{:fr}

Le séisme: invalidation du Privacy Shield et recherche clinique

Si vous souhaitez des outils de travail, ou vous former, ou être coacher, ou une réponse d’un juriste ou participer à des webinaires à ce sujet, rendez-vous sur www.pharmaspecific-training.com

si vous souhaitez de l’aide sur le RGPD au sein de votre structure, rendez-vous sur www.pharmaspecific.com

Transcription texte : Bonjour à tous, c’est Manon Durand, juriste santé au sein de l’entreprise Pharmaspecific. Aujourd’hui, on va aborder le thème de la protection des données personnelles à travers l’invalidation du privacy shield.

Puisque vous n’avez pas pu passer à côté cette information, le privacy shield a récemment été invalidée par la cour de justice de l’union européenne. Avant de commencer, je vous rappelle que vous pouvez retrouver l’ensemble de nos veilles juridiques sur notre site Pharmaspecific training pour vous tenir informé de l’actualité dans le domaine de la recherche clinique.

Si vous avez une question d’ordre juridique, vous pouvez également me solliciter à ce sujet sur la même plateforme pour obtenir une réponse. On commence donc tout de suite sur le sujet du jour.

Pour rappel, le privacy shield ou bouclier de protection des données était en accord dans le domaine du droit de la protection des données personnelles négocié entre 2015 et 2016 entre l’union européenne d’une part, et les États-Unis d’Amérique d’autre part. Le privacy shield se composait d’une série de dispositions qui réglementait la protection des données personnelles qui étaient transférées depuis un état membre de l’union vers les États-Unis, ce qui permettait en fait de transférer des données sans avoir besoin de recourir aux différents mécanismes de protection qui sont prévus aujourd’hui par le RGPD. Notamment, les clauses contractuelles types, les binding corporates rooms etc …

Le privacy shield avait d’ailleurs été lui-même mis en place à la suite de l’invalidation du safe harbor par la cour de justice de l’union européenne, qui en octobre 2015 avait rendu une première décision dans laquelle elle estimait que le safe harbor ne permettait pas d’assurer un niveau de protection adéquate. À la suite de cette décision, le privacy shield a donc été mis en place afin de pallier aux défaillances du safe harbor puisqu’il est venu ajouter des garanties supplémentaires pour les personnes concernées.

Mais la cour de justice a estimé dans un arrêt rendu le 16 juillet 2020 que le mécanisme du privacy shield ne permettait pas non plus de pallier les limitations du droit américain. Selon elle, le système du privacy shield n’était pas suffisamment indépendant vis-à-vis du pouvoir exécutif américain puisque les autorités publiques américaines peuvent avoir accès et utiliser les données personnelles qui sont transférées depuis l’union européenne. Tout cela découle en réalité du fait de l’adoption du cloud act en 2018 qui est une loi qui donne en fait toute légitimité aux entreprises américaines de transférer les données de leurs clients indépendamment de leur territoire d’hébergement à tout juge américain qui en ferait la demande sans que son propriétaire ni son pays de résidence ou le pays qui stocke les données en soit informé.

La cour de justice considère que ces accès et utilisation par les autorités américaines ne répondent donc pas à des exigences équivalentes à celles attendues en droit de l’union européenne par ce qu’on appelle le principe de proportionnalité car les programmes de surveillance fondée sur la réglementation américaine ne sont pas limités au strict nécessaire.

Donc, puisque le dispositif du privacy shield ne permet pas d’assurer un niveau de protection adéquate, la décision d’adéquation rendu en 2016 a alors été annulée par la cour de justice et les transferts de données personnelles ne peuvent donc plus être opérés librement vers des organismes qui sont situés sur le sol des États-Unis même s’il s’agit d’adhérents au privacy shield.

Alors, si vous devez opérer un transfert de données à caractère personnel vers une entreprise située sur le sol américain, vous devez vous munir de garanties suffisantes, notamment à l’aide des différents outils mis en place par le RGPD. En tant que chef de projet clinique, plusieurs vérifications sont donc à faire. Premièrement, il est nécessaire pour vous de faire un bilan des données personnelles qui peuvent relever de ce cas de figure, notamment, dans les cas où vous utilisez des outils dont l’hébergement est opéré sur les territoires des États-Unis.

Vous devez d’ailleurs être vigilant sur ce point parce que même les grosses plateformes comme Microsoft sont concernées par ces nouvelles règles. Vous devez donc vous renseigner sur les mesures adoptées par les hébergeurs de tous vos outils de travail et vérifier si leurs politiques de protection des données personnelles sont adaptés aux exigences du RGPD et si ce n’est pas le cas, vous tourner vers des solutions européennes. Ensuite, si vous êtes en lien avec une étude clinique dont le promoteur est situé aux États-Unis, vous devez vous assurer qu’aucun transfert de données qui seront recueillies dans l’union européenne comme les données patient contenues dans les cahiers d’observation par exemple ne sont opérées vers les États-Unis sans avoir mis en place des clauses contractuelles types avec ce promoteur.

