SlideShare une entreprise Scribd logo

Joe 20150822 0193_0057

Market iT
Market iT

La CNIL publie une méthodologie de référence relative aux CNIL : traitements de données personnelles mis en oeuvre dans le cadre des études non interventionnelles de performances en matière de DM DIV

Santé & Médecine
1  sur  5
Télécharger pour lire hors ligne
Commission nationale de l’informatique et des libertés Délibération no 2015-256 du 16 juillet 2015 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (MR-002) NOR : CNIL1519965X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu le code de la santé publique, notamment ses articles L. 1121-1 (1er ), L. 1211-2, L. 1241-1, L. 5221-1 et suivants, R. 5211-26 et R. 5221-1 et suivants ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 54, alinéa 5 ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : En application de l’article 54 de la loi du 6 janvier 1978 modifiée (ci-après loi Informatique et libertés), la commission peut homologuer et publier des méthodologies de référence, établies en concertation avec le comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé (ci-après, le CCTIRS) ainsi qu’avec les organismes publics et privés représentatifs. Ces méthodologies, destinées à simplifier la procédure de demande d’autorisation recherche du chapitre IX, portent sur les catégories les plus usuelles de traitements automatisés ayant pour finalité la recherche dans le domaine de la santé et qui portent sur des données ne permettant pas une identification directe des personnes concernées. Dans la mesure où les études de performances effectuées en matière de dispositifs médicaux de diagnostic in vitro sont conduites selon des méthodologies standardisées, la commission estime nécessaire de simplifier la procédure ainsi prévue en adoptant une méthodologie de référence dédiée à ces études non interventionnelles après qu’une concertation ait été engagée avec le CCTIRS, le Syndicat de l’industrie du diagnostic in vitro (le SIDIV) et l’Agence nationale de sécurité du médicament et des produits de santé (l’ANSM). Ainsi, les responsables de traitement qui adresseront un engagement de conformité à cette méthodologie de référence seront autorisés à mettre en œuvre les traitements dès lors que ceux-ci répondraient aux conditions fixées par celle-ci. Décide : Art. 1er . – Définitions et champ d’application. 1. Définitions Le responsable de traitement correspond à toute personne physique ou morale qui détermine les finalités et les moyens de l’étude et ainsi assume la responsabilité de sa mise en œuvre, en application de l’article 3 de la loi du 6 janvier 1978 modifiée dite « Informatique et libertés ». Le chargé de mise en œuvre correspond à l’organisme désigné par le responsable de traitement pour mettre en œuvre l’étude concernée. L’investigateur correspond à la personne physique qui dirige et surveille la réalisation de l’étude non interventionnelle de performances. 2. Traitements concernés Seuls peuvent faire l’objet d’un engagement de conformité par référence à la présente méthodologie de référence les traitements ayant pour finalités la réalisation d’études non interventionnelles de performances soumises aux dispositions des articles L. 1121-1 (1er ), L. 1211-2 et L. 1241-1 du code de la santé publique relatives aux dispositifs de diagnostic in vitro et produits visés au livre II, titre II, de la cinquième partie du code de la santé publique, mis en œuvre par les entreprises ou organismes. 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80
Ces traitements de données à caractère personnel sont ceux mis en œuvre dans le cadre des études non interventionnelles de performances portant sur les dispositifs médicaux de diagnostic in vitro (ci-après, DM DIV) réalisées dans des conditions conformes aux articles L. 5221-1 et suivants du code de la santé publique. Sont exclus du champ d’application de la présente méthodologie de référence, les traitements de données à caractère personnel ne répondant pas à la finalité précitée, notamment, les traitements réalisés dans le cadre des études suivantes : – les recherches mentionnées aux articles R. 1121-1 et R. 1121-3 du code de la santé publique qui entrent dans le champ d’application des dispositions des articles L. 1121-1 et suivants dudit code relatifs aux recherches biomédicales ; – les études qui mettent en œuvre un traitement de données à caractère personnel faisant apparaître l’identité complète des personnes se prêtant à l’étude ; – les études épidémiologiques, les études médico-économiques et notamment celles relevant des dispositions du chapitre X de la loi Informatique et libertés ; – les études dont l’objet principal est l’étude des comportements ; – les études en génétique qui ont pour objet d’identifier les personnes par leurs caractéristiques génétiques ou les investigations génétiques portant sur des données sensibles pour lesquelles une rupture de confidentialité pourrait porter atteinte au statut ou à l’état psychologique, familial, social, économique de la personne qui s’est prêtée à la recherche. Art. 2. – Finalités des traitements. Les traitements de données à caractère personnel ont pour seule finalité la réalisation des études non interventionnelles de performances énumérées dans le champ d’application ci-dessus. Ces traitements incluent la gestion des données relatives aux personnes se prêtant à des études non interventionnelles de performances, en vue de permettre le recueil, la saisie des cahiers d’observation, le contrôle de validité et de cohérence et l’analyse statistique des données recueillies au cours de l’étude. Art. 3. – Nature des données traitées. S’agissant des données relatives aux personnes faisant l’objet de l’étude : Les seules catégories de données à caractère personnel relatives aux personnes participant à une étude non interventionnelle de performances des DM DIV pouvant faire l’objet du traitement sont les suivantes : – identification : code alphanumérique à l’exclusion des nom(s), prénom(s) et du numéro d’inscription au répertoire national d’identification des personnes physiques. Le code alphanumérique peut correspondre aux deux premières lettres du nom et à la première du prénom. Il est toutefois recommandé de se limiter aux seules initiales, c’est-à-dire à la première lettre du nom et à la première lettre du prénom dès lors qu’un numéro est également attribué à l’inclusion de la personne ; – santé : thérapie suivie, résultats d’examens, événements indésirables, antécédents personnels ou familiaux, maladies ou événements associés ; – informations signalétiques : âge ou date de naissance (mois/année), sexe, poids, taille ; – date d’inclusion dans l’étude ; – origine ethnique, dès lors que sa collecte est scientifiquement justifiée dans le protocole de l’étude ; – variations génétiques incluant les polymorphismes génétiques et/ou variations de l’expression des gènes, en relation à la réponse à un médicament ou à un produit ou avec la thérapeutique ; – consommation de tabac, alcool, drogues ; – habitudes de vie et comportements : exercice physique (intensité, fréquence, durée), régime et comportement alimentaire ; – vie sexuelle. En application de l’article 6 (3o ) de la loi Informatique et libertés, les données traitées doivent être pertinentes, adéquates et non excessives au regard des finalités du traitement. Dès lors, chacune des catégories de données précitées ne peut être collectée que si elle est justifiée scientifiquement et strictement nécessaire à la réalisation de l’étude menée en application de la présente méthodologie. Seul l’investigateur conserve le lien entre l’identité codée des personnes faisant l’objet de l’étude et leur nom(s) et prénom(s). Les données relatives aux personnes participant à l’étude proviennent des intéressés eux-mêmes et des investigateurs. S’agissant des données relatives aux investigateurs et autres professionnels intervenant pour la mise en œuvre de l’étude : Les seules catégories de données à caractère personnel pouvant faire l’objet d’un traitement sont les suivantes : – identité : nom(s) prénom(s), sexe, adresse, adresse électronique, téléphone ; – formation - diplôme(s) ; – montant des indemnités et rémunérations perçues ; – participation à d’autres études ; – vie professionnelle : cursus professionnel. 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80
Les données relatives aux investigateurs et aux autres professionnels intervenant dans la mise en œuvre de l’étude non interventionnelle de performances des DM DIV proviennent des intéressés eux-mêmes, des autres intervenants ou de listes publiques. Art. 4. – Sur les destinataires. Ont accès aux données traitées, dans les limites de leurs habilitations au regard de leur fonction et dans des conditions conformes à la réglementation, les catégories de personnes suivantes : – les personnes, désignées par le responsable de traitement chargées de contrôler et d’évaluer la qualité et l’authenticité des données contenues dans les études réalisées, et notamment par la comparaison des données enregistrées avec le contenu des documents sources ; S’agissant des contrôles menés pour s’assurer de la qualité de l’étude et notamment de l’accès des attachés de recherche clinique (ARC) et techniciens d’étude clinique (TEC) aux dossiers médicaux des patients, ils doivent répondre aux règles suivantes en matière de confidentialité : – ils doivent être réalisés sous la direction et la surveillance d’un médecin ; – les personnes doivent être mandatées par le promoteur et être soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal ; – les personnes concernées doivent en être informées et donner leur accord ; – la personne chargée du contrôle qualité ne peut avoir accès qu’aux données individuelles nécessaires à ce contrôle, préalablement identifiées par l’investigateur ; – les données collectées servent à vérifier l’authenticité et la cohérence des informations recueillies dans le cahier d’observation et si nécessaire à les corriger, compléter, pour autant que les règles de confidentialité soient respectées ; – les personnes chargées des analyses statistiques ; – les membres des services en charge des affaires réglementaires et de l’enregistrement auprès des autorités compétentes des DM DIV ; – les inspecteurs d’autorités sanitaires et d’autorités publiques de contrôle légalement habilités, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication. Art. 5. – Les droits des personnes. Sur l’information des personnes faisant l’objet de l’étude Outre une information générale sur l’éventualité que leurs données puissent être utilisées à des fins de recherche, en application de l’article 37 du décret no 2005-1309 du 20 octobre 2005 modifié, les participants à l’étude sont, en application de l’article 57 de la loi Informatique et libertés, préalablement et individuellement informés du traitement de leurs données à caractère personnel, notamment de : – la nature des données transmises ; – la finalité du traitement des données ; – les personnes physiques ou morales destinataires des données ; – l’existence de droits d’accès de rectification, d’opposition et de retrait discrétionnaire ainsi que des modalités d’exercice de ces droits. Cette information individuelle doit s’opérer dans des conditions conformes à l’article 