Articles

Article AUTONOME (Délibération n° 2016-263 du 21 juillet 2016 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement exprès ou écrit de la personne concernée (MR-003))

Article AUTONOME (Délibération n° 2016-263 du 21 juillet 2016 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement exprès ou écrit de la personne concernée (MR-003))


Seules des données anonymes ou indirectement identifiantes des personnes se prêtant à la recherche peuvent faire l'objet d'un transfert hors de l'Union européenne.
Les données à caractère personnel des professionnels de santé intervenant dans la recherche peuvent faire l'objet d'un transfert hors de l'Union européenne, lorsque ce transfert est strictement nécessaire à la mise en œuvre de la recherche ou à l'exploitation de ses résultats dans un pays qui le requiert, dans les conditions d'encadrement rappelées ci-après.
Tout transfert des données vers un pays non membre de l'Union européenne doit s'opérer conformément aux dispositions spécifiques de la loi précitée relatives aux transferts internationaux de données, notamment en son article 69.
Il est satisfait à ces dispositions lorsque l'une des conditions suivantes est réunie :


- le transfert s'effectue à destination d'un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d'un organisme appliquant les modalités et utilisant les outils approuvés par la Commission européenne pour la finalité du traitement concerné ;
- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l'adoption de règles internes d'entreprise (dénommées « BCR »), dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant ;
- il correspond à l'une des exceptions prévues à l'article 69 de la loi informatique et libertés, dont le champ d'application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l'objet d'un encadrement juridique spécifique (BCR, clauses contractuelles types ou modalités et outils approuvés par la Commission européenne).


Le responsable de traitement doit avoir préalablement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des droits qui leurs sont reconnus par la loi informatique et libertés ainsi que de leurs modalités d'exercice.
S'il est satisfait à ces conditions et si le traitement dont le transfert est envisagé est par ailleurs conforme à l'ensemble des autres dispositions de la présente méthodologie de référence, l'engagement de conformité à celle-ci porte également autorisation du transfert envisagé en application de l'article 69 de la loi informatique et libertés.