{:fr}

Article rédigé par la Société Pharmaspecific, spécialiste en recherche clinique

Invalidation du Safe Harbor, que faire ?

Tu as des études en cours et tu transfères certaines informations aux Etats-Unis, que ce soit le promoteur ou des sous-traitants (eCRF, CRO, remboursement patients, ou autre) ? Savais tu que l’accord commercial reliant l’Espace Economique Européen et les Etats-Unis avait été invalidé et que les transferts de données personnelles réalisés dans le cadre du Safe Harbor n’étaient plus autorisés ? Voici concrètement ce que cela implique pour tes essais.

1. Qu’est-ce qu’il s’est passé ?

Le Safe Harbor ou « Sphère de sécurité » était un des moyens possibles pour les entreprises américaines de transférer légalement des données de l’Espace Economique Européen vers les Etats-Unis. Le Safe Harbor était un ensemble de principes à respecter auxquels les entreprises américaines adhéraient de façon volontaire. Ces principes étaient basés sur l’information des personnes, la possibilité de s’opposer au transfert de ses données personnelles ou à l’utilisation de ses données pour une finalité différente, la nécessité d’un consentement explicite pour les données dites sensibles, droit d’accès et de rectification et la sécurité des données.  La liste des entreprises ayant adhéré au Safe Harbor était consultable sur le site internet du département du commerce américain. Cependant, la Cour de Justice Européenne (CJUE) a invalidé cet accord le 6 octobre 2015. En effet, il a été mis en évidence par la CJUE que les autorités publiques Etats-uniennes pouvaient accéder aux données sans assurer une protection juridique efficace aux personnes concernées. En effet, les entreprises Etats-Uniennes sont tenues de se soumettre aux exigences des lois des Etats-Unis et donc, ne pas appliquer les clauses du Safe Harbor qui leur seraient contraires.   La CNIL et ses homologues européens (G29) se sont réunis et ont demandé aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016. Voici les deux communiqués de la CNIL à ce sujet en cliquant ici et là.

2. Interdiction de transférer des données personnelles

Selon les articles 68 et 69 de la loi informatique et libertés du 6 janvier 1978 modifiée, les transferts de données personnelles à l’étranger sont interdits hormis dans le cas où le pays dans lequel se situe l’entreprise destinataire offre un niveau de protection des données suffisant.

En ce qui concerne les Etats-Unis, les transferts qui s’effectuaient sur la base du Safe Harbor sont bel et bien illégaux. Cependant, d’autres solutions existent, nous les détaillerons ci-dessous. Attention, le G29 est en train d’analyser l’impact de l’invalidation du Safe Harbor par la Cour de Justice Européenne sur ces outils. Il n’est donc pas sûr que ces outils puissent encore être utilisés s’il s’avérait qu’ils posent également des questions de sécurité.

Au vu des déclarations de la CNIL, pour l’instant, le transfert des données déjà réalisé n’est pas affecté, il demeure en attente des délibérations des autorités concernées. Cependant, les nouveaux transferts ne devront plus être réalisés.

3. Quelles données sont concernées ?

La définition d’une donnée personnelle est la suivante selon la CNIL :

«  Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.

A noter : pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués, visages floutés, cryptage, etc.

Attention : s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles. »

Si ton étude est une recherche biomédicale (RBM) portant sur un médicament, un dispositif médical, un produit de cosmétique ou de tatouage ou une RBM hors produit de santé, si ton transfert concerne les données des personnes se prêtant à une recherche biomédicale et que les données sont conformes à la partie 1.2.3 de la MR-001, le transfert de ces données reste toujours possible, car il ne s’agit pas d’une donnée personnelle.

Si ton étude est une étude non-interventionnelle portant sur l’étude de performance d’un dispositif médical de diagnostic in vitro (DM DIV) et que, conformément à la MR-002, seules des données anonymes ou codées des participants à l’étude non interventionnelle de performances des DM DIV sont transmises hors de l’UE, alors le transfert de ces données reste possible.

Cependant, dans le cadre de ces études entrant dans le cadre de la MR-001 ou MR-002, les données personnelles des investigateurs et des membres de leurs équipes sont également transférées, via leur CV, leurs coordonnées, … Ces informations là, quant à elles, ne sont pas anonymes et constituent bien des données personnelles. Leurs transferts vers les Etats-Unis sont donc interdits.

Si ton étude est un autre type d’étude ou une étude ne répondant pas aux méthodologies de référence de la CNIL, la CNIL a évalué la nature de ces transferts de données et fournit une autorisation de transfert. A priori, ces transferts ne sont pas affectés pour le moment.

4. Les autres solutions

Il existe deux autres solutions permettant de mettre en œuvre les transferts de données aux Etats-Unis:

• Si des clauses contractuelles types ont été adoptées. Il s’agit de modèles de contrat adoptés par la Commission Européenne qui régissent les transferts de données. Deux types de contrats sont disponibles :
  • Transfert de données personnelles d’un responsable de traitement à un autre responsable de traitement.
  • Transfert de données personnelles d’un responsable de traitement à un sous-traitant.

