Publicité en cours de chargement...
Transfert de données de santé personnelles hors UE : attention à vos analyses d’impact !
Écouter l'article

Pour rappel, conformément au RGPD, tout organisme qui exporte des données à caractère personnel en dehors de l’UE ou de l’EEE, doit évaluer le niveau de protection des données offert par le pays de destination et ce, peu important l’outil de transfert (clauses contractuelles types, règles d’entreprise contraignantes…) auquel il a recours. Cette évaluation doit déterminer si, au regard des lois et pratiques de ce pays de destination, l’implémentation de mesures supplémentaires s’impose.
Le 31 janvier dernier, la CNIL a publié la version finale d’un guide visant justement à aider les organismes à procéder à une telle évaluation, dénommée « analyse d’impact des transferts de données » ou « AITD ».
Dans quel cas réaliser une AITD et qui s’en charge ?
Selon la CNIL, une AITD doit être réalisée par l’exportateur de données soumis au RGPD, « qu’il soit responsable du traitement ou sous-traitant », transférant des données à caractère personnel hors UE/EEE, sauf si le transfert se fonde sur une décision d’adéquation ou l’une des dérogations listées à l’article 49 du RGPD.
Lorsqu’un responsable du traitement dans l’UE, fait appel à un sous-traitant dans l’UE qui procède à un transfert hors UE/EEE de données personnelles, il appartient à ce sous-traitant de réaliser l’AITD. Dans cette hypothèse, le responsable du traitement doit vérifier l’AITD et, si nécessaire, la compléter.
Force est de constater que la réalisation d’une AITD s’impose ainsi dans de nombreux cas et selon un périmètre qui peut être relativement large dans la mesure où est concerné l’ensemble des flux de données (transferts ultérieurs compris).
Concrètement comment procéder à une AITD ?
Selon la CNIL, la méthodologie à suivre repose sur 6 étapes :
-
- Etape 1 : la description du transfert ;
- Etape 2 : l’identification et la documentation de l’outil d’encadrement du transfert ;
- Etape 3 : l’évaluation de la législation et des pratiques en vigueur dans le pays de destination, ainsi que l’efficacité de l’outil de transfert ;
- Etape 4 : le recensement des mesures de sécurité techniques, contractuelles et organisationnelles permettant d’assurer un niveau de protection des données suffisant et d’identifier les mesures supplémentaires qui doivent être mises en œuvre pour assurer un niveau de protection « essentiellement équivalent » à celui de l’EEE ;
- Etape 5 : la mise en œuvre des mesures supplémentaires qui s’imposent, au moyen d’un plan d’actions ;
- Etape 6 : la réévaluation à intervalles appropriés du niveau de protection.
L’AITD requiert ainsi, en particulier au regard de l’Etape 3, de s’intéresser de près à la législation et aux pratiques du pays de destination (textes applicables en matière de protection des données, droits des personnes concernées, lois permettant aux autorités publiques d’obtenir la divulgation de données, etc.).
La CNIL ne mentionne pas de ressource susceptible d’aider le responsable du traitement dans une telle tâche qui peut s’avérer délicate, exceptée l’aide du sous-traitant importateur, qui peut être sollicitée. En effet, le sous-traitant est tenu, selon l’article 28 du RGPD, de transmettre au responsable du traitement les informations permettant de démontrer le respect des obligations qui lui incombent.
Il convient donc d’observer, sans plus tarder, ce nouveau guide de la CNIL ! Bien que non obligatoire, ce guide constitue un modus operandi permettant de se conformer à la règlementation en matière de transfert hors UE/EEE des données de santé à caractère personnel et, plus généralement, des données à caractère personnel qui concernent votre activité.
À découvrir → Protection des données personnelles : mais que voulons-nous vraiment ?

Alexandre FIEVEÉ
Avocat associé – Derriennic Associés

Alice ROBERT
Avocat counsel – Derriennic Associés
Avez-vous apprécié ce contenu ?
A lire également.
Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.
22 sept. 2025 - 22:16,
Tribune
-Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique
22 sept. 2025 - 11:46,
Communiqué
- Speech Processing SolutionsSpeech Processing Solutions, leader mondial des solutions professionnelles de dictée sous la marque Philips, dévoile le Philips SpeechMike Ambient, un microphone intelligent de nouvelle génération qui place l’IA ambiante au service des soignants.

Computer Engineering propose de nouvelles fonctionnalités pour piloter les essais cliniques
17 fév. 2025 - 14:20,
Communiqué
- Computer EngineeringEn faisant évoluer son logiciel dédié aux essais cliniques, l’éditeur répond de façon encore plus précise aux attentes des pharmaciens hospitaliers.

Microsoft Dragon Copilot : le premier assistant vocal IA unifié pour le secteur de la santé
10 mars 2025 - 14:03,
Communiqué
- MicrosoftAujourd’hui, Microsoft dévoile Microsoft Dragon Copilot, le premier assistant vocal IA unifié qui permet de simplifier le travail de documentation clinique, de faciliter la recherche d’informations et d’automatiser des tâches. Avec un double objectif : améliorer le bien-être des soignants et l’expér...