Le décret n° 2019-536 du 29 mai 2019 complète la nouvelle réglementation « informatique et libertés » et abroge le décret n° 2005-1309 du 20 octobre 2005. Il a principalement pour objectif de mettre en conformité le droit français au règlement général sur la protection des données (RGPD). Ce décret permet d’harmoniser les règles de procédure devant la Commission nationale de l’informatique et des libertés (CNIL), notamment pour les demandes d’avis pour lesquelles elle dispose d’un délai de deux mois, à compter de la date du jour de la réception de la demande. En cas d’urgence, il est ramené à un mois à la demande du gouvernement.
Une grande partie de ce décret a pour objet le traitement des données à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé (article 88 et suivants). Il doit avoir un caractère d’intérêt public. Une procédure stricte est indiquée concernant les demandes d’autorisation de traitement. En effet, le décret précise les modalités de saisine, la composition et le fonctionnement du comité d’expertise, du comité d’audit du système national des données de santé et des comités de protection des personnes et traite des modalités d’information des personnes concernées : ces dernières « sont informées de la réutilisation possible de leurs données, préalablement rendues non directement identifiantes (…), ainsi que de leurs droits ».