36 du décret précité. Dès lors que l’étude relèverait des dispositions prévues aux L. 1211-2, alinéa 2, et L. 1241-1 du code de la santé publique, ainsi que par l’article 56 de la loi Informatique et libertés, le consentement des personnes est requis. Les modalités d’expression du consentement précité doivent s’opérer dans des conditions conformes à celles requises par ces dispositions. Dans l’hypothèse où la règlementation n’impose pas le recueil du consentement des personnes concernées, celles-ci doivent être informées de leur droit de pouvoir s’opposer préalablement ou pendant leur participation à l’étude. Le droit d’accès peut être exercé à tout moment, soit directement auprès de l’investigateur, soit auprès de l’investigateur par l’intermédiaire d’un médecin désigné à cet effet par l’intéressé. Le droit de rectification prévu par l’article 40 de la loi Informatique et libertés vise la correction de données inexactes, incomplètes ou équivoques au moment de leur collecte. La rectification de ces données pourra être effectuée à tout moment pendant la durée de l’étude auprès de l’investigateur qui doit y donner suite dans un délai maximum de deux mois. Sur l’information des investigateurs et des professionnels intervenant dans la mise en œuvre de l’étude L’information est délivrée par une mention figurant sur des documents remis aux personnes concernées ou sur les conventions signées par les intervenants. Cette information reprend les mentions prévues à l’article 32-I de la loi Informatique et libertés, notamment les modalités d’exercice des droits d’accès et de rectification. Le droit d’accès s’exerce à tout moment auprès du responsable de traitement. Art. 6. – Sur les durées de conservation. Les données à caractère personnel des participants à l’étude non interventionnelle de performances ne peuvent être conservées dans les systèmes d’information de l’organisme que jusqu’au rapport final de l’étude ou jusqu’à l’enregistrement du DM DIV auprès des autorités compétentes. 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80
Elles font ensuite l’objet d’un archivage sur support papier ou informatique. Les personnes énumérées à l’article 4 peuvent en tant que de besoin accéder à ces données afin d’effectuer des analyses complémentaires ou dans le cadre de nouvelles demandes d’enregistrement auprès des autorités compétentes des dispositifs visés dès lors que les traitements ainsi mis en œuvre le seraient pour une finalité compatible avec la finalité initiale conformément à l’article 6 de la loi Informatique et libertés. Les données à caractère personnel des investigateurs et professionnels intervenant dans la mise en œuvre de l’étude non interventionnelle de performances ne peuvent être conservées au-delà d’un délai de cinq ans après la fin de la dernière étude à laquelle a participé la personne en application de l’article R. 5211-26 du code de la santé publique. Elles font ensuite l’objet d’un archivage sur support papier ou informatique. Les personnes énumérées à l’article 4 peuvent en tant que de besoin accéder à ces données afin d’effectuer des analyses complémentaires ou dans le cadre de nouvelles demandes d’enregistrement auprès des autorités compétentes des dispositifs ou pour solliciter la personne pour participer à de nouveaux travaux d’étude. Art. 7. – Sur les transferts des données. Seules des données anonymes ou codées des participants à l’étude non interventionnelle de performances des DM DIV peuvent être transmises hors de l’Union européenne. Les données à caractère personnel des investigateurs et professionnels intervenant dans la mise en œuvre de l’étude non interventionnelle de performances peuvent être transférées hors de l’Union européenne, lorsque ce transfert est strictement nécessaire à la mise en œuvre de l’étude non interventionnelle de performances ou à l’enregistrement du DM DIV dans un pays qui le requiert, dans les conditions d’encadrement rappelées ci-après. Tout transfert des données vers un pays non membre de l’Union européenne doit s’opérer conformément aux dispositions spécifiques de la loi précitée relatives aux transferts internationaux de données, notamment en son article 69. Il est satisfait à ces dispositions lorsque l’une des conditions suivantes est réunie : – le transfert s’effectue à destination d’un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d’une entreprise américaine ayant adhéré aux principes du Safe Harbor pour la finalité du traitement concerné ; – le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l’adoption de règles internes d’entreprise (dénommée « BCR »), dont la CNIL a préalablement reconnu qu’elles garantissent un niveau de protection suffisant ; – il correspond à l’une des exceptions prévues à l’article 69 de la loi Informatique et libertés, dont le champ d’application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l’objet d’un encadrement juridique spécifique (« BCR », clauses contractuelles types ou Safe Harbor). Le responsable de traitement doit avoir préalablement informé les personnes concernées de l’existence de transfert de données vers des pays tiers, dans les conditions prévues par les dispositions de l’article 91 du décret du 20 octobre 2005 modifié. S’il est satisfait à ces conditions et si le traitement, dont le transfert est issu, est par ailleurs conforme à l’ensemble des autres dispositions de la présente méthodologie de référence, l’engagement de conformité à celle-ci porte également autorisation du transfert envisagé en application de l’article 69 de la loi Informatique et libertés. Art. 8. – Mise en œuvre et sécurité des traitements. La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue chez le responsable de traitement et/ou chez des tiers agissant pour son compte dans les conditions suivantes : Saisie des données : Les données peuvent faire l’objet d’une informatisation ou, le cas échéant, faire l’objet d’une saisie sur supports « papier » renseignés par les investigateurs. Les résultats des mesures et les données rassemblées tout au long d’une étude sont consignés par les investigateurs ou sous leur responsabilité. Lors de la saisie, les données sont identifiées par un code alphanumérique, tel que défini à l’article 3 et enregistré dans un cahier d’observation papier ou électronique. L’ensemble des données est saisi, soit au fur et à mesure de l’avancement de l’étude, soit globalement lorsque l’étude est terminée. Contrôle de validité et de cohérence : Si la finalité de l’étude le nécessite, les données peuvent faire l’objet d’un contrôle de cohérence ou d’un contrôle qualité réalisé selon des modalités conformes à l’article 4 de la présente méthodologie. Analyse statistique : L’ensemble des données saisies fait l’objet de traitements statistiques et donne lieu à l’édition de résultats. Le responsable de traitement prend toutes les précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité. Pour ce faire, il définit, met en œuvre et contrôle l’application d’une politique de sécurité et de confidentialité. 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80
Celle-ci est déterminée au regard des risques identifiés à la suite d’une étude des risques présentés par le traitement, qui doit couvrir en particulier les risques sur les libertés et la vie privée des personnes concernées. Elle doit notamment décrire : – les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ; – les modalités d’accès aux données, en particulier la gestion des habilitations, les mesures d’identification et d’authentification, les procédures ; – de traçabilité des accès aux informations médicales, ainsi que l’historique des connexions ; – les mesures de sécurité devant être mises en œuvre pour les transmissions de données. Afin de cadrer cette démarche et justifier de sa mise en œuvre, le responsable de traitement est invité à procéder comme suit : – réalisation d’un schéma fonctionnel avec les flux de données personnelles et leurs supports ; – identification des mesures de sécurité mises en œuvre ; – identification des violations potentielles des données, en précisant la gravité des impacts sur les personnes concernées et la vraisemblance des menaces rendant possibles ces violations. Sans préjuger des résultats de la démarche, les particularités du traitement appellent l’attention sur la nécessité de certaines mesures de sécurité : – les données d’une étude ne doivent pas être saisies, même temporairement, en dehors d’outils faisant partie du traitement ; – dans le cas de la saisie directe des données par les investigateurs ou chez un prestataire, l’outil de saisie distante doit être sécurisé en particulier par l’authentification des utilisateurs et le chiffrement des flux de données ; – dans le cas de l’utilisation de cahiers d’observation papier, ceux-ci doivent être exclusivement remis en main propre aux personnes habilitées pour la saisie des données ; – dans le cas de cahiers d’observation numériques installés sur des dispositifs nomades (tablettes…), les données du traitement doivent être chiffrées dans l’appareil et être protégées par une authentification spécifique de l’utilisateur ; elles doivent pouvoir être transférées uniquement vers le traitement, à travers une liaison sécurisée par authentification et chiffrement des flux ; – dans l’hypothèse d’une alimentation directe du traitement par des automates d’analyse, ces derniers doivent disposer d’une connexion sécurisée avec le traitement (authentification et chiffrement) et faire l’objet de mesures de surveillance particulières ; – tous les échanges électroniques de messages ayant trait aux données de l’étude (demandes de précisions, etc.) doivent se faire sur une messagerie sécurisée ou une plate-forme dédiée appliquant des droits d’accès spécifiques (le courriel simple étant proscrit) ; – les outils d’exploitation des données recueillies doivent tenir compte du risque de ré-identification des personnes en limitant les possibilités de recherches ciblées et les listes de résultats détaillées. De plus, la relation contractuelle avec les éventuels prestataires de saisie doit intégrer la conformité à l’exigence de sécurité prévue par l’article 34 de la loi Informatique et libertés. Pour tout projet commencé avec un nouveau prestataire, un audit est effectué qui couvre notamment la vérification des plans qualité et sécurité de l’entreprise, la validation des systèmes informatiques avec l’existence d’un système de sauvegarde et de récupération des données, et de mesures destinées à garantir leur confidentialité et leur intégrité. Le traitement automatisé une fois achevé, les données sont récupérées au format défini par le service en charge du traitement des données de l’étude et sont stockées temporairement – le temps de préparer notamment l’archivage – sur un répertoire dont l’accès est techniquement restreint aux personnes dûment habilitées et authentifiées, présentes dans les locaux du responsable de l’étude. Art. 9. – Sur les formalités. Les traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances des dispositifs médicaux de diagnostic in vitro conformes aux présentes dispositions font l’objet d’un engagement de conformité adressé à la Commission nationale de l’informatique et des libertés. Art. 10. – Publication. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80

