Articles

Article 7 AUTONOME (Délibération n° 2015-256 du 16 juillet 2015 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (MR-002))

Article 7 AUTONOME (Délibération n° 2015-256 du 16 juillet 2015 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (MR-002))


Sur les transferts des données.
Seules des données anonymes ou codées des participants à l'étude non interventionnelle de performances des DM DIV peuvent être transmises hors de l'Union européenne.
Les données à caractère personnel des investigateurs et professionnels intervenant dans la mise en œuvre de l'étude non interventionnelle de performances peuvent être transférées hors de l'Union européenne, lorsque ce transfert est strictement nécessaire à la mise en œuvre de l'étude non interventionnelle de performances ou à l'enregistrement du DM DIV dans un pays qui le requiert, dans les conditions d'encadrement rappelées ci-après.
Tout transfert des données vers un pays non membre de l'Union européenne doit s'opérer conformément aux dispositions spécifiques de la loi précitée relatives aux transferts internationaux de données, notamment en son article 69.
Il est satisfait à ces dispositions lorsque l'une des conditions suivantes est réunie :


- le transfert s'effectue à destination d'un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d'une entreprise américaine ayant adhéré aux principes du Safe Harbor pour la finalité du traitement concerné ;
- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l'adoption de règles internes d'entreprise (dénommée « BCR »), dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant ;
- il correspond à l'une des exceptions prévues à l'article 69 de la loi Informatique et libertés, dont le champ d'application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l'objet d'un encadrement juridique spécifique (« BCR », clauses contractuelles types ou Safe Harbor).


Le responsable de traitement doit avoir préalablement informé les personnes concernées de l'existence de transfert de données vers des pays tiers, dans les conditions prévues par les dispositions de l'article 91 du décret du 20 octobre 2005 modifié.
S'il est satisfait à ces conditions et si le traitement, dont le transfert est issu, est par ailleurs conforme à l'ensemble des autres dispositions de la présente méthodologie de référence, l'engagement de conformité à celle-ci porte également autorisation du transfert envisagé en application de l'article 69 de la loi Informatique et libertés.