EudraVigilance ne fait l'objet ni de la législation actuelle ni de la législation proposée. Il y a lieu de souligner que, dans les cas où on estime nécessaire de conserver des données à caractère personnel dans la base de données, ainsi que cela vient d'être mentionné, il convient d'autoriser le patient concerné à invoquer son droit d'accès aux données le concernant conformément à l'article 13 du règlement (CE) no 45/2001. Le CEPD recommande dès lors d'ajouter dans le nouvel article 24 un paragraphe disposant que des mesures sont prises pour faire en sorte que la personne concernée puisse exercer son droit d'accès aux données la concernant, ainsi que le prévoit l'article 13 du règlement (CE) no 45/2001.

V.   CONCLUSION ET RECOMMANDATIONS

56.

Le CEPD estime que l'absence d'évaluation appropriée des implications de la pharmacovigilance pour la protection des données constitue une des faiblesses de l'actuel cadre juridique prévu par le règlement (CE) no 726/2004 et la directive 2001/83/CE. Il convient de considérer que les modifications proposées du règlement (CE) no 726/2004 et de la directive 2001/83/CE offrent l'occasion d'instituer la protection des données comme un aspect important et à part entière de la pharmacovigilance.

57.

Il y a lieu à cet égard de se poser une question générale, à savoir la nécessité réelle de traiter des données à caractère personnel relatives à la santé à tous les stades du processus de pharmacovigilance. Ainsi qu'il l'a expliqué dans le présent avis, le CEPD exprime de sérieuses réserves quant à cette nécessité et engage le législateur à la réévaluer aux différents niveaux du processus. Il est évident que l'objectif de la pharmacovigilance peut, dans de nombreux cas, être atteint en partageant des informations sur les effets indésirables, qui sont anonymes au sens de la législation en matière de protection des données. La répétition inutile des notifications peut être évitée par l'application de procédures bien structurées de notification des données au niveau national.

58.

Les modifications proposées prévoient un système de notification simplifié et un renforcement de la base de données EudraVigilance. Le CEPD a expliqué que ces modifications entraînent une augmentation des risques pour la protection des données, en particulier lorsqu'il s'agit de la notification directe par des patients à l'EMEA ou à la base de données EudraVigilance. À cet égard, le CEPD préconise vivement un système de notification décentralisé et indirect permettant de coordonner les communications vers le portail web européen au moyen des portails web nationaux. Le CEPD souligne en outre que le respect de la vie privée et la sécurité devraient être pris en compte dans la conception et la mise en œuvre d'un système de notification au moyen de portails web («prise en compte du respect de la vie privée dès la conception»).

59.

Le CEPD souligne également qu'une fois que les données relatives à la santé de personnes physiques identifiées ou identifiables sont traitées, il convient que le responsable du traitement se conforme à toutes les exigences de la législation communautaire en matière de protection des données.

60.

Plus particulièrement, le CEPD recommande:

d'insérer une référence au présent avis dans l'exposé des motifs des deux propositions;

d'insérer dans le règlement (CE) no 726/2004 et la directive 2001/83/CE un considérant rappelant l'importance de la protection des données dans le cadre de la pharmacovigilance, avec des références à la législation communautaire pertinente;

d'insérer dans le règlement (CE) no 726/2004 et la directive 2001/83/CE un nouvel article à caractère général stipulant que:

les dispositions du règlement (CE) no 726/2004 et de la directive 2001/83/CE sont sans préjudice des droits et des obligations découlant respectivement des dispositions du règlement (CE) no 45/2001 et de la directive 95/46/CE, avec une référence particulière à l'article 10 du règlement (CE) no 45/2001 et à l'article 8 de la directive 95/46/CE respectivement;

les données identifiables relatives à la santé sont uniquement traitées en cas de stricte nécessité et les parties concernées devraient évaluer cette nécessité à tous les stades du processus de pharmacovigilance;

d'insérer dans le nouvel article 24, paragraphe 2, de la proposition de règlement une phrase indiquant que l'accessibilité de la base de données EudraVigilance est régie conformément aux droits et aux obligations découlant de la législation communautaire en matière de protection des données;

d'ajouter un paragraphe au nouvel article 24 proposé disposant que des mesures sont mises en place pour faire en sorte que la personne concernée puisse exercer son droit d'accès aux données la concernant, ainsi que le prévoit l'article 13 du règlement (CE) no 45/2001;

d'ajouter à l'article 101 de la proposition de directive un paragraphe qui dispose qu'en cas de traitement de données à caractère personnel, la personne concernée est dûment informée conformément à l'article 10 de la directive 95/46/CE;

d'insérer dans les nouveaux articles 25 et 26 de la proposition de règlement et dans le nouvel article 106 de la proposition de directive, qui portent sur la mise au point d'un système de notification des effets indésirables au moyen de portails web, l'obligation de prévoir, en matière de respect de la vie privée et de sécurité, des mesures appropriées de même niveau dans l'ensemble des États membres, en tenant compte des principes fondamentaux de confidentialité, d'intégrité et de disponibilité des données ainsi que de responsabilité à l'égard de leur traitement.

