Dans les cas prévus à l'article 76 de la loi du 6 janvier 1978 susvisée, les dossiers de demande d'autorisation de traitement de données à caractère personnel ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé sont signés par la personne qui a qualité pour représenter le responsable de traitement.

Ils sont déposés soit auprès de la Commission nationale de l'informatique et des libertés, après avis du comité compétent de protection des personnes en application du 1° de l'article 76 de la loi du 6 janvier 1978 susvisée, soit auprès du secrétariat unique confié, conformément au 2° de l'article L. 1462-1 du code de la santé publique, à la Plateforme des données de santé.

Les dossiers déposés auprès du secrétariat unique sont transmis dans un délai maximal de sept jours ouvrés au comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé pour rendre un avis sur le projet.

Chaque dossier déposé auprès du secrétariat unique mentionné à l'article 88 doit comporter :

1° L'identité, l'adresse, les titres, expériences, fonctions et déclarations d'intérêt en lien avec l'objet de la recherche du responsable du traitement et du responsable de la recherche, de l'étude ou de l'évaluation, ainsi que, le cas échéant, l'identité et l'adresse du commanditaire de la recherche, de l'étude ou de l'évaluation et de la personne publique qui en a fait la demande. Si ces responsables ou commanditaires ne sont établis ni sur le territoire national, ni sur celui d'un autre Etat membre de l'Union européenne, sont indiquées l'identité, l'adresse et les fonctions de leur représentant au sein de l'Union européenne.

Les missions ou l'objet social de l'organisme concerné sont également précisés ;

2° Les catégories de personnes qui seront appelées à mettre en œuvre le traitement ainsi que celles qui auront accès aux données ;

3° La méthodologie de l'étude ou de l'évaluation ou le protocole de recherche, indiquant notamment l'objectif du traitement de données à caractère personnel, les catégories de personnes concernées par le traitement, l'origine, la nature et la liste des données à caractère personnel utilisées et la justification du recours à celles-ci, la durée et les modalités d'organisation de la recherche, de l'étude ou de l'évaluation, la méthode d'analyse des données, ainsi que, lorsque les caractéristiques de l'étude, de la recherche ou de l'évaluation l'exigent, la justification du nombre de personnes et la méthode d'observation ou d'investigation retenue ;

4° Le type de diffusion ou de publication des résultats de l'étude, de la recherche ou de l'évaluation par le demandeur ;

5° S'il y a lieu, les mesures d'information prévues en application du règlement (UE) 2016/679 du 27 avril 2016 susvisé et aux articles 58, 69 et 70 de la loi du 6 janvier 1978 susvisée ainsi que la justification de toute demande de dérogation à l'obligation d'information prévue à l'article 58 ;

6° Les caractéristiques du traitement, notamment la durée de conservation des données ;

7° Le cas échéant, la justification scientifique et technique de toute demande de dérogation à l'interdiction de conservation des données sous une forme nominative au-delà de la durée nécessaire à la recherche ;

8° Les avis rendus antérieurement par des instances scientifiques ou éthiques prévues par des dispositions législatives ou réglementaires ;

9° Les rapprochements ou interconnexions envisagés ou toute autre forme de mise en relation des informations ;

10° Les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ;

11° Le cas échéant, la mention de toute transmission de données à caractère personnel vers un Etat n'appartenant pas à l'Union européenne ;

12° Le cas échéant, la liste des traitements répondant aux caractéristiques prévues au IV de l'article 66 de la loi du 6 janvier 1978 susvisée. Le dossier précise, en ce cas, les catégories de données, les destinataires ou les catégories de destinataires et la justification du recours au mécanisme de la décision unique.

Le secrétariat unique vérifie que chaque dossier produit à l'appui d'une demande comporte tous les éléments énoncés ci-dessus.

Toute modification de ces éléments doit être portée à la connaissance du secrétariat susmentionné qui, le cas échéant, en fait part aux instances compétentes.

Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, mentionné au 2° de l'article 76 de la loi du 6 janvier 1978 susvisée et saisi par le secrétariat unique mentionné à l'article 88 du présent décret, émet un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s'il y a lieu, sur la pertinence scientifique et éthique du projet. Le cas échéant, le comité recommande aux demandeurs des modifications de leur projet afin de le mettre en conformité avec les obligations prévues par la loi du 6 janvier 1978 susvisée.

L'avis rendu par le comité est motivé.

Dès que le comité a rendu son avis, celui-ci est notifié au secrétariat unique, par tout moyen permettant de dater la réception de cette notification.

L'avis rendu par le comité est transmis au demandeur de l'autorisation.

A l'expiration d'un délai d'un mois à compter de la date de réception du dossier complet par le comité, l'avis dudit comité est réputé favorable.

