J.O. 43 du 19 février 2006
J.O. disponibles
Alerte par mail
Lois,décrets
codes
AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance
Décision du 5 janvier 2006 portant homologation d'une méthodologie de référence pour les traitements de données personnelles opérés dans le cadre des recherches biomédicales (méthodologie de référence MR-001)
NOR : CNIA0600001X
La Commission nationale de l'Informatique et des Libertés,
Vu la Convention no 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46 /CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 modifiée en août 2004 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 15 et 54 ;
Vu la loi no 88-1138 du 20 décembre 1988 relative à la protection des personnes qui se prêtent à des recherches biomédicales, modifiée par la loi no 2004-806 du 9 août 2004 ;
Vu la délibération no 04-002 du 3 février 2004 portant délégation d'attributions au président de la Commission nationale de l'Informatique et des Libertés ;
Vu l'avis du comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé en date du 17 novembre 2005 ;
Considérant que, pour les catégories les plus usuelles de traitements automatisés ayant pour finalité la recherche dans le domaine de la santé et portant sur des données ne permettant pas une identification directe des personnes concernées, l'alinéa 5 de l'article 54 de la loi du 6 janvier 1978 modifiée prévoit que la Commission peut homologuer et publier des méthodologies de référence, établies en concertation avec le comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé ainsi qu'avec les organismes publics et privés représentatifs, et destinées à simplifier la procédure prévue au chapitre IX de la loi précitée ;
Considérant que les recherches biomédicales qui sont des recherches organisées et pratiquées sur l'être humain en vue du développement des connaissances biologiques ou médicales ne peuvent être conduites que dans le respect des conditions posées aux articles L. 1121-1 et suivants du code de la santé publique ;
En particulier, l'autorisation de mise sur le marché de tout nouveau médicament délivrée par l'Agence française de sécurité sanitaire des produits de santé doit obligatoirement être précédée d'expérimentations conduites selon les bonnes pratiques cliniques et les bonnes pratiques de fabrication qui nécessitent la mise en place de traitements automatisés de données à caractère personnel ;
Considérant que dans la mesure où les recherches biomédicales sont ainsi conduites dans le cadre d'exigences législatives et réglementaires strictes, selon des méthodologies scientifiques standardisées, et qu'elles font appel à des traitements automatisés de données indirectement nominatives, elles remplissent dès lors les conditions posées par l'alinéa 5 de l'article 54 précité ;
Considérant que la présente méthodologie a été établie en concertation avec les organismes représentatifs de la recherche privée et publique,
Décide d'homologuer la méthodologie de référence ci-après annexée pour les traitements de données personnelles mis en oeuvre dans le cadre des recherches biomédicales.
Cette décision sera publiée au Journal officiel de la République française.
Le président,
A. Türk
A N N E X E
PRÉSENTATION
Depuis l'adoption en 1998 par la CNIL et le comité consultatif de la procédure simplifiée de déclaration des essais cliniques qui permet de regrouper en un seul dossier l'ensemble des essais réalisés par un organisme, certaines évolutions sont intervenues et justifient aujourd'hui une actualisation du dispositif.
La loi du 6 janvier 1978 a été modifiée en 2004 et consacre désormais la possibilité d'une simplification des formalités dans le domaine de la recherche médicale.
Dans la mesure où les recherches biomédicales sont conduites dans le cadre d'exigences législatives et réglementaires strictes (en particulier, la loi « Huriet-Sérusclat » du 20 décembre 1988, modifiée par la loi du 9 août 2004) selon des méthodologies standardisées, la Commission a estimé qu'il était possible de simplifier la procédure ainsi prévue en adoptant une méthodologie de référence établie en concertation avec le comité consultatif en application de l'article 54, 5e alinéa, de la loi informatique et libertés modifiée.
Cette méthodologie de référence qui couvre désormais tous les traitements de données personnelles mis en oeuvre dans le cadre des recherches biomédicales - y compris les essais de pharmacogénétique - telles que définies dans le code de la santé publique permet, dès lors que l'organisme déclarant satisfait à l'ensemble des conditions ainsi définies, de n'adresser à la CNIL qu'un seul engagement de conformité à ladite méthodologie.