Fait à Bruxelles, le 22 avril 2009.

Peter HUSTINX

Contrôleur européen de la protection des données


(1)  JO L 281, 23.11.1995, p. 31.

(2)  JO L 8, 12.1.2001, p. 1.

(3)  Doc. COM(2008) 664 final et doc. COM(2008) 665 final.

(4)  JO L 136 du 30.4.2004, p. 1.

(5)  JO L 311 du 28.11.2001, p. 67.

(6)  Voir l'exposé des motifs dans les deux propositions, à la page 3.

(7)  JO 22 du 9.2.1965, p. 369.

(8)  Voir l'exposé des motifs à la page 2.

(9)  Voir la définition des données relatives à la santé dans l'avis du CEPD du 2 décembre 2008 concernant la proposition de directive relative à l'application des droits des patients en matière de soins de santé transfrontaliers, points 15 à 17, disponible à l'adresse http://www.edps.europa.eu

(10)  Voir arrêts rendus par la CEDH le 17 juillet 2008 dans l'affaire I c. Finlande (requête no 20511/03), point 38, et le 25 novembre 2008 dans l'affaire Armoniene c. Lituanie (requête no 36919/02), point 40.

(11)  Voir l'évaluation de l'impact à la page 10.

(12)  Voir volume 9A de la réglementation des médicaments dans la Communauté européenne: Lignes directrices sur la pharmacovigilance des médicaments à usage humain, que l'on peut consulter à l'adresse: http://ec.europa.eu/enterprise/pharmaceuticals/eudralex/vol-9/pdf/vol9a_09-2008.pdf

(13)  Voir les lignes directrices à la page 57.

(14)  Voir note 13 de bas de page.

(15)  L'article 2, point a), de la directive 95/46/CE définit les «données à caractère personnel» comme étant «toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;» Le considérant 26 précise«… que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.» Pour une analyse plus approfondie, voir l'avis no 4/2007 du groupe de travail «article 29» sur la protection des données concernant le concept de données à caractère personnel (document WP 136), adopté le 20 juin 2007 et disponible à l'adresse http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm Cet avis présente aussi un intérêt pour le règlement (CE) no 45/2001.

(16)  Voir note 13 de bas de page.

(17)  Voir le projet d'orientations en matière d'accès à EudraVigilance pour les médicaments à usage humain, du 19 décembre 2008, qui peut être consulté à l'adresse http://www.emea.europa.eu/pdfs/human/phv/18743906en.pdf

(18)  Voir l'évaluation d'impact à la page 17.

(19)  Voir note 18 de bas de page.

(20)  Voir la proposition de la Commission de directive du Parlement européen et du Conseil relative aux normes de qualité et de sécurité des organes humains destinés à la transplantation, COM(2008) 818 final. Voir l'avis du CEPD du 5 mars 2009 disponible à l'adresse http://www.edps.europa.eu

(21)  Voir avis du CEPD, points 11 à 28.

(22)  Voir article 2, point a), de la directive 95/46/CE et article 2, point a), du règlement (CE) no 45/2001 et autres explications à la note de bas de page no 13.

(23)  La pseudonymisation est un processus qui peut être utilisé pour masquer l'identité de la personne concernée tout en maintenant la traçabilité des données. Il existe différentes possibilités techniques, par exemple la sauvegarde sécurisée de listes de correspondance entre identités réelles et pseudonymes, l'utilisation d'algorithmes de cryptage bidirectionnel, etc.

(24)  Voir l'exposé des motifs aux pages 2 et 3.

(25)  Voir l'avis du CEPD mentionné à la note de bas de page no 7 sur la proposition de directive relative à l'application des droits des patients en matière de soins de santé transfrontaliers, points 32 à 34.

(26)  Voir point 32 de l'avis.

(27)  Voir également la note de bas de page no 15.