Sous-traitance et transfert de données hors Union européenne : quelles limites pour la création d’un entrepôt de données de santé ?

A ce titre, le référentiel prévoit tout d’abord que « Seuls les entrepôts ayant recours à un sous-traitant relevant exclusivement des juridictions de l’Union européenne ou d’un pays considéré comme adéquat au sens de l’article 45 du RGPD sont conformes au présent référentiel ». 

Cette formulation « relevant exclusivement des juridictions de l’Union européenne » commence à être familière des lecteurs des décisions de la CNIL, qui l’avait déjà évoqué dans son avis concernant l’hébergement de la plateforme Health Data Hub par Microsoft. On comprend que la CNIL entend s’assurer que les prestataires auxquels recourent les responsables de traitement ne soient pas soumis à une demande d’accès aux données de l’entrepôt formulée par une juridiction d’un pays tiers, sur la base d’une législation d’un pays tiers ayant une portée extraterritoriale en matière d’accès aux données à caractère personnel, tels que les deux réglementations américaines relatives à la sécurité nationale, la section 702 du FISA et le décret présidentiel Executive Order 12333. La CNIL appelle ainsi les acteurs mettant en place de tels entrepôts à s’assurer, non pas de la nationalité de leurs prestataires, ni de la localisation de l’hébergement des bases de données, mais de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tiers les obligeant à leur transférer des données. 

Concernant le périmètre des juridictions auquel les prestataires peuvent relever, celui-ci porte sur un territoire très limité, à savoir ceux qui relèvent exclusivement des 45 juridictions suivantes : (i) des pays de l’Espace économique européen (c’est-à-dire les 27 pays de l’Union européenne ainsi que la Norvège, le Lichtenstein, l’Islande et la Suisse),  (ii) ou des pays reconnus comme adéquats par la Commission européenne (14 pays actuellement). 

L’analyse précédemment évoquée doit conduire à la certitude que le prestataire auquel le responsable de traitement entend recourir ne sera pas soumis, même partiellement, à des demandes d’accès formulées par une juridiction autre que celle des 45 pays évoqués ci-dessus, permettant à des autorités d’un pays tiers d’accéder aux données de l’entrepôt. 

On comprend donc que cette exigence posée par le référentiel de la CNIL en quelques lignes est loin d’être négligeable et nécessitera un travail conséquent pour le responsable de traitement dans le choix de ses prestataires ; l’illustration du Health Data Hub et la difficulté à respecter l’engagement du gouvernement à retirer l’hébergement et l’exploitation des données de santé des Français à Microsoft d’ici deux ans est un parfait exemple.

Par ailleurs, ce référentiel a une approche visant à limiter de manière très stricte les transferts de données en dehors de l’Union européenne, en considérant un transfert comme « tout accès distant aux données depuis l’extérieur du territoire européen ». On comprend dès lors que n’importe quel accès est concerné, y compris lorsqu’une personne se connecte à distance pour accéder aux données ou lorsque des « transferts résiduels » dans le cadre d’opérations de maintenance sont réalisés. De plus, il ressort du référentiel que les décisions d’adéquation rendues par la Commission européenne sont les seules garanties autorisées pour transférer des données d’un entrepôt vers un pays tiers, ce qui écarte par exemple le recours aux clauses contractuelles types.

Si ce référentiel représente une véritable opportunité pour les responsables de traitement de simplifier leurs formalités lors de la création d’un entrepôt de données de santé, il n’en reste pas moins que ce nouveau référentiel est une invitation à modifier les habitudes en matière de sous-traitance et de flux transfrontières, aussi bien pour les responsables de traitement, que pour les prestataires. 

Les auteurs

Forte d’une solide formation en droit des TIC, Laurence Huin a développé une expertise juridique et technique en matière de projets numériques.
Elle rejoint le Cabinet Houdart & Associés en septembre 2020 et est associée au sein du pôle Santé numérique.
Elle est ainsi régulièrement sollicitée auprès des acteurs du numérique pour les conseiller et les assister dans leurs problématiques contractuelles et pré-contentieuses (mise en conformité à la réglementation en matière de données personnelles, rédaction et négociation de contrats sur des projets, sécurisation juridique de projets, régulation des contenus et e-reputation). [email protected] | www.houdart.org 

Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.
Son parcours lui a permis de se former au droit du numérique, en propriété intellectuelle et en droit des contrats.
Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur la mise en conformité à la règlementation sur la protection des données à caractère, la rédaction et la négociation de contrats, les problématiques juridiques en matière de propriété intellectuelle. [email protected] | www.houdart.org