Recommandé

Cnil guide professionnels-de_sante
Cnil guide professionnels-de_santeCnil guide professionnels-de_sante
Cnil guide professionnels-de_santebenj_2
 
[Webinar] Données de santé, recherche & Covid-19 @Cnil
[Webinar] Données de santé, recherche & Covid-19 @Cnil[Webinar] Données de santé, recherche & Covid-19 @Cnil
[Webinar] Données de santé, recherche & Covid-19 @CnilFrenchTechCentral
 
Arrete rapport comité de protection des personnes
Arrete rapport comité de protection des personnesArrete rapport comité de protection des personnes
Arrete rapport comité de protection des personnesSociété Tripalio
 
Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...yann le gigan
 
2011-12-01 ASIP Santé Journée Télémedecine "Information et consentement du pa...
2011-12-01 ASIP Santé Journée Télémedecine "Information et consentement du pa...2011-12-01 ASIP Santé Journée Télémedecine "Information et consentement du pa...
2011-12-01 ASIP Santé Journée Télémedecine "Information et consentement du pa...ASIP Santé
 
Biolawgeek code de la santé publique-partie réglementaire
Biolawgeek code de la santé publique-partie réglementaireBiolawgeek code de la santé publique-partie réglementaire
Biolawgeek code de la santé publique-partie réglementairebiolawgeek
 
Ressources fle g. o. 30-31.05.2013
Ressources fle g. o. 30-31.05.2013Ressources fle g. o. 30-31.05.2013
Ressources fle g. o. 30-31.05.2013CPR Oviedo
 
Acte enseigner
Acte enseignerActe enseigner
Acte enseignercadiere emilie
 

Recommandé

Cnil guide professionnels-de_sante
Cnil guide professionnels-de_santeCnil guide professionnels-de_sante
Cnil guide professionnels-de_santebenj_2
 
[Webinar] Données de santé, recherche & Covid-19 @Cnil
[Webinar] Données de santé, recherche & Covid-19 @Cnil[Webinar] Données de santé, recherche & Covid-19 @Cnil
[Webinar] Données de santé, recherche & Covid-19 @CnilFrenchTechCentral
 
Arrete rapport comité de protection des personnes
Arrete rapport comité de protection des personnesArrete rapport comité de protection des personnes
Arrete rapport comité de protection des personnesSociété Tripalio
 
Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...yann le gigan
 
2011-12-01 ASIP Santé Journée Télémedecine "Information et consentement du pa...
2011-12-01 ASIP Santé Journée Télémedecine "Information et consentement du pa...2011-12-01 ASIP Santé Journée Télémedecine "Information et consentement du pa...
2011-12-01 ASIP Santé Journée Télémedecine "Information et consentement du pa...ASIP Santé
 
Biolawgeek code de la santé publique-partie réglementaire
Biolawgeek code de la santé publique-partie réglementaireBiolawgeek code de la santé publique-partie réglementaire
Biolawgeek code de la santé publique-partie réglementairebiolawgeek
 
Ressources fle g. o. 30-31.05.2013
Ressources fle g. o. 30-31.05.2013Ressources fle g. o. 30-31.05.2013
Ressources fle g. o. 30-31.05.2013CPR Oviedo
 
Acte enseigner
Acte enseignerActe enseigner
Acte enseignercadiere emilie
 
Donosticup 2011
Donosticup 2011Donosticup 2011
Donosticup 2011Antoine Gouriou
 
Clasificación de logotipos
Clasificación de logotiposClasificación de logotipos
Clasificación de logotiposavutarda00
 
20130930 cadre-financement-participatif
20130930 cadre-financement-participatif20130930 cadre-financement-participatif
20130930 cadre-financement-participatifThierry Labro
 
Tdh - Enfants en situation de rue
Tdh - Enfants en situation de rueTdh - Enfants en situation de rue
Tdh - Enfants en situation de rueTierra de hombres - Ayuda a la infancia
 