Le délai mentionné à l'alinéa précédent peut être prolongé une fois, pour une durée d'un mois supplémentaire, sur décision du président du comité.

En cas d'urgence, le délai mentionné au cinquième alinéa peut être ramené à quinze jours, dans les conditions prévues à l'article 100.

Lorsque le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé rend un avis favorable, le cas échéant de façon tacite, ou un avis favorable avec recommandations, réservé ou défavorable, le demandeur informe le secrétariat unique de sa volonté de saisir ou non la Commission nationale de l'informatique et des libertés. Il peut rectifier ou compléter son dossier de demande d'autorisation sur les points qui ont fondé le refus, les réserves ou les recommandations du comité.

Lorsque le demandeur a informé le secrétariat de sa volonté que la commission soit saisie, le secrétariat unique susmentionné transmet sans délai le dossier produit à l'appui de la demande accompagné des avis rendus, ou de l'avis de réception ou du récépissé de la demande d'avis lorsque ce comité a rendu un avis tacitement favorable, à la commission, qui se prononce dans les conditions prévues au V de l'article 66 de la loi du 6 janvier 1978 susvisée.

Le secrétariat unique informe le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé des suites données à son avis.

Le secrétariat unique tient à la disposition du demandeur de l'autorisation, les informations relatives à l'état d'avancement de l'instruction de son dossier jusqu'à l'autorisation rendue par la commission.

Lorsqu'il est saisi par le président de la Commission nationale de l'informatique et des libertés ou par le ministre chargé de la santé, en application du second alinéa de l'article 72 de la loi du 6 janvier 1978 susvisé, de la question du caractère d'intérêt public d'un traitement de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation faisant l'objet d'une demande d'autorisation, le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé se prononce dans le délai d'un mois. Le secrétariat unique mentionné à l'article 88 informe le demandeur que le comité a été saisi de cette question. L'avis est transmis à l'auteur de la saisine et au demandeur.

Lorsque le comité examine, dans les conditions prévues à l'article 90, le dossier d'une demande d'autorisation relative à un traitement de données à caractère personnel concernant des recherches n'impliquant pas la personne humaine, une étude ou une évaluation, il peut, de sa propre initiative, se prononcer dans son avis sur le caractère d'intérêt public de ce traitement.

Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, qui siège auprès des ministres chargés de la santé et de la recherche, comprend, outre son président :

1° Trois personnalités qualifiées désignées par le ministre chargé de la santé ;

2° Trois personnalités qualifiées désignées par le ministre chargé de la recherche ;

3° Un expert proposé par la Caisse nationale de l'assurance maladie ;

4° Un expert proposé par l'Institut national de la santé et de la recherche médicale ;

5° Un expert proposé par le Centre national de la recherche scientifique ;

6° Un expert proposé par l'Institut national de recherche en informatique et en automatique ;

7° Un expert proposé par l'Institut national de la statistique et des études économiques ;

8° Un expert proposé par la Conférence nationale des directeurs généraux de centres hospitaliers régionaux et universitaires ;

9° Un expert proposé par la Conférence des doyens des facultés de médecine ;

10° Un expert proposé par la Conférence des présidents d'universités ;

11° Un membre du Conseil d'Etat proposé par son vice-président ;

12° Un représentant du Comité consultatif national d'éthique, proposé par celui-ci ;

13° Un représentant du service interministériel des archives de France, proposé par ce service ;

14° Deux représentants de l'Union nationale des associations agréées d'usagers du système de santé prévue par l'article L. 1114-6, proposés par celle-ci ;

15° Une personne représentant les acteurs privés du domaine de la santé.

Le président et les membres du comité sont nommés par arrêté conjoint du ministre chargé de la santé et du ministre chargé de la recherche pour une durée de cinq ans renouvelable une fois. En cas de démission ou de décès, ils sont remplacés pour la durée restant à courir de leur mandat.

Les personnalités qualifiées et les experts sont choisis en raison de leurs compétences en matière éthique ou juridique, en matière de recherche dans les domaines de la santé, de l'épidémiologie, de la génétique, de la biostatistique ou des sciences humaines et sociales ou en matière de traitements algorithmiques ou de traitements de données à caractère personnel dans le domaine de la santé.

Le comité élit en son sein un vice-président.

Le comité peut faire appel à des experts extérieurs désignés par le président du comité. Ces experts sont soumis aux obligations prévues par l'article L. 1452-3 du code de la santé publique. Le comité peut également solliciter des représentants des organismes qui détiennent les données concernées par les demandes de traitement.

Les membres du comité et les experts extérieurs sont tenus au secret professionnel.

Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé est saisi, préalablement à la saisine de la Commission nationale de l'informatique et des libertés, de toute demande de mise en œuvre des traitements de données à caractère personnel ayant pour finalités la recherche, l'étude ou l'évaluation dans le domaine de la santé et n'impliquant pas la personne humaine, conformément au 2° de l'article 76 de la loi du 6 janvier 1978 susvisée.

Conformément au second alinéa de l'article 72 de la loi du 6 janvier 1978 susvisée, le comité peut se prononcer sur le caractère d'intérêt public d'un traitement de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé à la demande du président de la Commission nationale informatique et libertés ou du ministre chargé de la santé, ou de sa propre initiative lorsqu'il examine, dans les conditions prévues à l'article 90, le dossier d'une demande d'autorisation relative à un traitement de données à caractère personnel. Il peut également être consulté par les ministères concernés, par la commission, par la Plateforme des données de santé et par les organismes publics et privés qui ont recours à des traitements de données à caractère personnel dans ce domaine.

Le sens de l'avis rendu par le comité est publié par la Plateforme des données de santé. Pour les traitements autorisés par la commission, la motivation de l'avis du comité est publiée par la Plateforme des données de santé à la fin de la recherche, de l'étude ou de l'évaluation.

I.-Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé ne peut valablement siéger que si la moitié au moins de ses membres est présente. Il rend ses avis à la majorité des membres présents. En cas de partage égal des voix, celle du président est prépondérante. Les séances du comité ne sont pas publiques.

II.-Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé adopte un règlement intérieur qui définit les modalités de son fonctionnement Ce règlement intérieur peut notamment prévoir des procédures sans débat pour les traitements similaires à ceux que le comité a déjà examinés, c'est-à-dire des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques. Il est approuvé par arrêté conjoint du ministre chargé de la santé et du ministre chargé de la recherche.

Le président peut déléguer sa signature à un membre du comité éthique et scientifique nommément désigné.

Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé peut entendre le responsable du traitement ou son représentant.

Les membres du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, y compris son président et son vice-président, et les experts extérieurs auxquels il fait appel reçoivent, dans l'exercice de leur mission, une indemnité dont le montant est fixé par arrêté du ministre chargé de la santé. Ils ont droit, en outre, au remboursement des frais qu'occasionne l'exécution de leur mission, dans les conditions prévues par le décret du 3 juillet 2006 susvisé.

Les dossiers, rapports, délibérations et avis sont conservés par le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé dans des conditions assurant leur confidentialité, pendant une durée maximale de dix ans, avant leur versement aux Archives nationales.

Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé établit un rapport annuel d'activité qui est adressé au ministre chargé de la recherche, au ministre chargé de la santé, des affaires sociales et de la sécurité sociale et au président de la Commission nationale de l'informatique et des libertés.

En cas d'urgence, le ministre chargé de la recherche ou le ministre chargé de la santé, des affaires sociales et de la sécurité sociale peut demander au comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé de statuer dans un délai qui peut être réduit à quinze jours. Il en informe le demandeur et le secrétariat unique.

Le comité d'audit prévu à l'article 77 de la loi du 6 janvier 1978 susvisée est présidé par le haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales qui peut déléguer cette fonction au fonctionnaire de sécurité des systèmes d'information des ministères chargés des affaires sociales et de la santé.

Le comité d'audit est composé :

1° Du directeur de la recherche, des études, de l'évaluation et des statistiques ou son représentant ;

2° Du délégué à la stratégie des systèmes d'information de santé ou son représentant ;

3° Du directeur de la Caisse nationale d'assurance maladie, responsable du traitement du système national des données de santé, ou son représentant ;

4° Du directeur de l'Agence technique de l'information sur l'hospitalisation ou son représentant ;

5° Du directeur de l'Institut national de la santé et de la recherche médicale ou son représentant ;

6° Du directeur de la Caisse nationale de solidarité pour l'autonomie ou son représentant ;

7° De représentants des organismes d'assurance maladie complémentaire ;

8° Du président de la Plateforme des données de santé, responsable du traitement du système national des données de santé, ou de son représentant ;

9° D'une personne représentant les acteurs privés du domaine de la santé ;

10° D'une personnalité qualifiée.

Les personnes mentionnées aux 7°, 9° et 10° sont désignées par arrêté du ministre chargé des affaires sociales et de la santé, sur proposition du président du comité d'audit.

Le président de la Commission nationale de l'informatique et des libertés ou son représentant assiste au comité d'audit en tant qu'observateur.

Le comité d'audit se réunit au moins deux fois par an sur convocation de son président.

Sur la base des orientations arrêtées par le comité d'audit, son président décide des audits à réaliser chaque année sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation et sur les systèmes composant le système national des données de santé.

La stratégie d'audit ainsi que la programmation des audits sont transmises par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.

