En mai 2020, le règlement relatif aux dispositifs médicaux entrera en application dans l’Union Européenne (Règlement (UE) 2017/745). Il vient abroger les anciennes directives existantes. Il implique de nouvelles obligations pour les entreprises et couvre plus de produits. L’objectif principal des règlements européens restant toujours la protection des consommateurs, il s’agit d’harmoniser les exigences en matière de sécurité des dispositifs.
Marlène Cailleau, directrice de la gouvernance de l’information et de la protection des données chez Iron Mountain vous détaille les 4 étapes à suivre pour être prêts !
1/ Définir une approche cohérente de la gouvernance
Il s’agit tout d’abord d’effectuer une cartographie de ses données médicales. Il faut évidemment regarder les ERP et les serveurs, mais ne pas oublier les messageries et les backups – tout comme l’archivage physique. Après avoir déterminé où sont hébergées les données, il faut ensuite identifier de manière précise et responsabilisée qui est le producteur de l’original.
2/ Créer un programme de conservation de données personnelles
Le temps de conservation des données doit être estimé, donnée par donnée. Pour certaines, elles sont encadrées par la loi. A titre d’exemple, l’arrêté du 11 août 2008 fixe la durée de conservation par le promoteur et l’investigateur des documents et données relatifs à une recherche biomédicale autre que celle portant sur des médicaments à usage humain. NOR: SJSP0820319A. Version consolidée au 06 mars 2020
Article 2 de l’arrêté
En application de l’article R. 1123-61 du code de la santé publique et sans préjudice d’autres dispositions législatives ou réglementaires en vigueur, y compris celles relatives à la conservation des dossiers médicaux des personnes qui se prêtent à cette recherche, le promoteur et l’investigateur conservent les documents et données relatifs à la recherche qui leur sont spécifiques :
– pour les recherches biomédicales portant sur des dispositifs médicaux et des dispositifs médicaux de diagnostic in vitro, pendant au moins quinze ans après la fin de la recherche biomédicale ou son arrêt anticipé ;
– pour les recherches biomédicales portant sur des dispositifs médicaux incorporant une substance qui, si elle est utilisée séparément, est susceptible d’être considérée comme un médicament dérivé du sang, pendant quarante ans après la fin de la recherche biomédicale ou son arrêt anticipé ;
Cette gestion de la preuve a une grande importance stratégique. A titre d’exemple, si l’on possède une copie d’un test de non altération de la matière pour une prothèse mammaire, mieux vaut la conserver si on ne possède pas le document original.
3/ Evaluer le niveau de sensibilisation et de la progression du processus
Le personnel qui est en contact avec ces datas doit impérativement être formé pour tagguer les informations sensibles ou importantes. Si tout est tracé, prévu et écrit mais que l’humain ne fait pas exactement ce qui est attendu de lui, le système s’écroule ! Les datas importantes seront alors impossible à retrouver. Un conseil : faire appel dans les structures à un référent formé qui se fera le relais du comportement attendu du personnel manipulant les données médicales.
4/ Fournir une méthodologie documentée pour le règlement
Les entreprises vont être amenées à faire un audit sur l’existant et s’organiser pour ce qui est à faire. Il y aura quelques années transitoires pendant lesquelles deux flux seront à gérer : les données avant la nouvelle règlementation et les données depuis la nouvelle règlementation. Quelques actions seront à effectuer à posteriori : migration des données pour pérenniser le maintien des données dans le temps, plan de restauration des données et procédures de mises à jour.