Présentation these_8fevrier2013
Présentation these_8fevrier2013Présentation these_8fevrier2013
Présentation these_8fevrier2013Mohamed Drissi
 
Les activités économiques de l'europe
Les activités économiques de l'europeLes activités économiques de l'europe
Les activités économiques de l'europejlealleon
 
Pp sur l'afrique noire
Pp sur l'afrique noirePp sur l'afrique noire
Pp sur l'afrique noireNourasg
 
Syllabus informatica 2015
Syllabus informatica 2015 Syllabus informatica 2015
Syllabus informatica 2015 diana pinilla
 
Theatre et education
Theatre et educationTheatre et education
Theatre et educationServei de Llengües Estrangeres
 
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...Adalberto
 
Copia de prevención del abuso sexual y modificaciones a la
Copia de prevención del abuso sexual y modificaciones a laCopia de prevención del abuso sexual y modificaciones a la
Copia de prevención del abuso sexual y modificaciones a laAdalberto
 
Les médias sociaux :faites-les travailler pour vous !
Les médias sociaux :faites-les travailler pour vous !Les médias sociaux :faites-les travailler pour vous !
Les médias sociaux :faites-les travailler pour vous !Rose Marie DeSousa Accélérateur de Vente
 
MaestríA 1 La Escuela Nueva O Activa
MaestríA 1 La Escuela Nueva O ActivaMaestríA 1 La Escuela Nueva O Activa
MaestríA 1 La Escuela Nueva O ActivaAdalberto
 
Sistema de evaluacion 08
Sistema de evaluacion 08Sistema de evaluacion 08
Sistema de evaluacion 08Adalberto
 
Tcnicas e-instrumentos-de-evaluacin-
Tcnicas e-instrumentos-de-evaluacin-Tcnicas e-instrumentos-de-evaluacin-
Tcnicas e-instrumentos-de-evaluacin-Adalberto
 
Has dejado mi barca
Has dejado mi barcaHas dejado mi barca
Has dejado mi barcaAdalberto
 
Présentation 4º
Présentation 4ºPrésentation 4º
Présentation 4ºjmballesteros
 
Destination quebec desjardins conference_impots 2015
Destination quebec desjardins conference_impots 2015Destination quebec desjardins conference_impots 2015
Destination quebec desjardins conference_impots 2015Akova
 
Christma
ChristmaChristma
ChristmaLucie Premont
 
Sistema de evaluacion 01
Sistema de evaluacion 01Sistema de evaluacion 01
Sistema de evaluacion 01Adalberto
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...ASIP Santé
 
Guide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsGuide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsSociété Tripalio
 

Contenu connexe

En vedette

Clasificación de logotipos
Clasificación de logotiposClasificación de logotipos
Clasificación de logotiposavutarda00
 
20130930 cadre-financement-participatif
20130930 cadre-financement-participatif20130930 cadre-financement-participatif
20130930 cadre-financement-participatifThierry Labro
 
Présentation these_8fevrier2013
Présentation these_8fevrier2013Présentation these_8fevrier2013
Présentation these_8fevrier2013Mohamed Drissi
 
Les activités économiques de l'europe
Les activités économiques de l'europeLes activités économiques de l'europe
Les activités économiques de l'europejlealleon
 
Pp sur l'afrique noire
Pp sur l'afrique noirePp sur l'afrique noire
Pp sur l'afrique noireNourasg
 
Syllabus informatica 2015
Syllabus informatica 2015 Syllabus informatica 2015
Syllabus informatica 2015 diana pinilla
 
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...Adalberto
 
Copia de prevención del abuso sexual y modificaciones a la
Copia de prevención del abuso sexual y modificaciones a laCopia de prevención del abuso sexual y modificaciones a la
Copia de prevención del abuso sexual y modificaciones a laAdalberto
 
MaestríA 1 La Escuela Nueva O Activa
MaestríA 1 La Escuela Nueva O ActivaMaestríA 1 La Escuela Nueva O Activa
MaestríA 1 La Escuela Nueva O ActivaAdalberto
 
Sistema de evaluacion 08
Sistema de evaluacion 08Sistema de evaluacion 08
Sistema de evaluacion 08Adalberto
 
Tcnicas e-instrumentos-de-evaluacin-
Tcnicas e-instrumentos-de-evaluacin-Tcnicas e-instrumentos-de-evaluacin-
Tcnicas e-instrumentos-de-evaluacin-Adalberto
 
Has dejado mi barca
Has dejado mi barcaHas dejado mi barca
Has dejado mi barcaAdalberto
 
Destination quebec desjardins conference_impots 2015
Destination quebec desjardins conference_impots 2015Destination quebec desjardins conference_impots 2015
Destination quebec desjardins conference_impots 2015Akova
 
Sistema de evaluacion 01
Sistema de evaluacion 01Sistema de evaluacion 01
Sistema de evaluacion 01Adalberto
 

En vedette (20)

Donosticup 2011
Donosticup 2011Donosticup 2011
Donosticup 2011
 
Clasificación de logotipos
Clasificación de logotiposClasificación de logotipos
Clasificación de logotipos
 
20130930 cadre-financement-participatif
20130930 cadre-financement-participatif20130930 cadre-financement-participatif
20130930 cadre-financement-participatif
 
Tdh - Enfants en situation de rue
Tdh - Enfants en situation de rueTdh - Enfants en situation de rue
Tdh - Enfants en situation de rue
 
Présentation these_8fevrier2013
Présentation these_8fevrier2013Présentation these_8fevrier2013
Présentation these_8fevrier2013
 
Les activités économiques de l'europe
Les activités économiques de l'europeLes activités économiques de l'europe
Les activités économiques de l'europe
 
Pp sur l'afrique noire
Pp sur l'afrique noirePp sur l'afrique noire
Pp sur l'afrique noire
 
Syllabus informatica 2015
Syllabus informatica 2015 Syllabus informatica 2015
Syllabus informatica 2015
 
Theatre et education
Theatre et educationTheatre et education
Theatre et education
 
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...
1° trabajo de evaluación. estrategias de evaluación de los aprendizajes centr...
 
Copia de prevención del abuso sexual y modificaciones a la
Copia de prevención del abuso sexual y modificaciones a laCopia de prevención del abuso sexual y modificaciones a la
Copia de prevención del abuso sexual y modificaciones a la
 
Les médias sociaux :faites-les travailler pour vous !
Les médias sociaux :faites-les travailler pour vous !Les médias sociaux :faites-les travailler pour vous !
Les médias sociaux :faites-les travailler pour vous !
 
MaestríA 1 La Escuela Nueva O Activa
MaestríA 1 La Escuela Nueva O ActivaMaestríA 1 La Escuela Nueva O Activa
MaestríA 1 La Escuela Nueva O Activa
 
Sistema de evaluacion 08
Sistema de evaluacion 08Sistema de evaluacion 08
Sistema de evaluacion 08
 
Tcnicas e-instrumentos-de-evaluacin-
Tcnicas e-instrumentos-de-evaluacin-Tcnicas e-instrumentos-de-evaluacin-
Tcnicas e-instrumentos-de-evaluacin-
 
Has dejado mi barca
Has dejado mi barcaHas dejado mi barca
Has dejado mi barca
 
Présentation 4º
Présentation 4ºPrésentation 4º
Présentation 4º
 
Destination quebec desjardins conference_impots 2015
Destination quebec desjardins conference_impots 2015Destination quebec desjardins conference_impots 2015
Destination quebec desjardins conference_impots 2015
 
Christma
ChristmaChristma
Christma
 
Sistema de evaluacion 01
Sistema de evaluacion 01Sistema de evaluacion 01
Sistema de evaluacion 01
 

Similaire à Joe 20150822 0193_0057

HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...ASIP Santé
 
Guide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsGuide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsSociété Tripalio
 
