Section suivante

Titre Ier

DÉFINITIONS ET CHAMP D'APPLICATION 1.1. Définitions

JORF n°0160 du 13 juillet 2018

Délibération n°2018-154 du 3 mai 2018

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) n° 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE ;

Vu le Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la santé publique ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu la loi n° 2012-300 du 5 mars 2012 modifiée relative aux recherches impliquant la personne humaine ;

Vu la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé ;

Vu l'ordonnance n° 2016-800 du 16 juin 2016 relative aux recherches impliquant la personne humaine ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2016-1537 du 16 novembre 2016 relatif aux recherches impliquant la personne humaine ;

Vu le décret n° 2016-1871 du 26 décembre 2016 relatif au traitement de données à caractère personnel dénommé « système national des données de santé » ;

Vu le décret n° 2017-884 du 9 mai 2017 modifiant certaines dispositions réglementaires relatives aux recherches impliquant la personne humaine ;

Vu l'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé ;

Vu la décision n° 2016-263 du 21 juillet 2016 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement exprès ou écrit de la personne concernée (MR-003) ;

Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Le Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « le règlement général sur la protection des données » - RGPD) et notamment l'article 5, point 2, prévoit que le responsable de traitement doit être en mesure de démontrer que les principes du règlement sont respectés. L'article 9, paragraphe 4 du RGPD précise que les Etats membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques ou des données concernant la santé.
Ainsi, en application de la loi du 6 janvier 1978 modifiée (ci-après « loi informatique et libertés »), les traitements de données à caractère personnel à des fins de recherche, étude ou évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l'informatique et des libertés.
La Commission peut homologuer et publier des méthodologies de référence, établies en concertation avec le Comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé (ci-après le CEREES) ainsi qu'avec les organismes publics et privés représentatifs des acteurs concernés.
Ces méthodologies, destinées à simplifier la procédure d'autorisation, portent sur les catégories les plus usuelles de traitements automatisés ayant pour finalité les recherches, études ou évaluations dans le domaine de la santé.
En 2016, la Commission a adopté une méthodologie de référence relative aux recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concernée.
Compte tenu de l'évolution du cadre légal et réglementaire de la recherche dans le domaine de la santé et des propositions effectuées par les organismes acteurs de la recherche, il est apparu nécessaire de l'actualiser.
Les responsables de traitement qui adressent un engagement de conformité à cette méthodologie de référence sont autorisés à mettre en œuvre les traitements dès lors que ceux-ci répondent aux conditions prévues par ces dispositions.
Décide :

1 version

Titre Ier : DÉFINITIONS ET CHAMP D'APPLICATION 1.1. Définitions

Titre II : TRAITEMENTS RELATIFS AUX DONNÉES DES PERSONNES CONCERNÉES PAR DES RECHERCHES 2.1. Finalité des traitements

Titre III : TRAITEMENTS RELATIFS AUX DONNÉES DES PROFESSIONNELS INTERVENANT DANS LA RECHERCHE 3.1. Finalité des traitements

Titre IV : MISE EN ŒUVRE ET SÉCURITÉ

Titre V : SYSTÈMES FILS INCLUANT DES DONNÉES ISSUES DU SNDS

Titre VI : TRANSFERTS DE DONNÉES HORS DE L'UNION EUROPÉENNE

Titre VII : SOUS-TRAITANTS

Titre VIII : MISE EN ŒUVRE DU PRINCIPE DE RESPONSABILITÉ

Titre IX : ENTRÉE EN VIGUEUR

La présidente,

I. Falque-Pierrotin