RGPD : Le laboratoires Servier se met en ordre de marche

Avec plus de 21 000 employés dans le monde, une présence dans 148 pays, 47 médicaments sur le marché mondial, le développement en cours sur 33 candidats-médicaments et un chiffre d’affaires de plus de 4 milliards d’euros en 2017, le laboratoire pharmaceutique français se prépare à l’entrée en vigueur du règlement général sur la protection des données (RGPD). Néanmoins, Natacha Udo-Beauvisage, déléguée groupe aux Données personnelles (GDPO), se montre confiante. Si elle ne communique pas sur le budget, elle affirme que le financement est attribué sans difficulté. “C’est un investissement dans la continuité”, ajoute-t-elle. En effet, la mise en conformité RGPD s’inscrit dans une démarche démarrée il y a 5 ans. “A l’initiative de la direction juridique et avec l’aide du cabinet EY, nous avons effectué une cartographie des bases de données existantes, qui s’élèvent aujourd’hui à une centaine environ, comprenant notamment les bases RH, essais cliniques, pharmacovigilance, gestion des accès aux locaux, CRM, lutte contre la contrefaçon de médicaments… Et nous avons mis en place un plan de mise en conformité”, témoigne-t-elle.

Constituer un réseau de relais dans l’entreprise

Le groupe a également désigné un Correspondant informatique et liberté (CIL) en 2014. “Il intervient pour l’ensemble des entités françaises, soit environ une trentaine”, précise Natacha Udo-Beauvisage. Avec l’arrivée du règlement européen et le départ prochain en retraite de son CIL, Servier a recruté en décembre 2017 son successeur, Hervé Fortin, qui assumera la fonction de DPO pour l’ensemble des structures en France. Ingénieur des systèmes d’information, il travaille en lien avec le tandem de la direction de la compliance composée de deux juristes : la GDPO et une chargée de la conformité des données personnelles.

En parallèle, le groupe a composé un réseau de 10 RIL (relais informatique et liberté). “Ces opérationnels sont nos référents dans les métiers en termes de données personnelles. Ils ont une connaissance technique de leurs métiers et une très bonne connaissance des systèmes d’information. Ils sont dans les services : essais cliniques, marketing, ressources humaines, pharmacovigilance, affaires médicales, WeHealth, finances, services généraux, médicaments génériques et achats. Les relais vont redescendre l’information sur le projet RGPD et nous remontent des informations sur les nouveaux projets, les questions… Cela nous permet de faire du privacy by design”, indique Natacha Udo-Beauvisage.

La coordination des différentes filiales à l’international

A l’international, le laboratoire a mené un travail d’identification des différentes réglementations applicables à ses filiales. “Nous avons regardé celles où il y avait déjà un ou plusieurs DPO, celles où il fallait en nommer un et celles où nous avons besoin a minima d’un contact données personnelles. Dans certaines régions, nous réfléchissons à nommer un DPO mutualisé entre trois à quatre filiales. Il faut tenir compte de la proximité géographique et d’une langue commune pour les autorités”, souligne la GDPO. Elle précise que la possibilité d’avoir un seul DPO pour l’ensemble de l’Europe comme le permet le RGPD n’a pas été retenue. “En cas d’inspection, il faut que le DPO se rende disponible et puisse participer aux échanges dans la langue des autorités”, ajoute Natacha Udo-Beauvisage, qui pilotera la stratégie au niveau du siège. A l’international, le groupe déploie également le projet de référencement des bases de données existantes.

S’appuyer sur des règles BCR soumises à la Cnil

La stratégie repose sur des BCR (binding corporate rules) construites par le groupe, “au départ pour le transfert de données au sein du groupe hors de l’Union européenne”, signale la GDPO. Avant de préciser : “ce socle de règles est partagé par l’ensemble des filiales sous forme d’engagement”. Ces BCR ont été soumises à la Cnil pour approbation en décembre 2017. Natacha Udo-Beauvisage ajoute : “Pour le RGPD, nous avons mis à jour ces règles. Par exemple, sur la mention d’information des personnes (collaborateurs, patients, professionnels de santé et prestataires), nous avons rédigé des mentions plus complètes”. Le laboratoire s’est fait accompagner par le cabinet EY pour la mise à jour des clauses types pour les contrats avec les prestataires. “Depuis environ 2 ans, nous avons ajouté des clauses contractuelles plus détaillées sur les données personnelles à nos contrats. Aujourd’hui, pour un prestataire, nous imposons un questionnaire sur les données personnelles, intégré aux appels d’offres, et les clauses types. Une fois ce questionnaire retourné par le prestataire, si les réponses ne sont pas satisfaisantes, l’équipe IT se rend sur place pour vérifier les systèmes de sécurité”, observe la GDPO. Elle signale un chantier à venir : la mise en place d’audits réguliers des prestataires.