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...Market iT
 
TLM n° 103 Les enjeux de l'open data en santé
TLM n° 103 Les enjeux de l'open data en santéTLM n° 103 Les enjeux de l'open data en santé
TLM n° 103 Les enjeux de l'open data en santéTLM
 
2015-05-20 Atelier N°8 SSA 2015 "Eclairages sur la loi de modernisation de no...
2015-05-20 Atelier N°8 SSA 2015 "Eclairages sur la loi de modernisation de no...2015-05-20 Atelier N°8 SSA 2015 "Eclairages sur la loi de modernisation de no...
2015-05-20 Atelier N°8 SSA 2015 "Eclairages sur la loi de modernisation de no...ASIP Santé
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Accès aux données de santé : rapport du CSF rendu le 29/03/2017Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Accès aux données de santé : rapport du CSF rendu le 29/03/2017Société Tripalio
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"ASIP Santé
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolutionASIP Santé
 
Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...ASIP Santé
 
Qu’est ce qu’une donnée de santé
Qu’est ce qu’une donnée de santéQu’est ce qu’une donnée de santé
Qu’est ce qu’une donnée de santéMarket iT
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...ASIP Santé
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfREFAIBOX
 
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rppsRépertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rppsSociété Tripalio
 
Restriction Protection Vie Privee
Restriction Protection Vie PriveeRestriction Protection Vie Privee
Restriction Protection Vie PriveeKatheline Coleman
 
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811Day Pierre DESAULT
 
Le traitement des données sensibles
Le traitement des données sensiblesLe traitement des données sensibles
Le traitement des données sensiblesMarket iT
 
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...Innov'Asso
 

Similaire à Joe 20150822 0193_0057 (20)

HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
 
Guide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsGuide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD Médecins
 
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
 
TLM n° 103 Les enjeux de l'open data en santé
TLM n° 103 Les enjeux de l'open data en santéTLM n° 103 Les enjeux de l'open data en santé
TLM n° 103 Les enjeux de l'open data en santé
 
2015-05-20 Atelier N°8 SSA 2015 "Eclairages sur la loi de modernisation de no...
2015-05-20 Atelier N°8 SSA 2015 "Eclairages sur la loi de modernisation de no...2015-05-20 Atelier N°8 SSA 2015 "Eclairages sur la loi de modernisation de no...
2015-05-20 Atelier N°8 SSA 2015 "Eclairages sur la loi de modernisation de no...
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Accès aux données de santé : rapport du CSF rendu le 29/03/2017Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Accès aux données de santé : rapport du CSF rendu le 29/03/2017
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
 
Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...
 
Qu’est ce qu’une donnée de santé
Qu’est ce qu’une donnée de santéQu’est ce qu’une donnée de santé
Qu’est ce qu’une donnée de santé
 
Organisation de la Recherche Clinique. France
Organisation de la Recherche Clinique. FranceOrganisation de la Recherche Clinique. France
Organisation de la Recherche Clinique. France
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdf
 
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rppsRépertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
 
Restriction Protection Vie Privee
Restriction Protection Vie PriveeRestriction Protection Vie Privee
Restriction Protection Vie Privee
 
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
 
Le traitement des données sensibles
Le traitement des données sensiblesLe traitement des données sensibles
Le traitement des données sensibles
 
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...
 

Plus de Market iT

LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...Market iT
 
Rapport du Sénat sur les MÉDICAMENTS INNOVANTS : CONSOLIDER LE MODÈLE FRANÇAI...
Rapport du Sénat sur les MÉDICAMENTS INNOVANTS : CONSOLIDER LE MODÈLE FRANÇAI...Rapport du Sénat sur les MÉDICAMENTS INNOVANTS : CONSOLIDER LE MODÈLE FRANÇAI...
Rapport du Sénat sur les MÉDICAMENTS INNOVANTS : CONSOLIDER LE MODÈLE FRANÇAI...Market iT
 
Loi sapin II
Loi sapin IILoi sapin II
Loi sapin IIMarket iT
 
Guide lanceur d'alerte
Guide lanceur d'alerteGuide lanceur d'alerte
Guide lanceur d'alerteMarket iT
 
TRansparency International : 2018 guide for whistleblowing legislation
TRansparency International : 2018 guide for whistleblowing legislationTRansparency International : 2018 guide for whistleblowing legislation
TRansparency International : 2018 guide for whistleblowing legislationMarket iT
 
SAPIN 2 : Decret lanceur d'alerte 19-04-2017
SAPIN 2 : Decret lanceur d'alerte 19-04-2017SAPIN 2 : Decret lanceur d'alerte 19-04-2017
SAPIN 2 : Decret lanceur d'alerte 19-04-2017Market iT
 
Transparency International : Guide lanceur d'alerte
Transparency International : Guide lanceur d'alerteTransparency International : Guide lanceur d'alerte
Transparency International : Guide lanceur d'alerteMarket iT
 
Espace annonceurs PharmaCompliance.info tarifs_on_line
Espace annonceurs PharmaCompliance.info tarifs_on_lineEspace annonceurs PharmaCompliance.info tarifs_on_line
Espace annonceurs PharmaCompliance.info tarifs_on_lineMarket iT
 
Guidelines on consent under GDPR
Guidelines on consent under GDPRGuidelines on consent under GDPR
Guidelines on consent under GDPRMarket iT
 
MedTech europe code of ethical business practice
MedTech europe code of ethical business practiceMedTech europe code of ethical business practice
MedTech europe code of ethical business practiceMarket iT
 
Un logiciel peut il constituer un dispositif médical
Un logiciel peut il constituer un dispositif médicalUn logiciel peut il constituer un dispositif médical
Un logiciel peut il constituer un dispositif médicalMarket iT
 
Le canard enchainé 2017.11.08 - des labos soignant l'éthique
Le canard enchainé 2017.11.08 - des labos soignant l'éthiqueLe canard enchainé 2017.11.08 - des labos soignant l'éthique
Le canard enchainé 2017.11.08 - des labos soignant l'éthiqueMarket iT
 
analyse d’impact relative à la protection des données (DPIA)
analyse d’impact relative à la protection des données (DPIA)analyse d’impact relative à la protection des données (DPIA)
analyse d’impact relative à la protection des données (DPIA)Market iT
 
Mission « flash » sur le Levothyrox
Mission « flash » sur le Levothyrox Mission « flash » sur le Levothyrox
Mission « flash » sur le Levothyrox Market iT
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
Cybersécurité des dispositifs médicaux
Cybersécurité des dispositifs médicauxCybersécurité des dispositifs médicaux
Cybersécurité des dispositifs médicauxMarket iT
 
HAS Rapport annuel deontologue_2016
HAS Rapport annuel deontologue_2016HAS Rapport annuel deontologue_2016
HAS Rapport annuel deontologue_2016Market iT
 
Corporate reputation of pharma in 2016
Corporate reputation of pharma in 2016Corporate reputation of pharma in 2016
Corporate reputation of pharma in 2016Market iT
 
Codeem rapport d'activité 2016
Codeem rapport d'activité 2016Codeem rapport d'activité 2016
Codeem rapport d'activité 2016Market iT
 
Violation of the anti gift law ceo fined a record level 75000€
Violation of the anti gift law ceo fined a record level 75000€Violation of the anti gift law ceo fined a record level 75000€
Violation of the anti gift law ceo fined a record level 75000€Market iT
 

Plus de Market iT (20)

LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
 
Rapport du Sénat sur les MÉDICAMENTS INNOVANTS : CONSOLIDER LE MODÈLE FRANÇAI...
Rapport du Sénat sur les MÉDICAMENTS INNOVANTS : CONSOLIDER LE MODÈLE FRANÇAI...Rapport du Sénat sur les MÉDICAMENTS INNOVANTS : CONSOLIDER LE MODÈLE FRANÇAI...
Rapport du Sénat sur les MÉDICAMENTS INNOVANTS : CONSOLIDER LE MODÈLE FRANÇAI...
 
