Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Transfert de données de santé personnelles hors UE : attention à vos analyses d’impact !

06 mars 2025 - 12:57,
Tribune - Alice Robert et Alexandre Fievée, Derriennic Associées

Écouter l'article

0:000:00
Illustration Transfert de données de santé personnelles hors UE : attention à vos analyses d’impact !
En tant qu’acteurs du secteur de la santé, vous êtes certainement amenés à réaliser des transferts de données de santé à caractère personnel hors UE/EEE, ne serait-ce, par exemple, que pour des raisons de gestion informatique externe (support d’un applicatif, etc.). Or, de tels transferts sont strictement encadrés par le RGPD. Le sujet pouvant être épineux, la CNIL a récemment finalisé et publié un guide sur les « analyses d’impact » à opérer pour ce type de transferts . Retour sur ce guide aux implications pratiques non négligeables…

Pour rappel, conformément au RGPD, tout organisme qui exporte des données à caractère personnel en dehors de l’UE ou de l’EEE, doit évaluer le niveau de protection des données offert par le pays de destination et ce, peu important l’outil de transfert (clauses contractuelles types, règles d’entreprise contraignantes…) auquel il a recours. Cette évaluation doit déterminer si, au regard des lois et pratiques de ce pays de destination, l’implémentation de mesures supplémentaires s’impose.

Le 31 janvier dernier, la CNIL a publié la version finale d’un guide visant justement à aider les organismes à procéder à une telle évaluation, dénommée « analyse d’impact des transferts de données » ou « AITD ».

Dans quel cas réaliser une AITD et qui s’en charge ?

Selon la CNIL, une AITD doit être réalisée par l’exportateur de données soumis au RGPD, « qu’il soit responsable du traitement ou sous-traitant », transférant des données à caractère personnel hors UE/EEE, sauf si le transfert se fonde sur une décision d’adéquation ou l’une des dérogations listées à l’article 49 du RGPD.

Lorsqu’un responsable du traitement dans l’UE, fait appel à un sous-traitant dans l’UE qui procède à un transfert hors UE/EEE de données personnelles, il appartient à ce sous-traitant de réaliser l’AITD. Dans cette hypothèse, le responsable du traitement doit vérifier l’AITD et, si nécessaire, la compléter.

Force est de constater que la réalisation d’une AITD s’impose ainsi dans de nombreux cas et selon un périmètre qui peut être relativement large dans la mesure où est concerné l’ensemble des flux de données (transferts ultérieurs compris).

Concrètement comment procéder à une AITD ?

Selon la CNIL, la méthodologie à suivre repose sur 6 étapes :

    • Etape 1 : la description du transfert ;
    • Etape 2 : l’identification et la documentation de l’outil d’encadrement du transfert ;
    • Etape 3 : l’évaluation de la législation et des pratiques en vigueur dans le pays de destination, ainsi que l’efficacité de l’outil de transfert ;
    • Etape 4 : le recensement des mesures de sécurité techniques, contractuelles et organisationnelles permettant d’assurer un niveau de protection des données suffisant et d’identifier les mesures supplémentaires qui doivent être mises en œuvre pour assurer un niveau de protection « essentiellement équivalent » à celui de l’EEE ;
    • Etape 5 : la mise en œuvre des mesures supplémentaires qui s’imposent, au moyen d’un plan d’actions ;
    • Etape 6 : la réévaluation à intervalles appropriés du niveau de protection.

L’AITD requiert ainsi, en particulier au regard de l’Etape 3, de s’intéresser de près à la législation et aux pratiques du pays de destination (textes applicables en matière de protection des données, droits des personnes concernées, lois permettant aux autorités publiques d’obtenir la divulgation de données, etc.).

La CNIL ne mentionne pas de ressource susceptible d’aider le responsable du traitement dans une telle tâche qui peut s’avérer délicate, exceptée l’aide du sous-traitant importateur, qui peut être sollicitée. En effet, le sous-traitant est tenu, selon l’article 28 du RGPD, de transmettre au responsable du traitement les informations permettant de démontrer le respect des obligations qui lui incombent.

Il convient donc d’observer, sans plus tarder, ce nouveau guide de la CNIL !  Bien que non obligatoire, ce guide constitue un modus operandi permettant de se conformer à la règlementation en matière de transfert hors UE/EEE des données de santé à caractère personnel et, plus généralement, des données à caractère personnel qui concernent votre activité.

À découvrirProtection des données personnelles : mais que voulons-nous vraiment ?

photo de FIEVEÉ
Alexandre FIEVEÉ
photo de ROBERT
Alice ROBERT

Avez-vous apprécié ce contenu ?

A lire également.

Illustration En direct de SantExpo. Pour une sortie d’hospitalisation coordonnée et sécurisée : la promesse de Careside, la plateforme d'orchestration des parcours de santé

En direct de SantExpo. Pour une sortie d’hospitalisation coordonnée et sécurisée : la promesse de Careside, la plateforme d'orchestration des parcours de santé

22 mai 2025 - 18:09,

Actualité

- Pauline Nicolas, DSIH

Plateforme d’orchestration de services humains et digitaux pour les parcours de santé, Careside démontre sa capacité à répondre à un enjeu crucial pour les établissements de santé : la sécurisation des sorties d’hospitalisation. Autre point fort à relever dans cette agora, Careside s’inscrit dans la...

Illustration Les avantages de lier les rétrocessions au Dossier Pharmaceutique

Les avantages de lier les rétrocessions au Dossier Pharmaceutique

22 mai 2025 - 10:30,

Communiqué

- Computer Engineering

En développant un lien direct entre son logiciel Rétro et le Dossier Pharmaceutique du patient, l’éditeur Computer Engineering améliore la sécurisation de la dispensation des médicaments rétrocédés. Et les équipes hospitalières gagnent du temps…

Illustration Un logiciel pour mieux comptabiliser le temps de travail des internes : le CHU de Poitiers sommé d’agir

Un logiciel pour mieux comptabiliser le temps de travail des internes : le CHU de Poitiers sommé d’agir

04 mars 2025 - 07:31,

Actualité

- DSIH, Damien Dubois

Plusieurs syndicats d’internes en médecine saluent la décision du tribunal administratif de Poitiers, rendue le 20 février 2025, qui impose au CHU de se doter d’un logiciel pour assurer un suivi précis des heures de travail effectuées par chaque interne, dans un délai de trois mois.

Illustration Microsoft Dragon Copilot : le premier assistant vocal IA unifié pour le secteur de la santé

Microsoft Dragon Copilot : le premier assistant vocal IA unifié pour le secteur de la santé

10 mars 2025 - 14:03,

Communiqué

- Microsoft

Aujourd’hui, Microsoft dévoile Microsoft Dragon Copilot, le premier assistant vocal IA unifié qui permet de simplifier le travail de documentation clinique, de faciliter la recherche d’informations et d’automatiser des tâches. Avec un double objectif : améliorer le bien-être des soignants et l’expér...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.