La documentation de mise en conformité réglementaire des projets

France Cohortes a élaboré une série de documents visant à accompagner les porteurs de projets dans leur mise en conformité, dans le cadre de l'application des exigences réglementaires en matière de protection des données et de conformité à la législation en vigueur (RGPD, Loi Informatique et Libertés, Code de la santé publique, recommandations de la CNIL…).

La documentation réalisée par France Cohortes a pour objectif de garantir un cadre juridique et opérationnel clair, facilitant la gestion des données tout en assurant leur protection.

Ces documents sont des modèles destinés à aider les porteurs de projets de cohortes dans leurs démarches réglementaires. Une fois complétés par ces derniers, la validation officielle de leur contenu devra être effectuée par le service compétent dont dépend l'unité du porteur de projet.

France Cohortes est disponible pour toute clarification ou accompagnement dans leur application.

Pour demander un modèle de document, contacter : lucia.pacheco[a]inserm.fr

Convention de mise à disposition des données dans France Cohortes (Data Access Agreement)

Dans le cadre d’une réutilisation de données à caractère personnel pour une finalité différente de celle pour laquelle elles ont été collectées (traitement ultérieur), une formalité contractuelle est recommandée afin de garantir la conformité au Règlement Général sur la Protection des Données (RGPD) et au Code de la Santé Publique (CSP), notamment lorsque les données sont fournies à une entité autre que le Responsable du traitement initial (Inserm).

Nous avons rédigé un modèle de convention DAA qui encadre les droits et obligations du Responsable du traitement du projet initial (Fournisseur) et du Responsable du traitement du projet ultérieur (Bénéficiaire), ainsi que les modalités de mise à disposition via la plateforme de France Cohortes.

Note : Ce document repose sur le guide pratique "Contrats et données à caractère personnel à l'Inserm" et la trame concernant la réutilisation de données proposés par la Direction des affaires juridiques de l’Inserm.

Conditions générales d'utilisation (CGU)

Les Conditions Générales d’Utilisation (CGU) du système d’information de France Cohortes définissent les règles d'utilisation de la plateforme ainsi que les droits et obligations des utilisateurs et de France Cohortes. Tout utilisateur souhaitant accéder aux données d’un projet hébergée dans France cohortes et dûment autorisé, devra signer ce document. Les CGU couvrent notamment :

les principes d'accès et d'utilisation des données ;
les engagements en matière de confidentialité et de protection des données ;
les responsabilités des utilisateurs et de l'organisme gestionnaire de la plateforme.

Modèle d'Analyse d'Impact sur la Protection des Données (AIPD)

Le modèle d'Analyse d'Impact sur la Protection des Données (AIPD), rédigé par la direction à la protection des données (DPD) de l'Inserm et enrichi par France Cohortes, accompagne les porteurs de projets dans la réalisation d'une AIPD lorsque le traitement des données présente un risque élevé pour les droits et libertés des personnes concernées.

Cette AIPD est accompagnée d’un « Guide pour la rédaction d’une AIPD dans le domaine de la recherche en santé ».

Modèle d'Analyse d'Impact sur la Protection des Données (AIPD) avec appariement au SNDS

Ce modèle propose différents schémas d’appariement des données au SNDS au sein de la plateforme France Cohortes et la description de leur traitement, conformément aux dispositions réglementaires, notamment le référentiel SNDS.

Trame concernant le traitement de données personnelles provenant d’une biobanque

Lorsque le projet de recherche implique l’intégration de données personnelles provenant d’une biobanque, le traitement de données au sein de la plateforme de France Cohortes doit respecter le cadre réglementaire applicable, dont le référentiel SNDS. Nous avons élaboré un schéma de flux de données et la description de ce traitement permettant l’inclusion des données provenant d’une biobanque dans notre plateforme sans porter atteinte aux droits des personnes.

Cette trame peut être ajouté à votre AIPD et communiquée à la CNIL si votre projet envisage un tel traitement de données.

Modèle d'Analyse d'Impact sur la Protection des Données (AIPD) simplifiée pour la réutilisation des données des cohortes hébergées dans France Cohortes (MR004)

Ce modèle rédigé par la DPD Inserm et enrichi par France Cohortes, accompagne les porteurs de projets dans la réalisation d’une AIPD simplifiée lorsque le traitement concerne une RNIPH et il est conforme à la Méthodologie de référence 004.

Cette AIPD est accompagnée d’une « Check-list de conformité des recherches n’impliquant pas la personne humaine (MR-004) et d’un « Guide pour la rédaction d’une AIPD simplifiée dans le domaine de la recherche en santé ».

Guide AIPS avec méthodologie de référence

Checklist d'identification d'un nouveau traitement de données

Ce formulaire permet de déterminer si un projet constitue un nouveau traitement de données ou un traitement ultérieur (réutilisation) nécessitant des nouvelles démarches réglementaires auprès des autorités compétentes (CPP, CESREES, CNIL) et la rédaction d’une nouvelle AIPD.

Check-list d'évaluation d'une nouveau traitement des données à caractère personnel dans une cohorte

La mise à disposition de ces document se fait dans le cadre d'un accompagnement de service réalisé par la personne en charge de l'appui réglementaire.

Consulter les services proposés par le service d'appui réglementaire