Loi sapin II
Loi sapin IILoi sapin II
Loi sapin II
 
Guide lanceur d'alerte
Guide lanceur d'alerteGuide lanceur d'alerte
Guide lanceur d'alerte
 
TRansparency International : 2018 guide for whistleblowing legislation
TRansparency International : 2018 guide for whistleblowing legislationTRansparency International : 2018 guide for whistleblowing legislation
TRansparency International : 2018 guide for whistleblowing legislation
 
SAPIN 2 : Decret lanceur d'alerte 19-04-2017
SAPIN 2 : Decret lanceur d'alerte 19-04-2017SAPIN 2 : Decret lanceur d'alerte 19-04-2017
SAPIN 2 : Decret lanceur d'alerte 19-04-2017
 
Transparency International : Guide lanceur d'alerte
Transparency International : Guide lanceur d'alerteTransparency International : Guide lanceur d'alerte
Transparency International : Guide lanceur d'alerte
 
Espace annonceurs PharmaCompliance.info tarifs_on_line
Espace annonceurs PharmaCompliance.info tarifs_on_lineEspace annonceurs PharmaCompliance.info tarifs_on_line
Espace annonceurs PharmaCompliance.info tarifs_on_line
 
Guidelines on consent under GDPR
Guidelines on consent under GDPRGuidelines on consent under GDPR
Guidelines on consent under GDPR
 
MedTech europe code of ethical business practice
MedTech europe code of ethical business practiceMedTech europe code of ethical business practice
MedTech europe code of ethical business practice
 
Un logiciel peut il constituer un dispositif médical
Un logiciel peut il constituer un dispositif médicalUn logiciel peut il constituer un dispositif médical
Un logiciel peut il constituer un dispositif médical
 
Le canard enchainé 2017.11.08 - des labos soignant l'éthique
Le canard enchainé 2017.11.08 - des labos soignant l'éthiqueLe canard enchainé 2017.11.08 - des labos soignant l'éthique
Le canard enchainé 2017.11.08 - des labos soignant l'éthique
 
analyse d’impact relative à la protection des données (DPIA)
analyse d’impact relative à la protection des données (DPIA)analyse d’impact relative à la protection des données (DPIA)
analyse d’impact relative à la protection des données (DPIA)
 
Mission « flash » sur le Levothyrox
Mission « flash » sur le Levothyrox Mission « flash » sur le Levothyrox
Mission « flash » sur le Levothyrox
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Cybersécurité des dispositifs médicaux
Cybersécurité des dispositifs médicauxCybersécurité des dispositifs médicaux
Cybersécurité des dispositifs médicaux
 
HAS Rapport annuel deontologue_2016
HAS Rapport annuel deontologue_2016HAS Rapport annuel deontologue_2016
HAS Rapport annuel deontologue_2016
 
Corporate reputation of pharma in 2016
Corporate reputation of pharma in 2016Corporate reputation of pharma in 2016
Corporate reputation of pharma in 2016
 
Codeem rapport d'activité 2016
Codeem rapport d'activité 2016Codeem rapport d'activité 2016
Codeem rapport d'activité 2016
 
Violation of the anti gift law ceo fined a record level 75000€
Violation of the anti gift law ceo fined a record level 75000€Violation of the anti gift law ceo fined a record level 75000€
Violation of the anti gift law ceo fined a record level 75000€
 

Dernier

Biologie moléculaire_S6_ première partie .pptx
Biologie moléculaire_S6_ première partie .pptxBiologie moléculaire_S6_ première partie .pptx
Biologie moléculaire_S6_ première partie .pptxrababouerdighi
 
Module 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxModule 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxOuedraogoSoumaila3
 
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...Khadija Moussayer
 
Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024benj_2
 
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Aymen Masri
 
《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》rnrncn29
 
CHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxCHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxKawTar253413
 

Dernier (7)

Biologie moléculaire_S6_ première partie .pptx
Biologie moléculaire_S6_ première partie .pptxBiologie moléculaire_S6_ première partie .pptx
Biologie moléculaire_S6_ première partie .pptx
 
Module 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxModule 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptx
 
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
 
Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024
 
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
 
《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》
 
CHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxCHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptx
 