Le document est ordonné en deux parties : une première partie est consacrée aux données des personnes participant à une recherche biomédicale, une seconde partie permet d'inclure désormais les données des investigateurs et autres professionnels intervenant dans la mise en oeuvre de la recherche biomédicale.
MÉTHODOLOGIE DE RÉFÉRENCE POUR LES TRAITEMENTS DE DONNÉES PERSONNELLES
OPÉRÉS DANS LE CADRE DES RECHERCHES BIOMÉDICALES (MR-001)
En application des dispositions de l'article 54, alinéa 5, de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, la Commission nationale de l'Informatique et des Libertés, après concertation avec le comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé et consultation d'organismes de recherches publics et privés représentatifs, a homologué par décision du 5 janvier 2006 la présente méthodologie de référence.
CHAMP D'APPLICATION
1.1. Traitements de données personnelles inclus
dans le champ d'application de la présente méthodologie
Les présentes dispositions concernent les traitements de données à caractère personnel contenues ou appelées à figurer dans des fichiers réalisés dans le cadre de recherches biomédicales soumises aux dispositions des articles L. 1121-1 et suivants du code de la santé publique et portant notamment sur les médicaments, dispositifs et produits visés aux livres Ier et II de la 5e partie du code de la santé publique, et conduites selon les bonnes pratiques cliniques et les bonnes pratiques de fabrication pour ce qui concerne la fabrication des lots cliniques.
Ces traitements de données personnelles sont ceux mis en oeuvre dans le cadre :
- des recherches biomédicales portant sur les médicaments, dispositifs et produits visés ci-dessus. Les recherches biomédicales portant sur les médicaments et les produits sont divisées en quatre phases : les trois premières phases sont un préalable au dépôt du dossier de demande d'autorisation de mise sur le marché (AMM) ou à sa modification ; la quatrième phase a lieu après l'obtention de l'AMM dans les conditions d'utilisation mentionnées dans le résumé des caractéristiques du produit, notamment les indications thérapeutiques. Ces recherches incluent les études visant à qualifier l'environnement médical et social dans lequel les traitements médicaux vont être mis en oeuvre, afin d'optimiser la prise en charge thérapeutique et améliorer les règles et les conditions de prescription des médicaments. Ces recherches incluent également le suivi et le traitement des données relatives aux effets et évènements indésirables survenant au cours de la recherche biomédicale ;
- des études thérapeutiques, médicamenteuses ou non, utilisant la même méthodologie ;
- des recherches biomédicales dans les domaines de la physiologie, de la physiopathologie. Ces recherches visent à apporter des améliorations dans le domaine de la santé humaine et de la santé publique et dans le développement des connaissances biologiques, diagnostiques et médicales. Elles sont soumises à l'approbation d'un comité de protection des personnes (CPP), au même titre que les recherches portant sur les médicaments, dispositifs et produits et visées à l'alinéa précédent et soumises à autorisation auprès de la direction générale de la santé.
Ces recherches incluent également le suivi et le traitement des données relatives aux effets et évènements indésirables survenant au cours de la recherche biomédicale :
- des études pharmacogénétiques, pharmacogénomiques, génomiques, protéomiques ancillaires réalisées dans le cadre des recherches biomédicales visées ci-dessus. Les études concernées sont incluses à titre ancillaire dans tout ou partie d'une recherche biomédicale principale. En effet un polymorphisme génétique peut avoir un impact sur l'efficacité, la tolérance ou la cinétique d'un produit. Ces études permettent de rechercher les variations interindividuelles de la séquence et/ou de l'expression des gènes afin d'évaluer quelles catégories de patients sont susceptibles de répondre à des besoins spécifiques ou de développer des évènements indésirables ;
- des études pharmacogénétiques, pharmacogénomiques non ancillaires à d'autres études entrant dans le cadre des recherches biomédicales visées ci-dessus. En effet un polymorphisme génétique peut avoir un impact sur l'efficacité, la tolérance ou la cinétique d'un produit. Ces études permettent de rechercher les variations interindividuelles de la séquence et/ou de l'expression des gènes afin par exemple d'évaluer quelles catégories de patients sont susceptibles de répondre à des besoins spécifiques ou de développer des effets secondaires ou dont l'objectif est de valider des informations diagnostiques, pronostiques et prédictives d'une réponse thérapeutique ;
- des études rétrospectives ou prospectives de génomique et de protéomique entrant dans le cadre des recherches biomédicales et dont l'objectif est de valider des informations diagnostiques, pronostiques et prédictives d'une réponse thérapeutique (comme en cancérologie).
