Quels sont les services que propose le cabinet Apexia Health ?

Isaure Périer de Féral : Apexia Health est un cabinet d'avocats spécialisé dans les PME du secteur de la santé, notamment l'industrie pharmaceutique, qui existe depuis deux ans. Nous offrons des services de conseil juridique et de conseil en conformité. Le secteur de la santé est très réglementé, nos clients ont donc besoin de conseil à chaque étape. Ils ont notamment de forts besoins sur les sujets de RGPD, où nous avons à la fois un rôle de data protection officer externe et de conseil.

Isaure Périer de Féral

Quel impact le RGPD a-t-il eu sur le secteur pharmaceutique ?

IPF : Le règlement général sur la protection des données, qui est entré en application en mai 2018, est un règlement européen qui a une application directe dans chaque pays d'Europe. La France a la particularité d'être extrêmement détaillée sur le plan législatif, elle a donc mis en place un certain nombre d'instructions et de référentiels spécifiques. Nous travaillons pour des clients étrangers ayant des opérations en France, et les aidons à respecter ces spécificités françaises sur les health data et le RGPD.

Quelles sont les exigences auxquelles vos clients font face sur ce sujet, et quelles actions mettez-vous en place ?

IPF : Nous traitons notamment beaucoup d'aspects liés aux outils de CRM, qui traitent énormément de données personnelles sensibles, et dont les enjeux ne sont pas toujours bien compris par les Biotech. Nous réalisons un Data Protection Impact Assessment (DPIA) grâce à un questionnaire et des entretiens avec les personnes en charge de la gestion du CRM, afin d'évaluer la conformité de leur système avec l'application du RGPD, mais aussi du code de la santé publique. Ensuite, nous leur proposons des solutions de remédiation pour mettre en conformité leur système, adaptées au risque et à la taille de l'entreprise. Ce sont donc des outils courants pour une société classique, mais qui sont au croisement de réglementations techniques pour la Biotech.

Ines Ben Hassine : Un autre sujet qui est propre aux sociétés pharmaceutiques est le traitement des données de pharmacovigilance. Lorsqu'une réclamation est faite au sujet d'un médicament, le patient doit donner des données personnelles sensibles, notamment ses antécédents médicaux et les effets secondaires qu'il a rencontrés. Aujourd'hui, la CNIL, la Commission Nationale de l'Informatique et des Libertés, qui est l'autorité en termes de données personnelles en France, a créé un référentiel spécifique d'exigences pour les vigilances sanitaires. Il faut donc procéder à une déclaration de conformité avant de mettre en œuvre le traitement de ces données de santé.

IPF : Nos clients nous demandent régulièrement des audits RGPD sur toutes leurs opérations françaises. Cela peut aller jusqu'à une évaluation des aspects ressources humaines, des laboratoires de recherches ou d'un système qualité. Nous allons regarder toutes les facettes des activités de l'entreprise, grâce à des entretiens, l'examen de documents et des tests sur les systèmes.

Ines Ben Hassine

Le transfert de données personnelles est également une problématique importante, quels outils existent pour les protéger dans ces situations ?

IPF : Nos clients font souvent face à des problématiques de transfert transfrontalier de données personnelles lors du lancement de produits pharmaceutiques sur plusieurs pays en Europe, notamment les petites sociétés spécialisées qui ont peu de produits mais une ampleur géographique importante.

IBH : Lorsque nous sommes dans des cas de distribution globale de médicaments, l'entreprise peut être amenée à transférer des données personnelles dans des territoires hors Union européenne. Le RGPD prévoit des mécanismes appelés adequacy decision pour déterminer si un pays a un niveau suffisant de protection des données, même si le RGPD n'y est pas appliqué. Si ce mécanisme est en place, il n'y a donc pas de danger lors du transfert de données.

Lorsqu'une entreprise vise une échelle internationale et qu'elle sait que des données personnelles seront transférées, il est donc important de prendre en compte les états qui sont en conformité ou non, et de favoriser ceux qui ont des adequacy decisions.

Nous nous appuyons également sur des clauses contractuelles types, qui sont insérées en annexe des contrats entre une entreprise pharmaceutique Biotech ou Healthtech basée en Europe et un sous-traitant basé en dehors de l'Union européenne. Nous suivons ces clauses pour assurer une protection adaptée des données personnelles transférées.

Un autre mécanisme est le data privacy framework (DPF) utilisé pour les transfert entre l'UE et  les États-Unis. Avant de procéder à la mise en place du DPF, il faut procéder à la réalisation d'un  transfer impact assessment (TIA) qui permet d'identifier et d'évaluer les risques associés au transfert de données, notamment en ce qui concerne la confidentialité, la sécurité et les droits des personnes concernées. C'est en quelque sorte un résumé qui explique les étapes du transfert des données, de leur stockage, et qui y a accès.

La consultation du présent article est notamment soumise aux CGU de Scribeo