Données de santé : vers le recours obligatoire à des sous-traitants européens

Données de santé : vers le recours obligatoire à des sous-traitants européens

Plusieurs récentes décisions confirment l’obligation, en matière de données de santé, de recourir à des sous-traitants relevant exclusivement des juridictions de l’Union européenne. Maître Laurence Huin, avocate du Cabinet Houdart & Associés, fait le point sur la question.

Premier jalon : l’arrêt Schrems II

L’arrêt Schrems II,du nom de l’activiste autrichien militant pour la protection des données, à l’origine déjà de l’invalidation du Safe Harbor, a radicalement changé la situation du recours à des solutions d’hébergement fournies par des acteurs étatsuniens.

Cette décision, rendue par la Cour de Justice de l’Union européenne en juillet 2020, avait retenu, au regard de deux réglementations américaines relatives à la sécurité nationale (la section 702 du FISA et l’Executive Order 12333) que le droit étatsunien n’assure pas un niveau de protection essentiellement équivalent au droit européen relatif à la protection des données. Dès lors, la décision d’adéquation 2016/1250 du Privacy Shield fut invalidée et des mesures additionnelles furent imposées à tout responsable de traitement recourant aux clauses contractuelles types pour assurer la légalité d’un transfert de données vers les Etats-Unis.

Deuxième jalon : l’ordonnance de référé du Conseil d’Etat relative au Health Data Hub

L’ordonnance de référé du Conseil d’Etat du 13 octobre 2020 relative au Health Data Hub  a reconnu qu’il existait un risque que les services de renseignement américains demandent l’accès à des données hébergées sur des serveurs aux Pays Bas auprès d’acteurs soumis au droit américain, en l’espèce Microsoft, et ce, en contradiction avec les dispositions du RGPD (articles 28 et 48 notamment).

Troisième jalon : l’interprétation a contrario de la décision du Conseil d’Etat relative au partenariat avec Doctolib

Bien que la décision du Conseil d’Etat, en date du 12 mars dernier, ait rejeté la demande formulée par différentes associations et syndicats professionnels de suspendre en référé le partenariat conclu entre le ministère de la Santé et Doctolib, il est tentant de considérer cette décision comme un nouveau jalon vers une interdiction de recourir, en matière de données de santé, à des sous-traitants ne relevant pas des juridictions de l’Union européenne.

Alors que les requérants reprochaient à Doctolib le choix d’héberger les données collectées pour la gestion de prise de rendez-vous de vaccination contre la Covid-19 auprès de la filiale luxembourgeoise de la société américaine Amazon Web Services, le juge des référés les a déboutés en retenant notamment que les données collectées dans le cadre de la gestion des rendez-vous de vaccination sur internet ne concernaient pas des données de santé.

Dès lors, par une interprétation a contrario, cette décision confirme ainsi l’absolue nécessité, en matière de données de santé, de recourir à des sous-traitants qui relèvent exclusivement des juridictions de l’Union européenne.

La confirmation attendue de la CNIL

Enfin, la CNIL, dans son projet de référentiel relatif aux entrepôts de données de santé, soumis à consultation publique le 8 mars dernier et dont une nouvelle version sera adoptée définitivement prochainement, indiquait à son article 11 relatif aux sous-traitants que :« Seuls les entrepôts ayant recours à un sous-traitant relevant exclusivement des juridictions de l’Union européenne sont conformes au présent référentiel ».

En attendant la confirmation de la position de la CNIL, qui pour rappel, n’a pas retenu la même conclusion dans son référentiel relatif au médico-social,adopté le 11 mars dernier, il sera utile pour tous les acteurs traitant des données de santé d’adopter des prérequis dans le choix de leurs prestataires, et ce, afin de retenir des sous-traitants qui relèvent exclusivement des juridictions de l’Union européenne.

                         laurence huin carre

 

À lire aussi

Retrouvez toutes nos actualités dans la newsletter

Pour vous abonner à notre newsletter, veuillez svp saisir votre adresse email dans le formulaire ci-dessous et cliquer sur le bouton « Envoyer » :

* Champ obligatoire

Vous pouvez consulter notre politique de confidentialité.

Vous pouvez mettre à jour vos préférences d’abonnement.