1.2. Traitements non inclus dans le champ d'application
Ne sont pas inclus dans le champ d'application de la présente méthodologie de référence les traitements de données personnelles réalisés dans le cadre des recherches suivantes :
- les recherches qui n'entrent pas dans le champ d'application des dispositions des articles L. 1121-1 et suivants du code de la santé publique relatifs aux recherches biomédicales ;
- les recherches qui mettent en oeuvre un traitement de données personnelles faisant apparaître l'identité complète des personnes se prêtant à la recherche ;
- la pharmacovigilance telle que définie par le code de la santé publique à l'article R. 5121-150 ;
- sauf si elles constituent une recherche biomédicale au sens des articles L. 1121-1 et suivants du code de la santé publique, les recherches épidémiologiques : par exemple les études de cohortes, les études cas-témoins, études d'usage des médicaments, les recherches pharmaco-économiques, et notamment celles relevant des dispositions du chapitre X de la loi informatique et libertés ;
- les recherches dont l'objet principal est l'étude des comportements ;
- les recherches en génétique qui ont pour objet d'identifier les personnes par leurs caractéristiques génétiques non soumises aux dispositions des articles L. 1121-1 du code de la santé publique ;
- les autorisations temporaires d'utilisation (ATU) telles que définies à l'article L. 5121-12 du code de la santé publique.
1. Première partie
Les traitements de données des personnes
participant à une recherche biomédicale
1.1. Finalité des traitements
Les traitements de données personnelles doivent avoir pour seule finalité la réalisation des recherches biomédicales énumérées à l'article 1er ci-dessus.
Ces traitements incluent la gestion des données relatives aux personnes se prêtant à des recherches biomédicales, en vue de permettre le recueil, la saisie des cahiers d'observation, le contrôle de validité et de cohérence et l'analyse statistique des données recueillies au cours de la recherche.
1.2. Origine et nature des données
1.2.1. Nécessité du recours à des données personnelles
L'identification des personnes se prêtant à des recherches biomédicales ne peut être réalisée, dans un traitement visé par les présentes dispositions, qu'au moyen d'un numéro d'ordre ou d'un code alphanumérique, à l'exclusion du numéro de sécurité sociale.
Ce mode d'identification est nécessaire pour :
- certifier que, pour chaque patient, les informations recueillies successivement au cours de la recherche et susceptibles de provenir de plusieurs sources concernent bien ce patient ;
- permettre au promoteur d'identifier les patients concernés par une modification ou une interruption du traitement en cours de recherche en vue de la confrontation d'informations provenant de plusieurs investigateurs, des progrès ou des résultats de recherches parallèles et d'en informer le ou les investigateurs, qui sont les seuls à pouvoir contacter rapidement et sans erreur les patients concernés ;
- vérifier, par la réalisation de contrôles de validité et de cohérence, la concordance des données d'études recueillies au cours de la recherche avec celles des documents sources auxquels seul l'investigateur peut accéder ;
- satisfaire aux obligations réglementaires en tenant à jour un registre des événements indésirables qui peuvent survenir en cours de recherche.
1.2.2. Origine des données
Les données relatives aux personnes se prêtant à des recherches proviennent des intéressés eux-mêmes et des investigateurs. A cet égard, le responsable du traitement doit vérifier auprès d'eux l'absence d'inclusion simultanée dans plusieurs recherches, s'assurer des périodes d'exclusion et vérifier le montant annuel des indemnités, le cas échéant.
1.2.3. Nature des données
Les organismes de recherche s'engagent à ne collecter que les données strictement nécessaires et pertinentes au regard des finalités des recherches définies à l'article 1er.