Différents types de données

Pour l’application du RGPD, Natacha Udo-Beauvisage distingue quatre provenances de données : les collaborateurs de Servier, les patients, les professionnels de santé et les prestataires. “Notre priorité est la sécurité des données de santé des patients qui sont des données sensibles”, précise la GDPO. Se pose alors la question des droits à l’oubli, de restriction et de retrait mentionnés dans le texte européen, notamment pour les données d’essais cliniques et de pharmacovigilance. “Ils sont écartés par un autre impératif : la sécurité des patients. A partir du moment où un patient exerce un droit de retrait, on cesse de collecter des données. On ne peut pas retirer les données enregistrées dans une étude clinique. Si un trop grand nombre de patients retirait leur consentement, cela pourrait mettre en danger les patients continuant l’étude”, observe Natacha Udo-Beauvisage. Pierre Desmarais, avocat au Barreau de Paris spécialisé en droit numérique et de la santé indique : “Aujourd’hui, avec le RGPD, on ne sait pas si le retrait du consentement à une recherche devra obligatoirement aboutir à l’effacement des données. Ce serait une possibilité, en théorie, mais cela nuirait aux résultats des études”.

Le laboratoire est actuellement en attente de la nouvelle mouture de la norme de référence sur les essais cliniques, édictée par la Cnil, MR-001. Le texte encadre la durée de conservation des données de santé des patients, “jusqu’à la mise sur le marché du produit étudié ou jusqu’au rapport final de la recherche ou jusqu’à la publication des résultats de la recherche”. La Cnil précise par ailleurs qu’“elles font ensuite l’objet d’un archivage sur support papier ou informatique pour une durée conforme à la réglementation en vigueur”. Pierre Desmarais rappelle l’arrêté du 8 novembre 2006 qui définit la durée de 15 ans.

Pas d’évolutions techniques

Pour accompagner sa mise en conformité RGPD, le groupe n’a pas fait évoluer son système d’information. “Dans le secteur de la pharma, nous sommes extrêmement réglementés avec l’application des Bonnes pratiques, des normes ICH, etc. Nous avons déjà un niveau d’exigence très fort en matière de traitement des données de santé. Nous avons néanmoins effectué une mise à jour de notre système de pharmacovigilance et en avons profité pour procéder à une étude d’impact”, souligne la GDPO. Accompagné d’un prestataire, Servier a testé ce PIA. Depuis la Cnil a mis à disposition un logiciel open source PIA.

Se préparer à notifier les autorités ou les personnes

En parallèle, le groupe se structure pour être en mesure de gérer des notifications auprès des autorités ou des personnes. “Des procédures existent déjà au niveau IT. Nous proposons la mise en place d’un comité en interne avec le DPO France, une personne de la communication, une personne du métier concerné et moi. Nous avons déjà des documents types sur lesquels nos avocats ont travaillé. Nous devons réaliser une simulation pour voir comment s’organiser dans l’urgence”, détaille Natacha Udo-Beauvisage. Elle précise : “en cas de faille de sécurité, la notification ne doit pas se concentrer uniquement sur les personnes concernées, mais doit aussi permettre de rassurer les autres”.

Former les équipes en interne

La mise en place du RGPD passe également par une sensibilisation et une formation des collaborateurs du groupe. L’information passe notamment par un site Compliance accessible par l’ensemble des filiales de Servier. Natacha Udo-Beauvisage a organisé des présentations aux directions ainsi qu’à certaines catégories de métiers. Le laboratoire prépare également des formations en e-learning, “avec trois modules en fonction de la maturité de nos interlocuteurs”, souligne la GDPO. La sensibilisation passe aussi par le réseau de RIL.