Délibération n° 2019-057 du 9 mai 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires

JO du 18 juillet 2019

Ce texte est pris en application de l’article 66 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui donne pouvoir à la Commission nationale de l’informatique et des libertés (CNIL) d’établir des référentiels s’appliquant aux traitements de données à caractère personnel relevant du domaine de la santé.

Il adopte le référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires.

Il précise que toute modification d’un traitement régulièrement constitué avant l’entrée en vigueur du référentiel et qui y serait conforme impose aux responsables de traitement concernés de procéder à une déclaration de conformité.

Ce référentiel encadre exclusivement les traitements de données à caractère personnel :

* constitués pour gérer les vigilances sanitaires mentionnées dans l’arrêté du 27 février 2017 fixant la liste des catégories d’événements sanitaires indésirables pour lesquels la déclaration ou le signalement peut s’effectuer au moyen du portail de signalement des événements sanitaires indésirables ;
* et mis en œuvre par des fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit.

Les traitements conformes à ce référentiel peuvent être mis en œuvre sous réserve d’une déclaration attestant de cette conformité. Les traitements qui ne sont pas conformes à ce référentiel doivent en revanche faire l’objet d’une autorisation préalable de la CNIL.