Réaliser sa demande d’autorisation auprès de la CNIL

Notre guide pour vous accompagner dans vos projets d’utilisation des données de santé nécessitant une autorisation de la CNIL

Partager
starter-kit

Toute personne ou structure, publique ou privée, à but lucratif ou non lucratif, peut accéder à des données personnelles de santé si elle est autorisée par la CNIL, seul organisme habilité à délivrer ce type d’autorisation. Sauf si les données sont parfaitement anonymes, auquel cas vous pouvez y accéder librement. Retrouvez ici, par exemple, les données ouvertes du SNDS produites par l’Assurance Maladie.

Si vous souhaitez réaliser une étude, une recherche ou une évaluation présentant un intérêt public, vous pouvez donc entamer une démarche de demande d’autorisation auprès de la CNIL.

Pour remplir votre demande, vous devrez identifier précisément les données que vous souhaitez mobiliser.  

Si vous voulez accéder à des données dont vous n’êtes pas le dépositaire, vous aurez besoin d’aide pour remplir les rubriques  “3.1 - Données requises”, “4.1 - Respect des droits des personnes concernées” et “4.2 - Confidentialité et sécurité des données” du protocole scientifique, qui est une pièce obligatoire du dossier. C’est pourquoi nous vous conseillons vivement de prendre contact avec les équipes en charge de ces données.

Si vous n’allez pas héberger vous-mêmes les données nécessaires pour votre projet, vous aurez besoin de l’aide du responsable du système d’information concerné pour remplir les rubriques “4.2.2 - Support des données” du protocole scientifique, pièce obligatoire du dossier. Il vous faut donc décider au plus tôt où seront traitées les données. Cela peut être dans votre propre système d’information, celui du Health Data Hub, de la CNAM ou un tiers. Choisissez notamment en fonction de l’offre logicielle disponible et du niveau de sécurité requis (conformité au référentiel de sécurité du SNDS s’agissant du SNDS par exemple)

Pour constituer votre dossier, vous devrez rassembler les pièces suivantes

Les pièces obligatoires à télécharger :

  • Un protocole scientifique type : ne seront recevables que les protocoles respectant l’ensemble des consignes de remplissage, et comprenant la totalité des informations demandées dans chaque parties.
  • Un résumé type​
  • La déclaration publique d'intérêt du responsable de traitement et du responsable de mise en œuvre​
  • La déclaration publique d’intérêt du laboratoire de recherche ou du bureau d’études
  • Le formulaire de demande d'autorisation de la CNIL pré-rempli ​
  • La lettre d’information des personnes concernées si applicables

Un protocole scientifique type
DOCX - 0,04 Mo
Un résumé type​
DOCX - 0,05 Mo
La déclaration publique d'intérêt - Responsable de traitement & Responsable de mise en œuvre
PDF - 0,13 Mo
La déclaration publique d'intérêt - Laboratoire de recherche ou bureau d'études
DOCX - 0,11 Mo
Le formulaire de demande d'autorisation de la CNIL pré-rempli
PDF - 0,93 Mo
Une lettre d'information aux personnes concernées
PDF - 0,05 Mo

En complément, d’autres pièces peuvent vous être demandées :

  • L’avis du ou des comités scientifiques et/ou éthiques qui ont pu évaluer le projet et la composition de ce(s) comité(s), le cas échéant​
  • La liste des financeurs de l’étude
  • Pour les données du SNDS, des éléments certifiant le bon niveau de sécurité du système d'information où elles seront traitées et une analyse d'impact

Ressources utiles :

 

Déposez votre demande d'autorisation sur cette plateforme

Téléchargez le kit en une seule fois (à venir)

Pour vous aider, nous avons rassemblé toutes les pièces utiles dans un kit, avec un guide d’accompagnement (à venir)

le-cesrees

Découvrez le CESREES

Comprendre le rôle du CESREES et de ses avis dans les projets utilisant des données de santé

déposer-un-dossier

Intérêt public

Notre guide pour vous aider à identifier si votre projet poursuit bien l’intérêt public