Skip to main content

Le nouveau cadre transatlantique de protection des données cliniques

L’histoire d’(dés)amour(s) entre l’Union Européenne et les États-Unis sur la protection des données cliniques dure depuis si longtemps que nous pourrions pratiquement en faire un film.

Commençons par retourner dans le temps. A l’aube des années 2000, un ensemble de principes appelé « Safe Harbor », avait été mis en place afin de permettre à certaines entreprises américaines de certifier qu’elles étaient conformes à la législation de l’Union européenne. Cette certification leur permettait donc d’obtenir l’autorisation de transfert pour les données cliniques de l’Union européenne vers les Etats-Unis.  

Le cadre transatlantique et son histoire de protection de données

En 2015, le Safe Harbor a été invalidé par la Cour de Justice de l’Union Européenne aux motifs que la législation américaine, permettant « aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques, doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée ». Ainsi, le niveau de protection adéquat des données à caractère personnel n’était pas garanti.  

En 2016, c’est au tour du Privacy Shield de venir tenter d’encadrer les transferts de données de l’Union européenne vers les États-Unis. Le Privacy Shield était un bouclier de protection des données, lui aussi approuvé par la Commission européenne, par la formule : « Les garanties pour le transfert des données sur la base de la nouvelle protection des données UE-États-Unis protègent selon les normes de protection des données dans l’U.E. » 

A l’instar de son grand frère, le Privacy Shield a été invalidé en 2020 par la Cour de Justice de l’Union Européenne. Dès lors, depuis cette date, nous étions dans un vide entre nécessité de transfert de données vers les Etats-Unis, dans la mesure où l’utilisation même d’un ordinateur suppose pratiquement systématiquement le transfert de données vers les Etats-Unis (par l’utilisation d’outils tels que Microsoft, Dropbox…), et complexité dans l’encadrement de celui-ci. Pendant les deux dernières années, « transfert de données vers les États-Unis » rimait alors, le plus souvent avec « clauses contractuelles types ». 

Les personnes qui ont lu cet article ont lu aussi  {:fr}Loi Jardé: en pratique le CPP et l'ANSM{:}{:en}Jardé law, in practice: The IRB and the ANSM{:}

Nouvelle décision d’adéquation en faveur des Etats-Unis

Or, le 10 juillet 2023 (date d’entrée en application), la Commission européenne a adopté une nouvelle décision d’adéquation en faveur des États-Unis, considérant qu’ils assurent désormais un niveau de protection de données équivalent à celui de l’Union européenne. Dès lors, dans certaines conditions, transfert de données personnelles vers ce pays pourra donc désormais s’effectuer sans exigences supplémentaires (et donc, sans avoir besoin de mettre en place des clauses contractuelles types).  

Comme pour le Privacy Shield, le choix d’un mécanisme d’auto-certification a été fait. C’est-à-dire que les entreprises étasuniennes peuvent s’auto-certifier afin de déclarer qu’elles sont conformes aux obligations et y adhèrent. Ce faisant, elles s’engagent publiquement et annuellement.  

Une fois auto-certifiées, elles seront ensuite inscrites sur la Liste du Département du Commerce étatsunien. Ainsi, seul le transfert de données vers des organismes inscrits sur cette liste entre dans le mécanisme d’adéquation et permet d’être dispensé de la mise en œuvre de tout autre transfert. Le transfert s’effectue alors comme n’importe quel transfert entre deux pays de l’Union européenne, par exemple.  

Attention : cela ne dispense pas de réaliser les autres obligations du RGPD (registres de traitement, information…). 

 La recherche clinique est également concernée par ce cadre, car les essais cliniques se concentrent sur les données à caractère personnel (informations sur les patients…)

A ce jour, ce sont presque 2500 organismes qui sont déjà inscrits sur cette liste, dont Microsoft, META, ou encore Dropbox. Vous pourrez retrouver la liste complète du Département du Commerce étatsunien à l’adresse suivante : https://www.dataprivacyframework.gov/s/participant-search.  

Les personnes qui ont lu cet article ont lu aussi  After the MR-001, the MR-002... procession statement biomedical research

Pour l’industrie pharmaceutique, il peut être intéressant de se reporter à la liste afin de choisir les prestataires conformes, ce qui évitera d’alourdir la charge administrative – et donc, les coûts – d’une étude.  

Il est à noter que cette décision d’adéquation reste applicable jusqu’à sa modification, son remplacement ou son abrogation par la Commission européenne, le cas échéant. La CNIL indique tout de même qu’une première revue aura lieu dans un an, et que selon le résultat de ce premier examen, la Commission décidera, en consultation avec les États membres, de la périodicité des revues suivantes, qui ne pourra pas excéder 4 ans. 

Nous ne sommes donc pas encore à l’abri d’une nouvelle invalidation… Jamais deux sans trois ? 

Si tu as aimé cet article, je te remercie de « liker » ou de partager avec tes collègues et amis Attaché de Recherche Clinique :)

Laisser un commentaire