L’adoption de ce texte est justifiée, selon ses rédacteurs, par la nécessité d’harmoniser les règles communes sur le marché européen et de prendre en compte les évolutions liées aux nouvelles technologies, notamment le développement majeur de l’intelligence artificielle. À l’instar de la directive adoptée en 1985, cette nouvelle directive aura à l’évidence un impact majeur pour l’industrie pharmaceutique, la responsabilité du fait des produits défectueux étant le principal fondement invoqué dans les contentieux relatifs aux dommages corporels causés par des produits de santé.

Or, cette directive se présente comme résolument favorable aux victimes et se donne explicitement comme objectif de faciliter leur indemnisation, les rédacteurs notant la difficulté des demandeurs « à obtenir réparation en raison des restrictions à l’introduction des demandes de réparation et de la difficulté à rassembler des preuves de la responsabilité, compte tenu notamment de la complexité technique et scientifique croissante » (2).

Si la terminologie est tantôt modifiée – les notions de producteurs et de fournisseurs étant notamment substituées par celles de fabricant et de distributeurs – et tantôt redéfinie – la notion de produit étant étendue pour inclure notamment les logiciels –, la directive n’apporte en revanche pas de changement substantiel à la notion fondamentale de défectuosité, un produit étant considéré comme défectueux « lorsqu’il n’offre pas la sécurité à laquelle une personne peut légitimement s’attendre ou qui est requise par le droit de l’Union ou le droit national » (3).

Le législateur européen précise toutefois, au sein des considérants de la directive, que « les avertissements ou autres informations fournis avec un produit ne peuvent être considérés comme suffisants pour garantir la sécurité d’un produit défectueux […]. Par conséquent, la responsabilité découlant de la présente directive ne peut être évitée par la simple énumération de tous les effets secondaires imaginables d’un produit » (4).

Cette précision, bien que compréhensible du point de vue des victimes, apparait regrettable en ce qu’elle est de nature à accroitre sensiblement la sévérité des juridictions nationales à l’égard des fabricants de médicaments, et à limiter la possibilité pour un laboratoire de s’exonérer de sa responsabilité, malgré une parfaite exécution de ses obligations règlementaires. 

Le délai actuel de prescription de trois ans, qui court à compter de la connaissance du dommage, de la défectuosité et de l’identité du responsable, ne fait l’objet d’aucune modification (5). La directive maintient également le délai dit de « forclusion », qui fait obstacle à l’introduction d’une action au-delà de dix ans après la mise en circulation du lot du produit litigieux, même si le délai de prescription n’a pas commencé à courir dans cet intervalle (6).

Ce délai de forclusion, justifié par la nécessité de ne pouvoir « rendre le producteur responsable des défauts de son produit sans une limitation de durée » (7), fait l’objet de critiques en ce qu’il est susceptible de faire obstacle à une action de la victime sur le fondement des produits défectueux, notamment en matière de médicaments lorsque les effets indésirables ne se manifestent que plusieurs années après l’administration. 

Sensible à ces critiques, la directive prévoit que ce délai pourra désormais être porté à vingt-cinq ans lorsque la victime n’aura pas été en mesure d’engager une procédure en raison de l’apparition lente de ses symptômes. Cet allongement non négligeable entrainera sans nul doute des conséquences notables en matière assurantielle. 

Les rédacteurs de la directive font état d’un désavantage des demandeurs par rapport aux fabricants dans l’accès et la compréhension des informations sur le mode de fabrication et le fonctionnement des produits, estimant que « cette asymétrie des informations peut nuire à la juste répartition des risques, en particulier dans les cas présentant une complexité technique ou scientifique » (8).

En conséquence, la directive prévoit la possibilité pour les juridictions de recourir à des présomptions pour établir la responsabilité des fabricants, en l’absence d’éléments permettant de conclure avec certitude à la défectuosité du produit ou au lien de causalité avec le dommage invoqué. 