Les données traitées relatives aux personnes se prêtant à la recherche biomédicale peuvent relever exclusivement des catégories suivantes :
- identité : numéro et/ou code alphanumérique (1), à l'exclusion du nom complet et du numéro de sécurité sociale ;
- santé : thérapie suivie dans le cadre de la recherche et concomitante, résultats d'examens, événements indésirables, antécédents personnels ou familiaux, maladies ou événements associés ;
- informations signalétiques : âge ou date de naissance, lieu de naissance, sexe, poids, taille ;
- date d'inclusion dans la recherche ;
- origine ethnique (dans les seuls cas où elle est justifiée par la finalité de la recherche) ;
- variations génétiques incluant les polymorphismes génétiques et/ou variations de l'expression des gènes, en relation à la réponse à un médicament ou à un produit (dans le cadre de la recherche pharmaco-génétique) ou avec la thérapeutique, dans les seuls cas où la collecte de ces données est nécessaire au regard de la finalité de la recherche ;
- situation familiale :
- célibataire, vie maritale, veuf(veuve), divorcé(e) ;
- foyer : seul, couple (avec ou sans enfants, nombre d'enfants et nombre d'enfants vivant au foyer), vivant avec d'autres personnes ;
- nombre de personnes à charge ;
- niveau de formation (primaire, secondaire, supérieur) ;
- catégorie socioprofessionnelle (catégories INSEE) ;
- situation économique et financière : mode de protection sociale, existence d'une assurance complémentaire (mutuelle, assurance privée) ;
- affiliation à un régime de la sécurité sociale à l'exclusion du numéro de sécurité sociale ;
- montant des indemnités perçues ;
- participation à d'autres recherches ;
- vie professionnelle : profession actuelle, historique, chômage, trajets et déplacements professionnels ;
- déplacement (vers le lieu de soin : mode, durée, distance) ;
- consommation de tabac, alcool, drogues ;
- habitudes de vie et comportements :
- dépendance (seul, en institution, autonome, grabataire) ;
- assistance (aide ménagère, familiale) ;
- exercice physique (intensité, fréquence, durée) ;
- régime et comportement alimentaire ;
- mode de vie : urbain, semi-urbain, nomade, sédentaire ; habitat (maison particulière ou immeuble, étage, ascenseur) ;
- vie sexuelle (dans les seuls cas où elle est justifiée par la finalité de la recherche) ;
- échelle de qualité de vie validée.
(1) Une précision : le code alphanumérique peut correspondre aux trois premières lettres du nom. Il est toutefois recommandé de se limiter aux seules initiales, c'est-à-dire à la première lettre du nom et à la première lettre du prénom dès lors qu'un numéro est également attribué à l'inclusion de la personne.
1.3. Analyse des données
1.3.1. Méthode d'analyse
La méthode d'analyse des données doit répondre précisément aux objectifs de la recherche.
1.3.2. Description générale des traitements
Les fonctions assurées par les traitements réalisés dans le cadre des recherches biomédicales sont les suivantes :
a) Informatisation des données relatives aux personnes
se prêtant à des recherches biomédicales
Saisie des cahiers d'observation « papier » remplis par les investigateurs.
Saisie par l'investigateur des cahiers d'observation au moyen d'un outil de recueil électronique accessible sur un site internet, intranet ou un extranet à la stricte condition que l'accès à ce site soit sécurisé.
Les résultats des mesures et les données rassemblées tout au long d'une recherche biomédicale sont consignés par les investigateurs dans les cahiers d'observation.
Lors de la saisie, chaque cahier d'observation est identifié par un numéro ou un code alphanumérique.
L'ensemble des informations contenues dans ces cahiers est saisi soit au fur et à mesure de l'avancement de la recherche, soit globalement lorsque, pour un patient donné, la recherche est terminée.
Cette saisie est effectuée sous la responsabilité du promoteur, soit dans ses locaux et par son personnel, soit dans une structure chargée de la saisie, pour le compte du promoteur.
Elle peut également être réalisée par les investigateurs, les laboratoires d'analyses biologiques ou les autres intervenants au sens de l'article L. 1121-10 du code de la santé publique et peut résulter en particulier d'enregistrements automatiques de paramètres d'examens complémentaires.
b) Contrôle de validité et de cohérence
Avant l'analyse statistique, les données doivent répondre à des critères de qualité et les contrôles de validité et de cohérence doivent permettre de s'en assurer.
c) Analyse statistique
L'ensemble des données saisies et contrôlées fait l'objet de traitements statistiques et donne lieu à l'édition de résultats.