Les audits sont réalisés par des prestataires indépendants.
Si le périmètre de l'audit implique des données médicales individuelles, le prestataire retenu doit prévoir la présence d'un médecin auprès des auditeurs pour tous les aspects de l'audit concernant ces données.
Le président du comité d'audit suit la mise en œuvre des audits et en rend compte au comité.
Le comité d'audit et le prestataire fondent leur action sur une charte d'audit définie par arrêté du ministre chargé des affaires sociales et de la santé pris après avis de la Commission nationale de l'informatique et des libertés.

Le président du comité d'audit envoie une notification à l'entité auditée pour l'avertir de l'audit. Cette notification rappelle notamment l'objet de la mission, l'identité des auditeurs, la procédure d'audit, le droit d'opposition à l'audit de l'entité auditée qui peut s'exercer à tout moment ainsi que les délais et les voies de recours de l'entité auditée.
Si l'entité auditée fait état de son droit d'opposition à l'audit, les auditeurs alertent aussitôt le président du comité d'audit qui en informe sans délai le président de la Commission nationale de l'informatique et des libertés.
Les auditeurs ont accès de 8 heures à 20 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre des traitements de données à caractère personnel, à l'exclusion des parties de ceux-ci affectés au domicile privé.
Pour l'exercice de leurs missions, les auditeurs peuvent demander communication de tous documents, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles. Les auditeurs peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
Les auditeurs peuvent procéder à toute constatation utile. Les auditeurs peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles. Les auditeurs peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
En cas de difficultés lors de l'audit, l'entité auditée peut saisir le président du comité d'audit afin qu'il s'assure de la conformité du comportement du prestataire et de ses auditeurs aux exigences découlant de la loi du 6 janvier 1978 susvisée, du présent décret, de la charte d'audit mentionnée à l'article 102 et des clauses du marché public sur le fondement duquel ils interviennent.

L'audit donne lieu à un rapport qui est transmis, pour contradiction, à l'entité auditée. Ce rapport rappelle l'objet de la mission, les membres de celle-ci, les personnes rencontrées, le cas échéant leurs déclarations, les demandes formulées par les auditeurs ainsi que les éventuelles difficultés rencontrées. Les manquements et dysfonctionnements constatés par les auditeurs à la loi du 6 janvier 1978 susvisée et aux dispositions du code de la santé publique relatives au système national des données de santé sont consignés dans ces rapports ainsi que les recommandations en découlant.
Le rapport est signé par les auditeurs. Il est envoyé, après validation par le président du comité d'audit, par ce dernier par lettre recommandée avec accusé de réception à l'entité auditée.
Lorsque l'audit conduit à l'accès à des données médicales individuelles, le médecin désigné par le prestataire consigne dans un rapport les vérifications qu'il a faites sans faire état des données médicales individuelles auxquelles il a eu accès. Le rapport, après validation par le président du comité d'audit, est transmis par ce dernier par lettre recommandée avec accusé de réception à l'entité contrôlée.
L'entité auditée dispose d'un délai d'un mois pour répondre à compter de la réception des rapports. Ses réponses doivent comporter un plan d'action et un calendrier de mise en œuvre de ses actions.
Au vu des réponses de l'entité auditée, de son plan d'action et de son calendrier de mise en œuvre, les auditeurs formalisent des rapports définitifs. Ces rapports définitifs sont signés par les auditeurs et le président du comité d'audit, après validation par ce dernier. Ils sont envoyés aux entités auditées par lettre recommandée avec accusé de réception par le président du comité d'audit.
Les rapports définitifs sont systématiquement transmis au président de la Commission nationale de l'informatique et des libertés, et à tous les corps de contrôle qui en font la demande.
L'intégralité des pièces justificatives sont transmises par les auditeurs au président du comité d'audit.

Les entités auditées rendent compte au président du comité d'audit et aux auditeurs de la mise en œuvre de leur plan d'action tous les six mois ou selon le calendrier arrêté par les parties. Les entités auditées doivent fournir à cette occasion tout document justifiant de cette mise en œuvre.
Le président du comité d'audit et les auditeurs suivent la mise en œuvre de ces plans d'action.

Le président du comité d'audit rend compte annuellement au ministre chargé des affaires sociales et de la santé ainsi qu'au comité stratégique de la stratégie d'audit du comité d'audit, des audits réalisés, du niveau global de maîtrise des opérations, des problèmes significatifs constatés ainsi que des recommandations formulées pour respecter la législation en vigueur, les référentiels et réduire les risques.
Le président du comité d'audit présente les principales conclusions et recommandations des audits au comité d'audit.

La composition et le fonctionnement des comités de protection des personnes sont fixés par les articles R. 1123-1 et suivants du code de la santé publique.