Publicité en cours de chargement...
Transfert de données de santé personnelles hors UE : attention à vos analyses d’impact !
Écouter l'article

Pour rappel, conformément au RGPD, tout organisme qui exporte des données à caractère personnel en dehors de l’UE ou de l’EEE, doit évaluer le niveau de protection des données offert par le pays de destination et ce, peu important l’outil de transfert (clauses contractuelles types, règles d’entreprise contraignantes…) auquel il a recours. Cette évaluation doit déterminer si, au regard des lois et pratiques de ce pays de destination, l’implémentation de mesures supplémentaires s’impose.
Le 31 janvier dernier, la CNIL a publié la version finale d’un guide visant justement à aider les organismes à procéder à une telle évaluation, dénommée « analyse d’impact des transferts de données » ou « AITD ».
Dans quel cas réaliser une AITD et qui s’en charge ?
Selon la CNIL, une AITD doit être réalisée par l’exportateur de données soumis au RGPD, « qu’il soit responsable du traitement ou sous-traitant », transférant des données à caractère personnel hors UE/EEE, sauf si le transfert se fonde sur une décision d’adéquation ou l’une des dérogations listées à l’article 49 du RGPD.
Lorsqu’un responsable du traitement dans l’UE, fait appel à un sous-traitant dans l’UE qui procède à un transfert hors UE/EEE de données personnelles, il appartient à ce sous-traitant de réaliser l’AITD. Dans cette hypothèse, le responsable du traitement doit vérifier l’AITD et, si nécessaire, la compléter.
Force est de constater que la réalisation d’une AITD s’impose ainsi dans de nombreux cas et selon un périmètre qui peut être relativement large dans la mesure où est concerné l’ensemble des flux de données (transferts ultérieurs compris).
Concrètement comment procéder à une AITD ?
Selon la CNIL, la méthodologie à suivre repose sur 6 étapes :
-
- Etape 1 : la description du transfert ;
- Etape 2 : l’identification et la documentation de l’outil d’encadrement du transfert ;
- Etape 3 : l’évaluation de la législation et des pratiques en vigueur dans le pays de destination, ainsi que l’efficacité de l’outil de transfert ;
- Etape 4 : le recensement des mesures de sécurité techniques, contractuelles et organisationnelles permettant d’assurer un niveau de protection des données suffisant et d’identifier les mesures supplémentaires qui doivent être mises en œuvre pour assurer un niveau de protection « essentiellement équivalent » à celui de l’EEE ;
- Etape 5 : la mise en œuvre des mesures supplémentaires qui s’imposent, au moyen d’un plan d’actions ;
- Etape 6 : la réévaluation à intervalles appropriés du niveau de protection.
L’AITD requiert ainsi, en particulier au regard de l’Etape 3, de s’intéresser de près à la législation et aux pratiques du pays de destination (textes applicables en matière de protection des données, droits des personnes concernées, lois permettant aux autorités publiques d’obtenir la divulgation de données, etc.).
La CNIL ne mentionne pas de ressource susceptible d’aider le responsable du traitement dans une telle tâche qui peut s’avérer délicate, exceptée l’aide du sous-traitant importateur, qui peut être sollicitée. En effet, le sous-traitant est tenu, selon l’article 28 du RGPD, de transmettre au responsable du traitement les informations permettant de démontrer le respect des obligations qui lui incombent.
Il convient donc d’observer, sans plus tarder, ce nouveau guide de la CNIL ! Bien que non obligatoire, ce guide constitue un modus operandi permettant de se conformer à la règlementation en matière de transfert hors UE/EEE des données de santé à caractère personnel et, plus généralement, des données à caractère personnel qui concernent votre activité.
À découvrir → Protection des données personnelles : mais que voulons-nous vraiment ?

Alexandre FIEVEÉ
Avocat associé – Derriennic Associés

Alice ROBERT
Avocat counsel – Derriennic Associés
Avez-vous apprécié ce contenu ?
A lire également.

Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine
01 juil. 2025 - 00:42,
Actualité
- Propos recueillis par Pauline NicolasLa création d’une plateforme digitale en anatomopathologie entre les trois CHU de Nouvelle-Aquitaine afin d’améliorer la prise en charge des patients et faciliter l’accès aux expertises entre différents établissements de santé reflète l’ambition et les objectifs du projet eNovA-Path qui se déploie a...

Un nouveau Comex pour le Conseil du numérique en santé
30 juin 2025 - 23:46,
Actualité
- Damien Dubois, DSIHLe 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Un logiciel pour mieux comptabiliser le temps de travail des internes : le CHU de Poitiers sommé d’agir
04 mars 2025 - 07:31,
Actualité
- DSIH, Damien DuboisPlusieurs syndicats d’internes en médecine saluent la décision du tribunal administratif de Poitiers, rendue le 20 février 2025, qui impose au CHU de se doter d’un logiciel pour assurer un suivi précis des heures de travail effectuées par chaque interne, dans un délai de trois mois.

Microsoft Dragon Copilot : le premier assistant vocal IA unifié pour le secteur de la santé
10 mars 2025 - 14:03,
Communiqué
- MicrosoftAujourd’hui, Microsoft dévoile Microsoft Dragon Copilot, le premier assistant vocal IA unifié qui permet de simplifier le travail de documentation clinique, de faciliter la recherche d’informations et d’automatiser des tâches. Avec un double objectif : améliorer le bien-être des soignants et l’expér...