Sanofi met en place des mesures destinées à protéger les données qui lui parviennent ou dont elle confie le traitement à des tiers pour son compte. Le Code de conduite de Sanofi est un document public qui cite le respect de la confidentialité des données parmi les 16 principes fondamentaux auxquels adhère Sanofi, comme indiqué dans son chapitre intitulé « Protection de la confidentialité des données et protection des informations ». Il prévoit la mise en place de mesures adaptées visant à maximiser les opportunités et à minimiser les risques associés au traitement des données personnelles des patients et des utilisateurs finaux des solutions de santé de Sanofi, entre autres parties prenantes. Parmi ces mesures figure notamment le déploiement d’un Cadre global de protection de la confidentialité des données, de mesures de sécurité adaptées et de principes de confidentialité dès la conception pour les projets impliquant le traitement de données personnelles.
À cet effet, Sanofi a élaboré « Huit règles d’or de la confidentialité » pour la gestion des données personnelles, applicables à l'entièreté de l'organisation, et transposées en politiques tant internes qu'externes, de manière à constituer un cadre complet de protection de la confidentialité.
Cadre global de protection de la confidentialité des données
Pour la bonne application de ces principes, Sanofi a adopté un cadre de politiques décrivant comment les appliquer compte tenu de la nature des données personnelles traitées, des personnes concernées ou du type de traitement appliqué. Ce cadre englobe les éléments suivants :
-
Sanofi’s global privacy standard : description détaillée des huit Règles d’or et de la manière de les appliquer.
-
Binding Corporate Rules (BCRs) : engagements pris par toutes les sociétés de Sanofi de se conformer à ces principes, approuvées par les autorités européennes de protection des données.
-
Sanofi’s Data Subject Rights Procedure : description des principes régissant la gestion des demandes d'exercice de droits en vertu de la loi en vigueur. Elle décrit les modalités selon lesquelles les demandes sont accueillies, traitées et prises en charge par le biais du système de gestion de la confidentialité.
-
Sanofi’s Personal Data Breach Procedure : assurer une réponse adéquate et efficace aux éventuels incidents de sécurité.
Confidentialité des données des patients
Sanofi a également adopté des mesures spécifiques à la gestion des données personnelles dans un contexte d’activités médicales et cliniques :
-
une norme de qualité pour la gestion des données personnelles dans le contexte d’activités médicales et cliniques : cette norme s'applique à toutes les activités de Sanofi, de ses collaborateurs et de tiers agissant en son nom (essais cliniques, activités médicales, pharmacovigilance, etc.) ;
-
une politique de transparence et d’information à l’égard des patients et des consommateurs : une politique de transparence et d’information à l’égard des patients et des consommateurs ;
-
une section standard consacrée à la confidentialité du formulaire de consentement éclairé : tous les participants à un essai clinique reçoivent un formulaire de consentement éclairé. Une section standard de ce document informe les participants sur la manière dont leurs données seront traitées ;
-
une procédure et des directives relatives à la réutilisation de données de santé provenant d’essais cliniques : conçue pour évaluer l'éventualité d'une réutilisation de données d'essais cliniques. Sous la responsabilité du Conseil de supervision de la réutilisation des données.
Nos actions
Le programme Sanofi de protection de la confidentialité est en place depuis le début 2023 ; il s’articule autour de quatre piliers : doter l'organisation de moyens adéquats, améliorer l'efficacité opérationnelle, adapter un cadre de protection de confidentialité sur mesure et stimuler l’innovation.
Nous assurons la conformité en matière de confidentialité grâce à des mesures continues régissant les projets impliquant des données personnelles, en particulier les données relatives aux patients ou à la santé. Des programmes de formation et de sensibilisation obligatoires des salariés afin que tous aient connaissance des principes fondamentaux liés à la confidentialité et les 8 Règles d’or.
Tout projet impliquant le traitement de données personnelles doit faire l’objet d’une évaluation en matière de protection des données personnelles. Pour les essais cliniques, le Study Compliance Form évalue la conformité aux méthodologies de référence de la Commission nationale Informatique et Libertés (CNIL), complété par une analyse d'impact sur la protection des données.
Enfin, Sanofi évalue les fournisseurs tiers pour la conformité en matière de confidentialité, en particulier pour les essais cliniques, afin de s'assurer qu'ils répondent à des critères spécifiques. Les fournisseurs sélectionnés signent des accords inspirés des clauses contractuelles types de la Commission européenne pour maintenir les normes de confidentialité.