Remarques liminaires

La présente étude sera réalisée dans plusieurs pays (Allemagne, Autriche, Belgique, Danemark, Irlande, Pays-Bas, Suède, Pologne, Espagne, Royaume-Uni, Canada, Etats-Unis, Inde, Italie, Suisse et France).

Avis des comités

La présente étude a notamment fait l’objet :

• d’un avis favorable du Comité de protection des personnes Ouest V du 22 avril 2024,
• d’un avis favorable de l’Institutional Review Board (IRB) Advarra du 22 avril 2024.

Points de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception des destinataires des données, s’agissant des modalités du contrôle qualité par une société de recherche contractuelle pour le volet de l’étude réalisée aux Etats-Unis.

En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Modalités de contrôle qualité pour le volet de l’étude réalisée aux Etats-Unis

Deux centres investigateurs situés aux Etats-Unis interviennent en qualité de sous-traitants pour les données collectées en leur sein auprès des participants américains inclus dans l’étude :

• le MD Anderson Children’s Hospital
• le Stanford Cancer Institute.

Pour ces deux centres, les opérations de contrôle qualité seront réalisées à distance par un attaché de recherche clinique (ARC) intervenant également en qualité de sous-traitant. Le traitement des

données mis en œuvre par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique conformément à l’article 28 du RGPD.

Les participants seront informés de la mise en œuvre de ce contrôle

qualité à distance.

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au traitement envisagé.

Il s’est notamment assuré que le système informatique supportant

les opérations de contrôle qualité pour les deux centres investigateurs situés aux Etats-Unis :

• est en conformité avec la règlementation locale applicable, notamment la norme « 21 CFR Part 11 » ;
• a fait l’objet d’une certification par un audit indépendant de la conformité des mesures de sécurité.

Le responsable de traitement devra s’assurer du respect des exigences de sécurité à toutes les étapes du traitement opérées par les différents organismes participants.

La CNIL rappelle par ailleurs que les mesures de sécurité prévues doivent répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD. A cet égard ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Par ailleurs, le responsable de traitement reste pleinement responsable du niveau de sécurité effectif du traitement mis en œuvre et les textes applicables lui imposent d’être en mesure de justifier de sa conformité à tout moment.

Information et droits des personnes

Tous les participants à l’étude recevront une note d’information individuelle.

Les deux titulaires de l’exercice de l’autorité parentale recevront également une note d’information individuelle en vue de la participation de leur enfant mineur à l’étude.

Durées de conservation des données

Les échantillons biologiques seront conservés pendant quinze ans à compter de la fin de l’étude puis seront supprimés.

Autres données  :

Base active : sept ans et six mois

Archivage : vingt-cinq ans.

Transfert de données en dehors de l’UE

Le responsable de traitement prévoit de transférer certaines données à caractère personnel des participants à l’étude au Royaume-Uni, en Suisse et au Japon, pays dont la législation a été reconnue comme offrant un niveau de protection adéquat conformément aux dispositions de l’article 45 du RGPD.

S’agissant des autres transferts de données pseudonymisées, prenant en considération l’arrêt C-311/18 rendu par la Cour de justice de l’Union européenne le 16 juillet 2020, la CNIL rappelle que tout transfert de données en dehors de l’Union européenne doit être réalisé selon les conditions prévues au Chapitre V du RGPD.

Lorsque ce transfert s’effectue à destination d’un pays n’assurant pas un niveau de protection suffisant, celui doit être réalisé moyennant des garanties appropriées (clauses contractuelles types, règles d’entreprise contraignantes, code de conduite, mécanisme de certification)En l’espèce, le responsable de traitement envisage d’encadrer les transferts de données vers le Canada, l’Inde et les Etats-Unis par la conclusion de clauses contractuelles types telles que prévues par la décision 2021/914 de la Commission européenne du 4 juin 2021.

La CNIL attire l’attention du responsable de traitement sur le fait qu’il lui incombe d’évaluer si le niveau de protection requis par le droit de l’UE est respecté en Inde, au Canada et aux Etats-Unis afin que les garanties fournies par les clauses contractuelles types puissent être respectées. Le cas échéant, ces clauses contractuelles ne pourront constituer des garanties appropriées au sens du chapitre V du RGPD qu’à la condition d’avoir été complétées par des mesures supplémentaires afin de garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen.

Les responsables de traitement sont également tenus de s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Sur la réutilisation des données et des échantillons biologiques

Toute nouvelle étude qui serait mise en œuvre à partir des échantillons et des données recueillies devra faire l’objet de formalités auprès de la CNIL.