1.4. Catégories de personnes appelées à mettre en oeuvre le traitement de données personnelles et catégories de personnes ayant accès aux données enregistrées dans le traitement
Les données doivent être reçues par le « responsable de la recherche » désigné à cet effet par la personne physique ou morale autorisée à mettre en oeuvre le traitement. Ce responsable veille à l'intégrité des informations et au respect de leur confidentialité dans le cadre de la finalité de la recherche.
Le responsable de la recherche est une personne nommément désignée par le promoteur, responsable du traitement de données personnelles au sens de l'article 3 de la loi du 6 janvier 1978 modifiée.
Sous la responsabilité du « responsable de la recherche » désigné par chaque organisme, les catégories de personnes suivantes sont appelées à mettre en oeuvre le traitement ou à avoir accès aux données :
1.4.1. Catégories de personnes mettant en oeuvre le traitement
Les personnes assurant la coordination et le suivi des recherches.
Les intervenants visés par l'article L. 1121-10 du code de la santé publique, c'est-à-dire les promoteurs.
Les personnes assurant la saisie et la gestion des données ainsi que le traitement statistique.
Ces catégories de personnes peuvent relever de l'organisme demandeur, de sociétés du même groupe, de partenaires contractuels (dans le cadre de partenariats de recherche ou d'accords de licence), des centres investigateurs ou de structures agissant pour le compte du promoteur.
1.4.2. Catégories de personnes ayant accès au traitement
Les personnes, au sein des organismes de recherche, responsables de l'assurance de qualité, c'est-à-dire chargées de contrôler et d'évaluer la qualité et l'authenticité des données contenues dans les études réalisées, et notamment par la comparaison des données enregistrées avec le contenu des documents sources.
Ces personnes veillent également au respect des dispositions relatives à l'intégrité et à la protection des personnes.
Les personnes chargées des affaires réglementaires et de l'enregistrement auprès des autorités compétentes des médicaments, dispositifs et produits visés par le premier paragraphe de l'article 1er de la présente méthodologie.
Ces catégories de personnes peuvent relever de l'organisme demandeur, des sociétés du même groupe, de partenaires contractuels (dans le cadre de partenariats de recherche ou d'accords de licence), de centres investigateurs ou de structures agissant pour le compte du promoteur.
Les inspecteurs d'autorités sanitaires et d'autorités publiques de contrôle légalement habilités, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication.
1.5. Personnes ou service auprès desquelles ou duquel s'exerce
le droit d'accès et mesures relatives à l'exercice de ce droit
1.5.1. Information
En application des dispositions des articles L. 1122-1 et suivants du code de la santé publique, les personnes doivent recevoir de l'investigateur une information préalable et écrite sur la recherche biomédicale, leur permettant de donner un consentement éclairé et libre.
Il est possible de réaliser l'information concernant les traitements de données personnelles par l'intermédiaire de la note remise aux personnes en application de l'article L. 1122-1 du code de la santé publique dans sa rédaction issue de la loi du 9 août 2004.
Dans ce cas, la note doit être complétée par les informations devant leur être communiquées en application de l'article 57 de la loi du 6 janvier 1978, c'est-à-dire :
- la nature des données transmises ;
- la finalité du traitement des données ;
- les personnes physiques ou morales destinataires des données ;
- l'existence du droit d'accès de rectification et d'opposition.
La formule suivante doit donc être insérée dans les notes d'information :
« Dans le cadre de la recherche biomédicale à laquelle [nom du promoteur] vous propose de participer, un traitement de vos données personnelles va être mis en oeuvre pour permettre d'analyser les résultats de la recherche au regard de l'objectif de cette dernière qui vous a été présenté.