La défectuosité du produit pourra ainsi être déduite (i) du refus de divulguer des éléments de preuve par le défendeur, ce dernier pouvant en effet être contraint à une telle divulgation ; (ii) de sa non-conformité aux exigences obligatoires en matière de sécurité ; ou encore (iii) du fait que le dommage a été causé par un « dysfonctionnement manifeste du produit »dans le cadre d’une utilisation prévisible. L’imprécision de cette dernière notion ne peut qu’être regrettée. 

Quant au lien de causalité entre le défaut et le dommage, le demandeur sera dispensé d’en rapporter la preuve certaine s’il parvient à établir « que le produit est défectueux et que le dommage causé est d’une nature généralement compatible avec le défaut en question », formulation dont le caractère vague est également susceptible de laisser un large pouvoir d’appréciation aux juridictions pour présumer le lien de causalité. 

Enfin, tant la défectuosité que le lien de causalité pourront être présumés dans deux hypothèses (9) :
-       lorsque « le demandeur fait face à des difficultés excessives, notamment en raison de la complexité technique ou scientifique », pour en apporter la preuve, les rédacteurs faisant explicitement référence à l’exemple des dispositifs médicaux innovants (10);
-       lorsque le demandeur démontre que la défectuosité ou le lien de causalité est « probable ».

Si ces différentes modifications témoignent d’une volonté de faciliter l’indemnisation des victimes, elles conduisent à faire peser sur les industriels une quasi-responsabilité de plein droit alors que, par nature, l’administration d’une spécialité comporte des risques, la survenue d’effets indésirables faisant partie de l’appréciation du rapport bénéfice / risque dans l’octroi d’une autorisation de mise sur le marché ou dans la délivrance d’un marquage CE. 

Il conviendra de rester attentif à la transposition de ces dispositions en droit interne, qui devra intervenir avant le 9 décembre 2026, et à l’occasion de laquelle l’exonération « pour risque de développement » serait susceptible d’être abrogée. 

Ce texte, très attendu en Europe et en France, permettra de donner une impulsion européenne à la politique ambitieuse du numérique en santé que l’on connaît en France depuis quelques années.

Le règlement harmonise la règlementation à l’échelle européenne, ce qui constitue un enjeu majeur en termes de santé des populations partout en Europe, d’une part, et et en termes d’innovation d’autre part.

Le règlement créé, de manière très concrète, par exemple :

• Une infrastructure permettant le partage des données de santé contenues dans les dossiers médicaux, dans le respect des droits des personnes, pour une prise en charge transfrontière des personnes lors de leurs déplacements en Europe ;
• Une infrastructure, des procédures d’accès aux données harmonisées et encadrées dans les Etats membres et des catalogues de données disponibles pour faciliter la réutilisation secondaire de données de santé préalablement anonymisées ou pseudonymisées.

Le règlement renforce et harmonise, en complément du RGPD, les droits des personnes concernées en matière de données de santé : droit d’accès direct aux dossiers médicaux, droit d’opposition au traitement des données de santé, paramétrage des accès à ces données, information renforcée et facilitation de l’exercice des droits pour les personnes, règles de localisation des données.

Il prévoit également un cadre robuste de gouvernance européen et national pour le numérique en santé. Il requiert de créer, dans chaque Etat membre, les autorités nationales compétentes pour accompagner et contrôler la bonne application du règlement. Il renforce la gouvernance européenne du numérique en santé en remplaçant le réseau eHealth, co-présidé par la France, par un comité de l’EEDS avec une comitologie associant l’ensemble des parties prenantes aux décisions (patients, professionnels de santé, chercheurs, industriels, institutionnels, etc.). La Commission européenne mettra en place les infrastructures et services centraux supportant l’EEDS.

A moyen terme, le règlement prévoit également la possibilité de se connecter pour des pays et organisations basées hors de l’UE, dans des conditions de sécurité et de protection des données garanties.
Son entrée en application s’étalera au cours des 2 à 6 prochaines années et nécessitera des adaptations de la règlementation en vigueur en France, en particulier pour ce qui concerne la réutilisation des données de santé (usage secondaire).

