Dans un délai maximal de trois ans à compter de la publication du présent décret, chaque service, établissement ou organisme mentionné à l'article R. 1461-17 du code de la santé publique établit un rapport d'évaluation de l'étendue de l'autorisation au regard de ses missions à l'aide, notamment, de la liste mentionnée à ce même article R. 1461-17. Ce rapport est communiqué à la Commission nationale de l'informatique et des libertés.

A l'expiration du délai prévu au premier alinéa, le président de la Commission nationale de l'informatique et des libertés qui constate l'absence de transmission du rapport d'évaluation peut saisir la formation restreinte de la commission dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 susvisée.