A cette fin, les données médicales vous concernant et les données relatives à vos habitudes de vie ainsi que, dans la mesure ou ces données sont nécessaires à la recherche, vos origines ethniques ou des données relatives à votre vie sexuelle seront transmises au promoteur de la recherche ou aux personnes ou sociétés agissant pour son compte, en France ou à l'étranger. Ces données seront identifiées par un numéro de code et/ou vos initiales ou les trois premières lettres de votre nom [à préciser selon les cas]. Ces données pourront également, dans des conditions assurant leur confidentialité, être transmises aux autorités de santé françaises ou étrangères, à d'autres entités de [nom du promoteur]. Conformément aux dispositions de la loi relative à l'informatique aux fichiers et aux libertés, vous disposez d'un droit d'accès et de rectification. Vous disposez également d'un droit d'opposition à la transmission des données couvertes par le secret professionnel susceptibles d'être utilisées dans le cadre de cette recherche et d'être traitées.
Vous pouvez également accéder directement ou par l'intermédiaire d'un médecin de votre choix à l'ensemble de vos données médicales en application des dispositions de l'article L. 1111-7 du code de la santé publique.
Ces droits s'exercent auprès du médecin qui vous suit dans le cadre de la recherche et qui connaît votre identité. »
Dans l'hypothèse de recueil d'informations par questionnaire remis au patient au cours de la recherche biomédicale, la même formule d'information doit être mentionnée sur ce questionnaire.
Dans le cas d'inscription au fichier national des personnes qui se prêtent à une recherche biomédicale, la formule suivante peut être insérée dans la note d'information :
« Nous vous informons que vous serez inscrit dans le fichier national des personnes qui se prêtent à des recherches biomédicales prévu à l'article L. 1121-16 du code de la santé publique. Vous avez la possibilité de vérifier auprès du ministre chargé de la santé l'exactitude des données vous concernant présentes dans ce fichier et la destruction de ces données au terme du délai prévu par le code de la santé publique. »
1.5.2. Le recueil du consentement
Outre le consentement libre et éclairé exigé par les dispositions de l'article L. 1122-1-1 du code de la santé publique, un consentement particulier est requis dès lors que la recherche nécessite le recueil et le traitement de données génétiques conformément au deuxième alinéa de l'article 56 de la loi du 6 janvier 1978 modifiée (prélèvement biologique identifiant).
Vous devez utiliser la formule de consentement suivante :
« J'accepte que les données enregistrées à l'occasion de cette recherche comportant des données génétiques puissent faire l'objet d'un traitement informatisé par le promoteur ou pour son compte. J'ai bien noté que le droit d'accès prévu par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (art. 39) s'exerce à tout moment auprès du médecin qui me suit dans le cadre de la recherche et qui connaît mon identité. Je pourrai exercer mon droit de rectification et d'opposition auprès de ce même médecin, qui contactera le promoteur de la recherche. »
1.5.3. Personnes auprès desquelles s'exerce le droit d'accès
Le droit d'accès peut être exercé à tout moment soit directement auprès de l'investigateur, soit auprès de l'investigateur par l'intermédiaire d'un médecin désigné à cet effet par l'intéressé.
Le droit de rectification prévu par l'article 40 de la loi du 6 janvier 1978 vise la correction de données inexactes, incomplètes ou équivoques au moment de leur collecte. La rectification de ces données pourra être effectuée à tout moment pendant la durée de la recherche chez l'investigateur.
L'organisme de recherche auquel sont transmises de telles demandes s'engage à y donner suite dans un délai de deux mois maximum.
1.6. Durée de conservation
Les données personnelles ne peuvent être conservées sur les systèmes d'information de l'organisme de recherche que jusqu'à obtention de la première autorisation de mise sur le marché ou jusqu'au rapport final de la recherche ou jusqu'à la publication des résultats de la recherche.
Elles font ensuite l'objet d'un archivage sur support papier ou informatique. Les personnes énumérées à l'article 1.4 peuvent en tant que de besoin accéder à ces données afin d'effectuer des analyses complémentaires ou dans le cadre de nouvelles demandes d'enregistrement ou d'extension des autorisations de mise sur le marché auprès des autorités compétentes des médicaments, dispositifs et produits visés par le paragraphe 1 de l'article 1er.
