Modification de l'équipe projet concernée par le traitement |
Modifications envisagées
|
Modification considérée comme substantielle |
Modification considérée comme non substantielle |
Responsable de traitement
|
Changement de l’identité du responsable de traitement, ajout d'un responsable conjoint de traitement.
|
|
Destinataires ou catégories de destinataires de données
|
Nouvelle catégorie de destinataires (partenaire industriel, académique, autorité publique).
|
Changement de personnes physiques accédant aux données (changement de personnel chez un sous-traitant, changement au sein de l'équipe du promoteur ou des professionnels qui interviennent dans le projet (investigateur, ARC, TEC)).
|
Modification de la finalité du traitement |
Finalité du traitement
|
Ajout d'une finalité ou, s'agissant d'un projet de recherche, d'un objectif complémentaire
|
Précisions / clarifications des finalités initiales
|
Modification porte sur les caractéristiques du traitement |
Nature des données |
Ajout d'une nouvelle catégorie de données traitées particulières non prévues initialement :
- données sensibles (santé, biométrie, génétique, vie ou orientation sexuelle, origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale)
- données administratives d'identification (nom, prénom, coordonnées, date de naissance complète) ; ou
- données particulières (NIR, données d'infraction, condamnation, mesures de sûreté, nationalité).
|
Collecte de données supplémentaires sans modification des catégories de données dont la collecte était prévue initialement. |
Origine des données |
Ajout d'une nouvelle source de données (base médico-administrative, cohorte, entrepôt de données, dossiers médicaux, questionnaires avec ajout de catégories de données non prévues, etc.). |
Ajout ou retrait d'un ou quelques centres participants sans modification du circuit du données. |
Mise en relation avec d'autres traitements |
Appariements avec de nouvelles sources de données (ex. : système national des données de santé, base médico-administrative). |
Recours à de nouvelles sources de données qui ne présentent pas de caractère personnel (données anonymes, open data, etc.). |
Personnes concernées |
Ajout d’une catégorie particulière de personnes concernées (mineurs, majeurs protégés, personnes hors d'état d'exprimer leur consentement, personnes privées de liberté, personnes faisant l'objet de soins psychiatriques).
Augmentation conséquente du nombre de personnes concernées (augmentation de plus de la moitié du nombre de personnes prévues initialement).
|
Ajustement des critères d’inclusion ou d’exclusion (sauf nouvelle catégorie de personnes concernées).
Augmentation non conséquente du nombre d’inclusions (augmentation de moins de la moitié du nombre de personnes prévues initialement).
|
Modification des droits des personnes concernées |
Modalités d'exercice des droits |
Restriction des modalités d’exercice des droits par rapport à ce qui était prévu initialement. |
Changement de fonction, d’adresse, d’e-mail ou de numéro de téléphone de la personne ou du service auprès duquel s’exerce les droits, sous réserve que la modalité était prévue initialement.
|
Modification des durées du traitement |
Durée de la collecte, du traitement, de conservation / archivage |
Allongement conséquent de la durée de la collecte, du traitement, de la conservation et / ou de la durée d’archivage des données (ex : allongement de la durée de conservation de plus de la moitié de la durée initialement prévue). |
Mise à jour du calendrier d’une l’étude, allongement négligeable de la durée du traitement, de la durée de conservation et / ou de l’archivage (ex : allongement de la durée de conservation de moins de la moitié de la durée initialement prévue).
Le responsable de traitement doit documenter précisément le caractère négligeable. |
Modification concernant la confidentialité et la sécurité des données |
Dispositions prises pour assurer la sécurité des traitements de données |
Une modification des mesures techniques et organisationnelles susceptible d’affaiblir la sécurité des données |
Une modification des mesures techniques et organisationnelles maintenant ou augmentant la sécurité des données |
Modification portant sur des transferts de données hors de l'Union Européenne |
Transfert de données hors de l’Union européenne |
Encadrement du transfert autrement que par une décision d’adéquation (article 45 du RGPD) ou des garanties appropriées (article 46 du RGPD) telles que des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou encore un mécanisme de certification).
|
Encadrement du transfert par une décision d’adéquation (article 45 du RGPD) ou des garanties appropriées (article 46 du RGPD) telles que des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou encore un mécanisme de certification). |