Joe 20150822 0193_0057

  • 1. Commission nationale de l’informatique et des libertés Délibération no 2015-256 du 16 juillet 2015 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (MR-002) NOR : CNIL1519965X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu le code de la santé publique, notamment ses articles L. 1121-1 (1er ), L. 1211-2, L. 1241-1, L. 5221-1 et suivants, R. 5211-26 et R. 5221-1 et suivants ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 54, alinéa 5 ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : En application de l’article 54 de la loi du 6 janvier 1978 modifiée (ci-après loi Informatique et libertés), la commission peut homologuer et publier des méthodologies de référence, établies en concertation avec le comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé (ci-après, le CCTIRS) ainsi qu’avec les organismes publics et privés représentatifs. Ces méthodologies, destinées à simplifier la procédure de demande d’autorisation recherche du chapitre IX, portent sur les catégories les plus usuelles de traitements automatisés ayant pour finalité la recherche dans le domaine de la santé et qui portent sur des données ne permettant pas une identification directe des personnes concernées. Dans la mesure où les études de performances effectuées en matière de dispositifs médicaux de diagnostic in vitro sont conduites selon des méthodologies standardisées, la commission estime nécessaire de simplifier la procédure ainsi prévue en adoptant une méthodologie de référence dédiée à ces études non interventionnelles après qu’une concertation ait été engagée avec le CCTIRS, le Syndicat de l’industrie du diagnostic in vitro (le SIDIV) et l’Agence nationale de sécurité du médicament et des produits de santé (l’ANSM). Ainsi, les responsables de traitement qui adresseront un engagement de conformité à cette méthodologie de référence seront autorisés à mettre en œuvre les traitements dès lors que ceux-ci répondraient aux conditions fixées par celle-ci. Décide : Art. 1er . – Définitions et champ d’application. 1. Définitions Le responsable de traitement correspond à toute personne physique ou morale qui détermine les finalités et les moyens de l’étude et ainsi assume la responsabilité de sa mise en œuvre, en application de l’article 3 de la loi du 6 janvier 1978 modifiée dite « Informatique et libertés ». Le chargé de mise en œuvre correspond à l’organisme désigné par le responsable de traitement pour mettre en œuvre l’étude concernée. L’investigateur correspond à la personne physique qui dirige et surveille la réalisation de l’étude non interventionnelle de performances. 2. Traitements concernés Seuls peuvent faire l’objet d’un engagement de conformité par référence à la présente méthodologie de référence les traitements ayant pour finalités la réalisation d’études non interventionnelles de performances soumises aux dispositions des articles L. 1121-1 (1er ), L. 1211-2 et L. 1241-1 du code de la santé publique relatives aux dispositifs de diagnostic in vitro et produits visés au livre II, titre II, de la cinquième partie du code de la santé publique, mis en œuvre par les entreprises ou organismes. 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80
  • 2. Ces traitements de données à caractère personnel sont ceux mis en œuvre dans le cadre des études non interventionnelles de performances portant sur les dispositifs médicaux de diagnostic in vitro (ci-après, DM DIV) réalisées dans des conditions conformes aux articles L. 5221-1 et suivants du code de la santé publique. Sont exclus du champ d’application de la présente méthodologie de référence, les traitements de données à caractère personnel ne répondant pas à la finalité précitée, notamment, les traitements réalisés dans le cadre des études suivantes : – les recherches mentionnées aux articles R. 1121-1 et R. 1121-3 du code de la santé publique qui entrent dans le champ d’application des dispositions des articles L. 1121-1 et suivants dudit code relatifs aux recherches biomédicales ; – les études qui mettent en œuvre un traitement de données à caractère personnel faisant apparaître l’identité complète des personnes se prêtant à l’étude ; – les études épidémiologiques, les études médico-économiques et notamment celles relevant des dispositions du chapitre X de la loi Informatique et libertés ; – les études dont l’objet principal est l’étude des comportements ; – les études en génétique qui ont pour objet d’identifier les personnes par leurs caractéristiques génétiques ou les investigations génétiques portant sur des données sensibles pour lesquelles une rupture de confidentialité pourrait porter atteinte au statut ou à l’état psychologique, familial, social, économique de la personne qui s’est prêtée à la recherche. Art. 2. – Finalités des traitements. Les traitements de données à caractère personnel ont pour seule finalité la réalisation des études non interventionnelles de performances énumérées dans le champ d’application ci-dessus. Ces traitements incluent la gestion des données relatives aux personnes se prêtant à des études non interventionnelles de performances, en vue de permettre le recueil, la saisie des cahiers d’observation, le contrôle de validité et de cohérence et l’analyse statistique des données recueillies au cours de l’étude. Art. 3. – Nature des données traitées. S’agissant des données relatives aux personnes faisant l’objet de l’étude : Les seules catégories de données à caractère personnel relatives aux personnes participant à une étude non interventionnelle de performances des DM DIV pouvant faire l’objet du traitement sont les suivantes : – identification : code alphanumérique à l’exclusion des nom(s), prénom(s) et du numéro d’inscription au répertoire national d’identification des personnes physiques. Le code alphanumérique peut correspondre aux deux premières lettres du nom et à la première du prénom. Il est toutefois recommandé de se limiter aux seules initiales, c’est-à-dire à la première lettre du nom et à la première lettre du prénom dès lors qu’un numéro est également attribué à l’inclusion de la personne ; – santé : thérapie suivie, résultats d’examens, événements indésirables, antécédents personnels ou familiaux, maladies ou événements associés ; – informations signalétiques : âge ou date de naissance (mois/année), sexe, poids, taille ; – date d’inclusion dans l’étude ; – origine ethnique, dès lors que sa collecte est scientifiquement justifiée dans le protocole de l’étude ; – variations génétiques incluant les polymorphismes génétiques et/ou variations de l’expression des gènes, en relation à la réponse à un médicament ou à un produit ou avec la thérapeutique ; – consommation de tabac, alcool, drogues ; – habitudes de vie et comportements : exercice physique (intensité, fréquence, durée), régime et comportement alimentaire ; – vie sexuelle. En application de l’article 6 (3o ) de la loi Informatique et libertés, les données traitées doivent être pertinentes, adéquates et non excessives au regard des finalités du traitement. Dès lors, chacune des catégories de données précitées ne peut être collectée que si elle est justifiée scientifiquement et strictement nécessaire à la réalisation de l’étude menée en application de la présente méthodologie. Seul l’investigateur conserve le lien entre l’identité codée des personnes faisant l’objet de l’étude et leur nom(s) et prénom(s). Les données relatives aux personnes participant à l’étude proviennent des intéressés eux-mêmes et des investigateurs. S’agissant des données relatives aux investigateurs et autres professionnels intervenant pour la mise en œuvre de l’étude : Les seules catégories de données à caractère personnel pouvant faire l’objet d’un traitement sont les suivantes : – identité : nom(s) prénom(s), sexe, adresse, adresse électronique, téléphone ; – formation - diplôme(s) ; – montant des indemnités et rémunérations perçues ; – participation à d’autres études ; – vie professionnelle : cursus professionnel. 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80
  • 3. Les données relatives aux investigateurs et aux autres professionnels intervenant dans la mise en œuvre de l’étude non interventionnelle de performances des DM DIV proviennent des intéressés eux-mêmes, des autres intervenants ou de listes publiques. Art. 4. – Sur les destinataires. Ont accès aux données traitées, dans les limites de leurs habilitations au regard de leur fonction et dans des conditions conformes à la réglementation, les catégories de personnes suivantes : – les personnes, désignées par le responsable de traitement chargées de contrôler et d’évaluer la qualité et l’authenticité des données contenues dans les études réalisées, et notamment par la comparaison des données enregistrées avec le contenu des documents sources ; S’agissant des contrôles menés pour s’assurer de la qualité de l’étude et notamment de l’accès des attachés de recherche clinique (ARC) et techniciens d’étude clinique (TEC) aux dossiers médicaux des patients, ils doivent répondre aux règles suivantes en matière de confidentialité : – ils doivent être réalisés sous la direction et la surveillance d’un médecin ; – les personnes doivent être mandatées par le promoteur et être soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal ; – les personnes concernées doivent en être informées et donner leur accord ; – la personne chargée du contrôle qualité ne peut avoir accès qu’aux données individuelles nécessaires à ce contrôle, préalablement identifiées par l’investigateur ; – les données collectées servent à vérifier l’authenticité et la cohérence des informations recueillies dans le cahier d’observation et si nécessaire à les corriger, compléter, pour autant que les règles de confidentialité soient respectées ; – les personnes chargées des analyses statistiques ; – les membres des services en charge des affaires réglementaires et de l’enregistrement auprès des autorités compétentes des DM DIV ; – les inspecteurs d’autorités sanitaires et d’autorités publiques de contrôle légalement habilités, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication. Art. 5. – Les droits des personnes. Sur l’information des personnes faisant l’objet de l’étude Outre une information générale sur l’éventualité que leurs données puissent être utilisées à des fins de recherche, en application de l’article 37 du décret no 2005-1309 du 20 octobre 2005 modifié, les participants à l’étude sont, en application de l’article 57 de la loi Informatique et libertés, préalablement et individuellement informés du traitement de leurs données à caractère personnel, notamment de : – la nature des données transmises ; – la finalité du traitement des données ; – les personnes physiques ou morales destinataires des données ; – l’existence de droits d’accès de rectification, d’opposition et de retrait discrétionnaire ainsi que des modalités d’exercice de ces droits. Cette information individuelle doit s’opérer dans des conditions conformes à l’article 36 du décret précité. Dès lors que l’étude relèverait des dispositions prévues aux L. 1211-2, alinéa 2, et L. 1241-1 du code de la santé publique, ainsi que par l’article 56 de la loi Informatique