1.7. Sécurité des traitements
La mise en oeuvre de traitements automatisés de données personnelles intervenant dans le cadre de la recherche clinique s'effectue chez le promoteur et/ou chez des tiers agissant pour son compte, selon des modalités garantissant la confidentialité et l'intégrité des données. Ces modalités sont les suivantes :
- l'établissement d'une politique de confidentialité, de protection et de sécurisation des données, avec la mise en place de formations par rapport aux thèmes ci-dessus et un système de documentation qui trace ces formations ;
- des locaux dédiés à l'informatique et un personnel spécialement affecté à sa maintenance ;
- des moyens informatiques sécurisés physiquement par l'installation d'alarmes, digicode, gardiennage et logiquement par la sécurisation des accès aux bases de données avec au minimum un mot de passe individualisé par utilisateur ;
- un administrateur informatique pour gérer les mots de passe ;
- un mot de passe doit avoir une longueur minimale et être réactualisé régulièrement, les derniers mots de passe ne doivent pas être réutilisés, et l'accès doit être verrouillé en cas de frappes successives incorrectes, le poste informatique doit se verrouiller automatiquement au bout de quelques minutes d'inactivité, l'accès au réseau informatique du prestataire ne doit pas être accessible à quelqu'un de l'extérieur (firewalls) ;
- une journalisation des connexions ;
Un audit peut être effectué pour tout projet commencé avec un nouveau prestataire. Le plan de l'audit couvre notamment la vérification du plan qualité de l'entreprise, la validation des systèmes informatiques avec l'existence d'un système de sauvegarde et de récupération des données.
Le traitement automatisé une fois achevé, les données sont récupérées au format défini par le service en charge du traitement des données cliniques et sont stockées temporairement - le temps de préparer notamment l'archivage - sur un répertoire dont l'accès est restreint aux personnes dûment habilitées. L'accès à ce répertoire n'est possible que par un mot de passe.
1.8. Transfert des données à l'étranger
Seules des données anonymes ou codées selon les modalités définies à l'article 1.2.3 peuvent être transmises au sein de l'Union européenne ou hors de l'Union européenne.
2. Seconde partie
Les traitements de données des investigateurs et autres professionnels intervenant dans la mise en oeuvre de la recherche biomédicale
2.1. Finalité des traitements
Les traitements de données doivent avoir pour seules finalités la mise en place et le déroulement de la recherche auprès des différents professionnels intervenant dans la recherche.
2.2. Origine et nature des données
2.2.1. Nécessité du recours à des données personnelles
Le suivi des intervenants ne peut s'opérer qu'au moyen de données personnelles comportant l'identité complète des personnes.
2.2.2. Origine des données
Les données relatives aux intervenants proviennent des intéressés eux-mêmes et des autres intervenants, ou de listes publiques.
2.2.3. Nature des données
Les organismes de recherches s'engagent à ne collecter que les données strictement nécessaires et pertinentes au regard des finalités des recherches définies à l'article 2.2.1.
Les données traitées relatives aux intervenants dans les recherches biomédicales doivent relever exclusivement des catégories suivantes :
- identité : nom, prénom, sexe, adresse, adresse électronique, téléphone ;
- formation - diplôme ;
- montant des indemnités et rémunérations perçues ;
- participation à d'autres recherches ;
- vie professionnelle : cursus professionnel.
2.3. Analyse des données
Les données peuvent alimenter d'autres traitements de données personnelles mis en oeuvre par le déclarant et relatifs à la gestion des ressources humaines et de la formation.
2.4. Catégories de personnes appelées à mettre en oeuvre le traitement de données personnelles et catégories de personnes ayant accès aux données enregistrées dans le traitement
Les données doivent être reçues par le « responsable de la recherche » désigné à cet effet par la personne physique ou morale autorisée à mettre en oeuvre le traitement de données personnelles. Ce responsable veille à l'intégrité des informations et au respect de leur confidentialité dans le cadre de la finalité de la recherche.
Le responsable de la recherche est une personne nommément désignée par le promoteur, responsable du traitement de données personnelles au sens de l'article 3 de la loi du 6 janvier 1978.
Sous la responsabilité du « responsable de la recherche » désigné par chaque organisme, les catégories de personnes suivantes sont appelées à mettre en oeuvre le traitement ou à avoir accès aux données :
2.4.1. Catégories de personnes mettant en oeuvre le traitement
- les personnes assurant la coordination et le suivi des recherches ;
- les intervenants visés par l'article L. 1121-10 du code de la santé publique ;
- les personnes assurant la saisie et la gestion des données ainsi que le traitement statistique ;
- les personnes exerçant dans les services comptables ;
- les personnes exerçant dans les services administratifs dûment habilités dans le cadre de l'exercice de leur mission.