La Direction au numérique en santé (DNS) est chargée de coordonner l’application du règlement en France et associera comme toujours les acteurs de l’écosystème à ce nouveau chapitre du numérique en santé en Europe.

Le 25 mai, les entreprises qui traitent les données personnelles des résidents de l’UE célèbreront le premier anniversaire de l’application du Règlement Général sur la Protection des Données (RGPD). Les deux années qui ont précédé la date de mise en application de 2018 ont vu une ruée sans précédent d’entreprises examinant et modifiant leurs pratiques pour essayer d’entrer en conformité avec le RGPD et éviter une amende potentielle allant jusqu’à 4 pour cent du chiffre d’affaires mondial.

Ces douze derniers mois, cette ruée a cédé sa place à un rythme plus prudent et délibéré à mesure que les régulateurs élaborent leur processus d'examen des centaines de milliers de plaintes qui ont déjà été déposées. A ce jour, il n’y a eu que très peu d’actions répressives, entraînant des amendes relativement faibles, à mesure que les régulateurs se penchent sur le RGPD et sur les moyens les plus efficaces pour l’appliquer.
 

​

Lors d’une table ronde qui s’est tenue plus tôt ce mois-ci à Washington D.C. pour le Sommet Mondial sur la Protection de la Vie Privée de l'International Association of Privacy Professionals, un rassemblement annuel de 4,000 professionnels de la vie privée du monde entier, Helen Dixon, de la Commission Irlandaise de Protection des Données, en conversation avec Elizabeth Denham, de la Commission d’Information du Royaume-Uni, et Andrea Jelinek, Présidente du conseil européen de la protection des données, ont souligné que les enquêtes prennent six mois au minimum.

Au cours du cycle d’une requête, les régulateurs doivent d’abord déterminer si, à première vue, une plainte déposée par un résident de l’UE est pertinente et atteint le niveau d’une violation potentielle du RGPD. Beaucoup des centaines de milliers de plaintes reçues par les autorités de protection des données au cours de l’année ont simplement été des requêtes d’exclusion des publicités, ce qui ne rentre pas dans la réglementation. Dans le cas d’une plainte valide, les régulateurs ont ensuite eu besoin de mieux s’éduquer sur la technologie en question, ce qui implique naturellement de contacter les entreprises sujettes aux plaintes pour solliciter plus d’informations. 
 

Un va-et-vient entre les régulateurs et les entreprises sert aussi comme moyen de résoudre les plaintes, comme l'a souligné Helen Dixon, membre de la commission, qui préfère utiliser des "carottes" plutôt que des "bâtons". Cette approche fait écho aux commentaires qu’elle avait fait l’année dernière à propos du fait que les amendes ne sont pas les seuls outils que possèdent les régulateurs. La leçon immédiate pour les entreprises est que l’engagement avec les régulateurs peut entraîner de meilleurs résultats que l’évitement.  
 

​

Mis à part les enquêtes, le RGPD a aussi entraîné des bénéfices pour les consommateurs de l’UE à mesure que les entreprises ont redoublé d’efforts pour éduquer le public sur leurs pratiques en matière de données. La mise en place de mécanisme d’accès, de rectification, et de suppression de requêtes a donné a des millions de personnes un moyen facile de mieux contrôler l’utilisation de leurs données personnelles. Et les droits donnés aux consommateurs de l’UE ont des conséquences sur beaucoup de consommateurs ne faisant pas parties de l’UE qui bénéficient de pratiques améliorées à mesure que les entreprises adoptent une approche du plus grand dénominateur commun à la confidentialité des données.
 

En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD désormais est de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée. Toute rétraction est intrinsèquement risquée, puisque les évaluations périmées des facteurs relatifs à la vie privée et les inventaires obsolètes donnent lieu à des rapports incomplets sur les activités de traitement des données.

