Suite à l’entrée en vigueur du RGPD, la CNIL a adopté un nouveau référentiel intitulé « Vigilances sanitaires » à destination des fabricants, entreprises, exploitants et organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit mettant en œuvre des traitements de données de santé personnelles à des fins de gestion des vigilances sanitaires.

Ce référentiel unique est applicable à l’ensemble des vigilances sanitaires (pharmacovigilance, addictovigilance, biovigilance, cosmétovigilance, hémovigilance). S’agissant des démarches à effectuer auprès de la CNIL, deux cas de figure sont prévus :

- Soit le traitement répond à toutes les exigences fixées par le référentiel ; dans ce cas, les organismes n’ont pas à obtenir de la CNIL une autorisation. En effet, il leur suffit, avant de mettre en œuvre les traitements de données, de procéder à une déclaration de conformité en ligne.

- Soit le traitement ne répond pas aux exigences du référentiel ; dans ce cas, les organismes devront effectuer une demande d’autorisation auprès de la CNIL.

Toutefois à la suite de concertations, le choix a été fait d’exclure du référentiel les traitements de données à caractère personnel mis en œuvre par les professionnels et établissements de santé et par les agences sanitaires. Ces traitements considérés comme « des traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration des soins ou des traitements ou de la gestion des services de santé » devront néanmoins respecter les principes prévus par le RGPD.