Publicité en cours de chargement...
Transfert de données de santé personnelles hors UE : attention à vos analyses d’impact !
Écouter l'article

Pour rappel, conformément au RGPD, tout organisme qui exporte des données à caractère personnel en dehors de l’UE ou de l’EEE, doit évaluer le niveau de protection des données offert par le pays de destination et ce, peu important l’outil de transfert (clauses contractuelles types, règles d’entreprise contraignantes…) auquel il a recours. Cette évaluation doit déterminer si, au regard des lois et pratiques de ce pays de destination, l’implémentation de mesures supplémentaires s’impose.
Le 31 janvier dernier, la CNIL a publié la version finale d’un guide visant justement à aider les organismes à procéder à une telle évaluation, dénommée « analyse d’impact des transferts de données » ou « AITD ».
Dans quel cas réaliser une AITD et qui s’en charge ?
Selon la CNIL, une AITD doit être réalisée par l’exportateur de données soumis au RGPD, « qu’il soit responsable du traitement ou sous-traitant », transférant des données à caractère personnel hors UE/EEE, sauf si le transfert se fonde sur une décision d’adéquation ou l’une des dérogations listées à l’article 49 du RGPD.
Lorsqu’un responsable du traitement dans l’UE, fait appel à un sous-traitant dans l’UE qui procède à un transfert hors UE/EEE de données personnelles, il appartient à ce sous-traitant de réaliser l’AITD. Dans cette hypothèse, le responsable du traitement doit vérifier l’AITD et, si nécessaire, la compléter.
Force est de constater que la réalisation d’une AITD s’impose ainsi dans de nombreux cas et selon un périmètre qui peut être relativement large dans la mesure où est concerné l’ensemble des flux de données (transferts ultérieurs compris).
Concrètement comment procéder à une AITD ?
Selon la CNIL, la méthodologie à suivre repose sur 6 étapes :
-
- Etape 1 : la description du transfert ;
- Etape 2 : l’identification et la documentation de l’outil d’encadrement du transfert ;
- Etape 3 : l’évaluation de la législation et des pratiques en vigueur dans le pays de destination, ainsi que l’efficacité de l’outil de transfert ;
- Etape 4 : le recensement des mesures de sécurité techniques, contractuelles et organisationnelles permettant d’assurer un niveau de protection des données suffisant et d’identifier les mesures supplémentaires qui doivent être mises en œuvre pour assurer un niveau de protection « essentiellement équivalent » à celui de l’EEE ;
- Etape 5 : la mise en œuvre des mesures supplémentaires qui s’imposent, au moyen d’un plan d’actions ;
- Etape 6 : la réévaluation à intervalles appropriés du niveau de protection.
L’AITD requiert ainsi, en particulier au regard de l’Etape 3, de s’intéresser de près à la législation et aux pratiques du pays de destination (textes applicables en matière de protection des données, droits des personnes concernées, lois permettant aux autorités publiques d’obtenir la divulgation de données, etc.).
La CNIL ne mentionne pas de ressource susceptible d’aider le responsable du traitement dans une telle tâche qui peut s’avérer délicate, exceptée l’aide du sous-traitant importateur, qui peut être sollicitée. En effet, le sous-traitant est tenu, selon l’article 28 du RGPD, de transmettre au responsable du traitement les informations permettant de démontrer le respect des obligations qui lui incombent.
Il convient donc d’observer, sans plus tarder, ce nouveau guide de la CNIL ! Bien que non obligatoire, ce guide constitue un modus operandi permettant de se conformer à la règlementation en matière de transfert hors UE/EEE des données de santé à caractère personnel et, plus généralement, des données à caractère personnel qui concernent votre activité.
À découvrir → Protection des données personnelles : mais que voulons-nous vraiment ?

Alexandre FIEVEÉ
Avocat associé – Derriennic Associés

Alice ROBERT
Avocat counsel – Derriennic Associés
Avez-vous apprécié ce contenu ?
A lire également.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Un logiciel pour mieux comptabiliser le temps de travail des internes : le CHU de Poitiers sommé d’agir
04 mars 2025 - 07:31,
Actualité
- DSIH, Damien DuboisPlusieurs syndicats d’internes en médecine saluent la décision du tribunal administratif de Poitiers, rendue le 20 février 2025, qui impose au CHU de se doter d’un logiciel pour assurer un suivi précis des heures de travail effectuées par chaque interne, dans un délai de trois mois.

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC
10 mars 2025 - 19:33,
Tribune
-Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...