Et les rapports incomplets sur les activités de traitement des données sont un signe évident pour les régulateurs que le maintien d'un programme de protection de la vie privée fait défaut et mérite probablement d’être examiné de plus près. Une autre question importante est de savoir si les allégations de conformités des entreprises seront vérifiées par des tiers ou ne seront pas contestées tant que ou à moins que les régulateurs n’aient pas réagi et ne seront pas satisfaits de ce qu'ils auront vu.
 

 

Le RGPD donne également l'exemple pour l'amélioration des lois sur la protection de la vie privée aux États-Unis. La loi California Consumer Privacy Act (CCPA), qui prend encore forme, contient des similarités avec le RGPD, y compris pour fournir aux californiens le droit d’accéder aux données personnelles collectées les concernant par des entreprises soumises à la loi.

Cependant, le CCPA peut aller plus loin que le RGPD en permettant éventuellement un droit d’action privé qui pourrait donner lieu à des recours collectifs en matière de protection de la vie privée contre les entreprises qui violent la loi. La Californie n’est pas la seule dans ce cas, d’autres états transforment en lois les leçons tirées grâce au RGPD, qui pourraient se transformer en un ensemble contradictoire et pesant à suivre pour les entreprises. Une conséquence potentielle pourrait être l'adoption d'une loi fédérale sur la protection de la vie privée, qui normaliserait les exigences, mais qui a peu de chance de devenir une loi avant l'entrée en vigueur de diverses lois étatiques. En attendant, le résultat sèmera très certainement la confusion des consommateurs à propos de leurs droits, de la responsabilité des entreprises, de l’application de la loi et de l’éducation.
 

On a constaté que la Directive sur le Protection des Données de 1995, qui a précédé le RGPD, était toujours appliquée 23 ans plus tard, jusqu’à ce qu’elle ne soit remplacée par la réglementation. Le RGPD en est à ses débuts et subira sans doute des changements dans son interprétation au fur et à mesure. Cependant, une chose est sûre à propos de ce premier anniversaire de l’application, c’est que le RGPD a déjà façonné de manière drastique l’approche adoptées par des milliers d’entreprises pour la gestion des données. De plus, à mesure que l’environnement de la protection des données et les réglementation le gouvernant évoluent, de nouvelles questions et approches à la confidentialité des données vont continuer à apparaître dans le monde.


NB: les intertitres sont de la rédaction.

Le 28 mai prochain marquera le premier anniversaire de la mise en vigueur du règlement européen RGPD sur la protection des données personnelles. C’est donc l’occasion de dresser un premier bilan d’étape sur son application par les entreprises françaises et sur l’évolution de leurs pratiques dans ce domaine.
 

En premier lieu, le RGPD a eu le grand mérite de provoquer une prise de conscience inédite, tant de la part des entreprises que des consommateurs sur les enjeux de la protection des données personnelles. Un récent baromètre CNIL/IFOP indique ainsi que 66% de la population française se dit aujourd’hui plus sensible au sujet qu’avant la mise en vigueur du règlement.
 

Toutefois, assez logiquement, beaucoup reste encore à faire au bout d’un an, et les entreprises françaises ciblant les marchés grand public ont encore de grandes difficultés dans leur majorité à appliquer pleinement le nouveau règlement. Il suffit de mentionner les nombreux appels de prospection téléphonique que continue de recevoir tout un chacun sur son numéro personnel, qui n’a manifestement pas été divulgué avec le consentement de l’intéressé.
 

Certes, alors qu’avant le RGPD, très peu d’entreprises avaient mis en place une véritable gouvernance autour de la protection des données personnelles, les choses ont déjà évolué de façon significative sur ce plan. Dans le rapport IAPP-EY 2018, environ 50% des entreprises interrogées ont désormais mis en place une organisation dédiée, et la CNIL dénombre déjà 51.000 DPO (Data Protection Officers) dans les entreprises françaises.
 