Ces clauses contractuelles devront être très précises sur les mesures adoptées pour garantir la sécurité du transfert et je vous recommande d’ailleurs fortement de mettre en place une solution de cryptage pour de tels transferts. Vous avez également le site de la CNIL qui propose des modèles de clauses contractuelles types qui pourront vous servir de base pour mettre en place cet outil. Enfin, vous devez prendre contact avec le DPO de votre société afin de modifier les différents documents qui sont requis par la CNIL. Comme par exemple, les registres de traitement et les analyses d’impact pour les mettre en conformité avec les nouvelles mesures que vous aurez adoptées.

Voilà, vous êtes maintenant informés des raisons de l’invalidation du privacy shield et des conséquences pour votre entreprise et votre étude clinique. Pour toutes informations supplémentaires, n’hésitez pas à vous reporter à nos veilles juridiques ou à me solliciter pour un conseil juridique.

Merci à vous d’avoir écouté ce podcast et n’hésitez pas à le partager à ceux qui pourraient être intéressés par ce sujet. Quant à nous, on se retrouve bientôt pour un nouveau podcast.

{:}{:en}

The earthquake: Invalidating the Privacy Shield and clinical research (Now, what?)

If you need a service of a lawyer in France for better understand the french law contact us www.pharmaspecific.com Transcription : Hello everyone, this is Manon Durand, health lawyer with Pharmaspecific. Today, we are going to talk about the protection of personal data through the invalidation of the privacy shield. Since you couldn’t miss this information, the privacy shield has recently been invalidated by the Court of Justice of the European Union. Before starting, I would like to remind you that you can find all our legal information on our Pharmaspecific training website to keep you informed of the latest news in the field of clinical research. If you have a question of legal order, you can also ask me about it on the same platform to get an answer. So let’s start right away on the topic of the day. As a reminder, the privacy shield was agreed in the field of personal data protection law negotiated between 2015 and 2016 between the European Union on the one hand, and the United States of America on the other hand. The privacy shield consisted of a series of provisions that regulated the protection of personal data that was transferred from a member state of the union to the United States, which in fact made it possible to transfer data without having to resort to the various protection mechanisms that are provided for today by the GDPR. In particular, the standard contractual clauses, binding corporates rooms etc… The privacy shield had itself been put in place following the invalidation of the safe harbor by the European Court of Justice, which in October 2015 issued a first decision in which it considered that the safe harbor did not provide an adequate level of protection. Following this decision, the privacy shield was put in place to compensate for the failings of the safe harbor by adding additional guarantees for the individuals concerned. However, in a ruling handed down on July 16, 2020, the Court of Justice ruled that the privacy shield mechanism also did not make it possible to compensate for the limitations of U.S. law. According to the Court, the privacy shield system was not sufficiently independent from the US executive branch since US public authorities can access and use personal data transferred from the European Union. All this actually stems from the fact that the Cloud Act was passed in 2018, which is a law that in fact gives US companies full legitimacy to transfer their customers’ data independently of their hosting territory to any US judge who would request it without the owner or the country of residence or the country storing the data being informed. The Court of Justice considers that such access and use by the U.S. authorities therefore does not meet requirements equivalent to those expected under European Union law by what is known as the principle of proportionality, since surveillance programs based on U.S. regulations are not limited to what is strictly necessary. Therefore, since the privacy shield system does not ensure an adequate level of protection, the adequacy decision rendered in 2016 was then overturned by the Court of Justice and the transfers of personal data can therefore no longer be made freely to organizations located on US soil, even if they are members of the privacy shield. So, if you need to transfer personal data to a company located on U.S. soil, you must have sufficient guarantees, particularly with the help of the various tools put in place by the RGPD. As a clinical project manager, several verifications must therefore be made. First, it is necessary for you to make an assessment of the personal data that may fall under this scenario, particularly in cases where you use tools hosted in the United States. You must also be vigilant on this point because even large platforms like Microsoft are concerned by these new rules. You should therefore find out about the measures adopted by the hosters of all your work tools and check whether their personal data protection policies are adapted to the requirements of the RGPD and, if not, turn to European solutions. Then, if you are in connection with a clinical study whose sponsor is located in the United States, you must ensure that no transfer of data that will be collected in the European Union, such as patient data contained in the case report forms for example, is made to the United States without having put in place standard contractual clauses with this sponsor. These contractual clauses should be very precise on the measures adopted to guarantee the security of the transfer and I strongly recommend that you put in place an encryption solution for such transfers. You also have the site of the CNIL which proposes model contract clauses that can be used as a basis for setting up this tool. Finally, you should contact the DPO of your company in order to modify the different documents required by the CNIL. For example, processing records and impact analyses to bring them into line with the new measures you will have adopted. That’s it, you are now informed of the reasons for the invalidation of the privacy shield and the consequences for your company and your clinical study. For any additional information, please do not hesitate to refer to our legal watch or to contact me to seek legal advice. Thank you for listening to this podcast and feel free to share it with those who might be interested in this topic. As for us, we’ll see you soon for a new podcast.{:}