et libertés, le consentement des personnes est requis. Les modalités d’expression du consentement précité doivent s’opérer dans des conditions conformes à celles requises par ces dispositions. Dans l’hypothèse où la règlementation n’impose pas le recueil du consentement des personnes concernées, celles-ci doivent être informées de leur droit de pouvoir s’opposer préalablement ou pendant leur participation à l’étude. Le droit d’accès peut être exercé à tout moment, soit directement auprès de l’investigateur, soit auprès de l’investigateur par l’intermédiaire d’un médecin désigné à cet effet par l’intéressé. Le droit de rectification prévu par l’article 40 de la loi Informatique et libertés vise la correction de données inexactes, incomplètes ou équivoques au moment de leur collecte. La rectification de ces données pourra être effectuée à tout moment pendant la durée de l’étude auprès de l’investigateur qui doit y donner suite dans un délai maximum de deux mois. Sur l’information des investigateurs et des professionnels intervenant dans la mise en œuvre de l’étude L’information est délivrée par une mention figurant sur des documents remis aux personnes concernées ou sur les conventions signées par les intervenants. Cette information reprend les mentions prévues à l’article 32-I de la loi Informatique et libertés, notamment les modalités d’exercice des droits d’accès et de rectification. Le droit d’accès s’exerce à tout moment auprès du responsable de traitement. Art. 6. – Sur les durées de conservation. Les données à caractère personnel des participants à l’étude non interventionnelle de performances ne peuvent être conservées dans les systèmes d’information de l’organisme que jusqu’au rapport final de l’étude ou jusqu’à l’enregistrement du DM DIV auprès des autorités compétentes. 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80
  • 4. Elles font ensuite l’objet d’un archivage sur support papier ou informatique. Les personnes énumérées à l’article 4 peuvent en tant que de besoin accéder à ces données afin d’effectuer des analyses complémentaires ou dans le cadre de nouvelles demandes d’enregistrement auprès des autorités compétentes des dispositifs visés dès lors que les traitements ainsi mis en œuvre le seraient pour une finalité compatible avec la finalité initiale conformément à l’article 6 de la loi Informatique et libertés. Les données à caractère personnel des investigateurs et professionnels intervenant dans la mise en œuvre de l’étude non interventionnelle de performances ne peuvent être conservées au-delà d’un délai de cinq ans après la fin de la dernière étude à laquelle a participé la personne en application de l’article R. 5211-26 du code de la santé publique. Elles font ensuite l’objet d’un archivage sur support papier ou informatique. Les personnes énumérées à l’article 4 peuvent en tant que de besoin accéder à ces données afin d’effectuer des analyses complémentaires ou dans le cadre de nouvelles demandes d’enregistrement auprès des autorités compétentes des dispositifs ou pour solliciter la personne pour participer à de nouveaux travaux d’étude. Art. 7. – Sur les transferts des données. Seules des données anonymes ou codées des participants à l’étude non interventionnelle de performances des DM DIV peuvent être transmises hors de l’Union européenne. Les données à caractère personnel des investigateurs et professionnels intervenant dans la mise en œuvre de l’étude non interventionnelle de performances peuvent être transférées hors de l’Union européenne, lorsque ce transfert est strictement nécessaire à la mise en œuvre de l’étude non interventionnelle de performances ou à l’enregistrement du DM DIV dans un pays qui le requiert, dans les conditions d’encadrement rappelées ci-après. Tout transfert des données vers un pays non membre de l’Union européenne doit s’opérer conformément aux dispositions spécifiques de la loi précitée relatives aux transferts internationaux de données, notamment en son article 69. Il est satisfait à ces dispositions lorsque l’une des conditions suivantes est réunie : – le transfert s’effectue à destination d’un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d’une entreprise américaine ayant adhéré aux principes du Safe Harbor pour la finalité du traitement concerné ; – le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l’adoption de règles internes d’entreprise (dénommée « BCR »), dont la CNIL a préalablement reconnu qu’elles garantissent un niveau de protection suffisant ; – il correspond à l’une des exceptions prévues à l’article 69 de la loi Informatique et libertés, dont le champ d’application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l’objet d’un encadrement juridique spécifique (« BCR », clauses contractuelles types ou Safe Harbor). Le responsable de traitement doit avoir préalablement informé les personnes concernées de l’existence de transfert de données vers des pays tiers, dans les conditions prévues par les dispositions de l’article 91 du décret du 20 octobre 2005 modifié. S’il est satisfait à ces conditions et si le traitement, dont le transfert est issu, est par ailleurs conforme à l’ensemble des autres dispositions de la présente méthodologie de référence, l’engagement de conformité à celle-ci porte également autorisation du transfert envisagé en application de l’article 69 de la loi Informatique et libertés. Art. 8. – Mise en œuvre et sécurité des traitements. La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue chez le responsable de traitement et/ou chez des tiers agissant pour son compte dans les conditions suivantes : Saisie des données : Les données peuvent faire l’objet d’une informatisation ou, le cas échéant, faire l’objet d’une saisie sur supports « papier » renseignés par les investigateurs. Les résultats des mesures et les données rassemblées tout au long d’une étude sont consignés par les investigateurs ou sous leur responsabilité. Lors de la saisie, les données sont identifiées par un code alphanumérique, tel que défini à l’article 3 et enregistré dans un cahier d’observation papier ou électronique. L’ensemble des données est saisi, soit au fur et à mesure de l’avancement de l’étude, soit globalement lorsque l’étude est terminée. Contrôle de validité et de cohérence : Si la finalité de l’étude le nécessite, les données peuvent faire l’objet d’un contrôle de cohérence ou d’un contrôle qualité réalisé selon des modalités conformes à l’article 4 de la présente méthodologie. Analyse statistique : L’ensemble des données saisies fait l’objet de traitements statistiques et donne lieu à l’édition de résultats. Le responsable de traitement prend toutes les précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité. Pour ce faire, il définit, met en œuvre et contrôle l’application d’une politique de sécurité et de confidentialité. 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80
  • 5. Celle-ci est déterminée au regard des risques identifiés à la suite d’une étude des risques présentés par le traitement, qui doit couvrir en particulier les risques sur les libertés et la vie privée des personnes concernées. Elle doit notamment décrire : – les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ; – les modalités d’accès aux données, en particulier la gestion des habilitations, les mesures d’identification et d’authentification, les procédures ; – de traçabilité des accès aux informations médicales, ainsi que l’historique des connexions ; – les mesures de sécurité devant être mises en œuvre pour les transmissions de données. Afin de cadrer cette démarche et justifier de sa mise en œuvre, le responsable de traitement est invité à procéder comme suit : – réalisation d’un schéma fonctionnel avec les flux de données personnelles et leurs supports ; – identification des mesures de sécurité mises en œuvre ; – identification des violations potentielles des données, en précisant la gravité des impacts sur les personnes concernées et la vraisemblance des menaces rendant possibles ces violations. Sans préjuger des résultats de la démarche, les particularités du traitement appellent l’attention sur la nécessité de certaines mesures de sécurité : – les données d’une étude ne doivent pas être saisies, même temporairement, en dehors d’outils faisant partie du traitement ; – dans le cas de la saisie directe des données par les investigateurs ou chez un prestataire, l’outil de saisie distante doit être sécurisé en particulier par l’authentification des utilisateurs et le chiffrement des flux de données ; – dans le cas de l’utilisation de cahiers d’observation papier, ceux-ci doivent être exclusivement remis en main propre aux personnes habilitées pour la saisie des données ; – dans le cas de cahiers d’observation numériques installés sur des dispositifs nomades (tablettes…), les données du traitement doivent être chiffrées dans l’appareil et être protégées par une authentification spécifique de l’utilisateur ; elles doivent pouvoir être transférées uniquement vers le traitement, à travers une liaison sécurisée par authentification et chiffrement des flux ; – dans l’hypothèse d’une alimentation directe du traitement par des automates d’analyse, ces derniers doivent disposer d’une connexion sécurisée avec le traitement (authentification et chiffrement) et faire l’objet de mesures de surveillance particulières ; – tous les échanges électroniques de messages ayant trait aux données de l’étude (demandes de précisions, etc.) doivent se faire sur une messagerie sécurisée ou une plate-forme dédiée appliquant des droits d’accès spécifiques (le courriel simple étant proscrit) ; – les outils d’exploitation des données recueillies doivent tenir compte du risque de ré-identification des personnes en limitant les possibilités de recherches ciblées et les listes de résultats détaillées. De plus, la relation contractuelle avec les éventuels prestataires de saisie doit intégrer la conformité à l’exigence de sécurité prévue par l’article 34 de la loi Informatique et libertés. Pour tout projet commencé avec un nouveau prestataire, un audit est effectué qui couvre notamment la vérification des plans qualité et sécurité de l’entreprise, la validation des systèmes informatiques avec l’existence d’un système de sauvegarde et de récupération des données, et de mesures destinées à garantir leur confidentialité et leur intégrité. Le traitement automatisé une fois achevé, les données sont récupérées au format défini par le service en charge du traitement des données de l’étude et sont stockées temporairement – le temps de préparer notamment l’archivage – sur un répertoire dont l’accès est techniquement restreint aux personnes dûment habilitées et authentifiées, présentes dans les locaux du responsable de l’étude. Art. 9. – Sur les formalités. Les traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances des dispositifs médicaux de diagnostic in vitro conformes aux présentes dispositions font l’objet d’un engagement de conformité adressé à la Commission nationale de l’informatique et des libertés. Art. 10. – Publication. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN 22 août 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 57 sur 80