Les traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé sont régis par les dispositions du chapitre IX de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment par son article 54 ci-après reproduit :
Art. 54.-Pour chaque demande de mise en œuvre d'un traitement de données à caractère personnel, un comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé, institué auprès du ministre chargé de la recherche et composé de personnes compétentes en matière de recherche dans le domaine de la santé, d'épidémiologie, de génétique et de biostatistique, émet un avis sur la méthodologie de la recherche au regard des dispositions de la présente loi, la nécessité du recours à des données à caractère personnel et la pertinence de celles-ci par rapport à l'objectif de la recherche, préalablement à la saisine de la Commission nationale de l'informatique et des libertés.
Le comité consultatif dispose d'un mois pour transmettre son avis au demandeur.A défaut, l'avis est réputé favorable. En cas d'urgence, ce délai peut être ramené à quinze jours.
Le président du comité consultatif peut mettre en œuvre une procédure simplifiée.
La mise en œuvre du traitement de données est ensuite soumise à l'autorisation de la Commission nationale de l'informatique et des libertés, qui se prononce dans les conditions prévues à l'article 25.
Pour les catégories les plus usuelles de traitements automatisés ayant pour finalité la recherche dans le domaine de la santé et portant sur des données ne permettant pas une identification directe des personnes concernées, la commission peut homologuer et publier des méthodologies de référence, établies en concertation avec le comité consultatif ainsi qu'avec les organismes publics et privés représentatifs, et destinées à simplifier la procédure prévue aux quatre premiers alinéas du présent article.
Ces méthodologies précisent, eu égard aux caractéristiques mentionnées à l'article 30, les normes auxquelles doivent correspondre les traitements pouvant faire l'objet d'une demande d'avis et d'une demande d'autorisation simplifiées.
Pour les traitements répondant à ces normes, seul un engagement de conformité à l'une d'entre elles est envoyé à la commission. Le président de la commission peut autoriser ces traitements à l'issue d'une procédure simplifiée d'examen.
Pour les autres catégories de traitements, le comité consultatif fixe, en concertation avec la Commission nationale de l'informatique et des libertés, les conditions dans lesquelles son avis n'est pas requis.
Les manquements aux obligations relatives à la mise en œuvre de traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé sont sanctionnés dans les conditions prévues par les dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal, notamment par son article 226-19-1.