juripole information juridique
informatique juridique droit de l'informatique

CNIL - Recherches biomédicales - Méthodologie de référence

Méthodologie de référence de la CNIL pour les recherches biomédicales


Mots-clés : 

CNIL, Recherches biomédicales, Méthodologie de référence

Date : 

5 avril 2006

La CNIL a publié en janvier 2006 une méthodologie de référence permettant aux responsables de recherches biomédicales qui respectent cette méthodologie de procéder à des formalités simplifiées auprès de la CNIL.

Le document adopté par la CNIL encadre bien entendu le traitement de données personnelles concernant les patients, mais également celui des données personnelles concernant les investigateurs.

Cette méthodologie de référence est réservée aux seules recherches biomédicales au sens de l'article L. 1121-1 et suivants du Code de la santé publique, sont notamment exclus de cette méthodologie :

  • les recherches qui mettent en oeuvre un traitement comportant l'identité complète des patients,


  • la pharmacovigilance,


  • les recherches épidémiologiques (sauf si elles constituent des recherches biomédicales au sens des articles 1121-1 et suivants du Code de la santé publique),


  • les recherches portant sur l'étude des comportements,


  • les recherches génétiques qui ont pour objet d'identifier les personnes par leurs caractéristiques génétiques,


  • les autorisations temporaires d'utilisation telles que définies à l'article L. 5121-12 du Code de la santé publique.


La méthodologie pose des conditions de traitement des données qui, si elles sont respectées, permettent de procéder aux formalités simplifiées auprès de la CNIL. Les conditions posées par la CNIL sont notamment les suivantes :

  • les recherches biomédicales, pour pouvoir faire l'objet de procédures simplifiées ne doivent pas contenir de données directement personnelles, les patients doivent en effet uniquement par le biais d'un numéro d'ordre ou d'un code alphanumérique ;


  • les données personnelles traitées doivent obligatoirement être collectées directement auprès des patients et des investigateurs ;


  • les catégories de données personnelles qu'il est possible de collecter, les fonctions des traitements, les catégories de personnes mettant en oeuvre le traitement, ainsi que les catégories de personnes pouvant avoir accès au traitement sont strictement énumérées.


Par ailleurs, la méthodologie de référence impose une mention d'information et de recueil de consentement des personnes que les responsables de recherche doivent reprendre.

Pour pouvoir procéder à la formalité simplifiée, les responsables de recherche doivent s'engager à répondre aux demandes d'accès dans un délai maximal de 2 mois.

La méthodologie fixe également une durée de conservation des données, ainsi que des mesures de sécurités minimales. Parmi les mesures de sécurité que doivent mettre en oeuvre les responsables des recherches, la CNIL impose l'établissement d'une politique de confidentialité, de protection et de sécurisation des données, avec la mise en place de formations et d'un système de documentation qui trace ces formations.

En ce qui concerne les transferts de données hors de l'Union Européenne, la CNIL indique que seules les informations codées ou anonymes pourront être transférées hors de l'Union Européenne dans le cadre de la méthodologie.

Si les responsables de recherches respectent l'ensemble des conditions posées par la méthodologie de référence, ils pourront procéder à une simple déclaration de conformité à la méthodologie pour la totalité des recherches qu'ils conduisent (et non plus comme auparavant à une procédure pour chacune des recherches mise en oeuvre).

En revanche, s'ils n'entrent pas dans le cadre des conditions posées par la méthodologie, ils devront procéder à une demande d'avis auprès du Comité consultatif, suivie d'une demande d'autorisation auprès de la CNIL conformément aux dispositions des articles 53 et suivants de la loi Informatique et libertés.



Hélène Lebon

Avocat à la Cour

Retour à la liste des articles

droit informatique droit de l'informatique
formation contrats informatiques