Mais ces progrès restent clairement insuffisants. Dans son bilan 2018, la CNIL rapporte une augmentation de 32% du nombre de plaintes déposées, dont plus d’un tiers portent sur la diffusion de données sur Internet. En outre en 2018, la CNIL a adressé 49 mises en demeure pour non-conformité au règlement, dont 5 dans le secteur des assurances, et 4 dans celui des entreprises spécialisées dans le ciblage publicitaire. L’autorité a prononcé 11 sanctions, dont 10 pécuniaires.
 

Il est plus que probable que le nombre de mises en demeure et de sanctions prononcées augmentera en 2019, la CNIL ayant clairement l’intention d’utiliser plus fortement ses pouvoirs répressifs à partir de cette année.

Quelles sont donc les principales difficultés rencontrées par les entreprises pour se mettre en conformité ?

Celles-ci doivent relever cinq défis principaux.
 

Une demande de consentement inadéquate

Les messages implicites de consentement ne sont plus suffisants avec le règlement RGPD, et les consommateurs doivent désormais donner leur accord sans ambiguïté via une déclaration ou une action claire et concrète, telle que cocher une case sur un site ou remplir un formulaire. L’entreprise doit pouvoir démontrer que la demande de consentement a été présentée de façon claire et intelligible. De plus, le consentement est désormais requis dans un large éventail de scénarios. Par exemple, les données de navigation sont considérées comme des données personnelles, dont la capture nécessite un accord explicite du consommateur.

Des données en silos

Dans les entreprises, les données relatives aux clients sont très souvent réparties dans un ensemble de systèmes différents, ce qui rend le respect des exigences du RGPD, concernant par exemple l’accès aux données et la portabilité, beaucoup plus difficile à obtenir.

Un manque de gouvernance

Le règlement RGPD impose la mise en place par les entreprises de politiques spécifiques pour limiter tout accès superflu à des données personnelles par leurs applications. Beaucoup d’organisations n’ont pas encore fait cette démarche, et doivent adapter leurs processus application par application avec des règles centralisées de gouvernance des accès aux données.

Des applications insuffisamment sécurisées

Le nouveau règlement accroît encore les obligations des entreprises en matière de sécurité, notamment au niveau applicatif. Des informations personnelles fragmentées et non sécurisées au niveau des données deviennent vulnérables à une intrusion, ce qui réduit le degré de sécurité des applications et la capacité de l’entreprise à respecter le RGPD.

Un respect insuffisant des exigences des consommateurs

Les consommateurs sont-ils capables de gérer eux-mêmes leur profil et leurs préférences en matière d’accès aux données ? Ces préférences sont-elles respectées sur tous les canaux et tous les terminaux ? Les entreprises conservent souvent des lacunes dans ces domaines.

Ces cinq défis sont certes difficiles à relever pour les entreprises, mais ne sont pas insurmontables. Les solutions d’IAM client ou CIAM (Customer Identity and Access Management) peuvent en effet les aider dans leurs démarches.
 

Les solutions CIAM sont conçues pour améliorer la sécurité des échanges et la protection de la vie privée, et pour permettre à une organisation d’interagir plus efficacement avec ses clients. Concrètement, elle donne à une entreprise les moyens de se conformer au règlement RGPD dans 4 domaines.
 

La synchronisation et la consolidation des données client, en supprimant les différents silos de données personnelles et en les rassemblant dans une seule base de données centralisée.

La capture et la gestion des demandes de consentement, en simplifiant les processus sur la base de politiques centralisées.

La gestion déléguée du profil client en self-service. Dans le cadre des exigences du règlement, les clients doivent être capables d’accéder et de gérer trois types d’informations sur leur profil personnel : les données de profil, les préférences personnelles et le consentement. Avec une solution CIAM, l’entreprise peut respecter ces prérequis.

La gouvernance des accès aux données. Avec les solutions CIAM, les entreprises peuvent mettre en place des politiques centralisées de gouvernance des accès aux données clients, avec un contrôle attribut par attribut, de telle sorte que les applications internes et externes ne puissent accéder qu’aux attributs d’identité indispensables.