Ces catégories de personnes peuvent relever de l'organisme demandeur, de sociétés du même groupe, de partenaires contractuels (dans le cadre de partenariats de recherche, ou d'accords de licence), des centres investigateurs ou de structures agissant pour le compte du promoteur.
2.4.2. Catégories de personnes ayant accès au traitement
Les personnes, au sein des organismes de recherche, responsables de l'assurance de qualité, c'est-à-dire chargées de contrôler et d'évaluer la qualité et l'authenticité des données contenues dans les études réalisées, et notamment par la comparaison des données enregistrées avec le contenu des documents sources.
Les inspecteurs d'autorités sanitaires et d'autorités publiques de contrôle légalement habilités, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication..
Les personnes chargées des affaires réglementaires et de l'enregistrement auprès des autorités compétentes des médicaments, dispositifs et produits visés par le premier paragraphe de l'article 1er de la présente méthodologie.
Ces catégories de personnes peuvent relever de l'organisme demandeur, des sociétés du même groupe, de partenaires contractuels (dans le cadre de partenariat de recherche ou d'accords de licence), de centres investigateurs ou de structures agissant pour le compte du promoteur.
2.5. Personnes ou service auprès desquelles ou duquel s'exercent le droit d'accès et les mesures relatives à l'exercice de ce droit
2.5.1. Information
L'information des personnes se fait par une mention figurant sur des documents remis ou sur les conventions signées par les intervenants.
Conformément à l'article 32-I de la loi du 6 janvier 1978, l'information doit préciser :
- l'identité du responsable du traitement ;
- la finalité du traitement des données ;
- les personnes physiques ou morales destinataires des données ;
- l'existence du droit d'accès, de rectification et d'opposition ;
- les transferts éventuels hors de l'Union européenne.
2.5.2. Personnes auprès desquelles s'exerce le droit d'accès
Le droit d'accès peut être exercé à tout moment auprès du promoteur.
2.6. Durée de conservation
Les données ne peuvent être conservées au-delà d'un délai de cinq ans après la fin de la dernière recherche à laquelle a participé la personne.
Elles font ensuite l'objet d'un archivage sur support papier ou informatique. Les personnes énumérées à l'article 2.4 peuvent en tant que de besoin accéder à ces données afin d'effectuer des analyses complémentaires ou dans le cadre de nouvelles demandes d'enregistrement auprès des autorités compétentes des médicaments, dispositifs et produits visés par le paragraphe 1 de l'article 1er ou pour solliciter la personne pour participer à de nouveaux travaux de recherche.
2.7. Transfert des données
vers un pays hors de l'Union européenne
Tout transfert de données à caractère personnel vers une personne morale établie dans un pays non membre de l'Union européenne n'accordant pas une protection suffisante au sens de l'article 68 de la loi du 6 janvier 1978 modifiée doit s'opérer conformément aux dispositions spécifiques de la loi du 6 janvier 1978 modifiée relatives aux transferts internationaux de données, et notamment son article 69, alinéa 8.
Il est satisfait à ces dispositions lorsque la personne morale au sein de laquelle travaille le destinataire des données a adhéré au Safe Harbor.
Il est également satisfait à ces dispositions lorsque le destinataire a conclu un contrat de transfert basé sur les clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 ou du 27 décembre 2004, ou lorsque le groupe auquel appartiennent les entités concernées a adopté des règles internes dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes. S'il est satisfait à ces conditions, et si le traitement dont le transfert est issu est par ailleurs conforme à l'ensemble des autres dispositions de la présente méthodologie, l'engagement de conformité à la présente méthodologie porte également autorisation du transfert envisagé en application de l'article 69, alinéa 8, de la loi du 6 janvier 1978 modifiée.
3. Formalités
Les traitements mis en oeuvre dans le cadre des recherches biomédicales conformes aux présentes dispositions font uniquement l'objet d'un engagement de conformité adressé, selon le modèle joint en annexe à la présente méthodologie, à la Commission nationale de l'Informatique et des Libertés.