Ces modèles de contrat diffèrent par les responsabilités des deux parties. En effet, selon la loi Informatique et Libertés du 6 janvier 1978 modifiée, le responsable du traitement est la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. Le sous-traitant, quant à lui, est toute personne extérieure traitant des données personnelles selon les instructions et sous l’autorité du responsable du traitement.

Dans le premier cas, les deux parties sont donc responsables entre elles et à l’encontre des personnes concernées en cas de litige.

Dans le second cas, l’exportateur des données est responsable envers les personnes concernées en cas de litige. Cependant, l’exportateur des données pourra se retourner contre l’importateur des données en cas de litige.

Ces contrats doivent être discutés avec les services juridiques des différentes entreprises impliquées.

• Si des règles internes d’entreprises ou Binding Corporate Rules (BCR) ont été adoptées. Ces règles constituent un code de conduite dans le cadre de transferts de données au sein d’une même entreprise ou d’un même groupe. Cela concerne donc les multinationales qui transfèrent des données vers des pays tiers. Là encore, il faudra t’informer auprès du service juridique de ton entreprise si tu es concerné par ces règles.

Si de tels contrats ou règles de conduites ont été mis en place et que ton étude est conforme aux autres dispositions de la MR-001 ou MR-002, alors le transfert de données sera possible.

Voici un état des lieux des règles définissant les échanges de données personnelles aux Etats-Unis à ce jour. Cela va évoluer prochainement et la CNIL a indiqué diffuser prochainement des notes d’informations afin de clarifier la situation. De même, un nouvel accord devra être trouvé avant le 31 janvier 2016, peut-être un « Safe Harbor version 2 » plus exigeant que le précédent, ou d’autres dispositifs permettant un transfert de données en touet sécurité. Sur le blog de la Recherche Clinique, nous allons suivre cela de près et nous ne manquerons pas de vous faire part de toute nouvelle information concernant ces transferts de données personnelles.

Cet article constitue une analyse des communiqués de la CNIL. Nous ne sommes pas juristes, pour toute question, je t’invite vivement à contacter un juriste spécialisé dans ces questions. Par exemple, le cabinet Delsol Avocats a un département « sciences du vivant » ici.

Sources : CNIL :

Transfert des données personnelles hors UE ici,
Loi Informatique et libertés là
Méthodologies de références là

Tu peux te rendre sur la page Facebook du « Blog de la Recherche Clinique » et de « Pharmaspecific » et cliquer sur « J’aime » pour faire partie de notre cercle de professionnels.

Retrouve « Pharmaspecific » et « Vanessa Montanari »  sur LinkedIn pour avoir plus d’’actualités en recherche clinique en cliquant ici et ici

Retrouve nous également sur Viadeo en cliquant ici et ici

---

Vous avez besoin d’une prestation en recherche clinique? contactez PHARMASPECIFIC en vous rendant sur notre site en cliquant ici : https://pharmaspecific.com/devis

Si tu as des questions sur le métier d’attaché de recherche clinique ou sur une carrière dans la recherche clinique, tu peux la mettre dans les commentaires ci-dessous. Nous te répondrons dans les plus brefs délais.

Si tu veux être coaché, si tu veux une réponse personnalisée à tes questions ou être en contact avec d’autres professionnels de la recherche clinique, tu peux te rendre sur https://pharmaspecific-training.com/

{:}{:en}

Invalidation of Safe Harbor, what to do?

You have studies underway and you transfer some information in the US, either the promoter or subcontractors (eCRF, CRO, patient reimbursement, or other)? Did you know that the trade agreement between the European Economic Area and the United States had been invalidated and that personal data transfers made under the Safe Harbor framework were not allowed? Here concretely what this means for your tests.

1. What happened?

The Safe Harbor was one of the possible means for US companies to legally transfer the European Economic Area data to the United States. The Safe Harbor was a set of principles to be respected to which US companies adhered voluntarily. These principles were based on people information, the opportunity to oppose the transfer of a personal data or the use of his data for a different purpose, the need for explicit consent for so-called sensitive data, right access and correction and data security. The list of companies that have joined the Safe Harbor was available on the website of the US Department of Commerce. However, the European Court of Justice (ECJ) has invalidated this agreement on October 6, 2015. In fact, it was highlighted by the ECJ that US public authorities could access data without ensuring effective legal protection to concerned persons. Indeed, US companies are required to comply with the requirements of US laws and therefore not to apply the provisions of the Safe Harbor that are opposite to them. The National Commission for Data Protection and Liberties (CNIL-France) and its European counterparts (G29) came together and asked the European institutions and the governments concerned to find legal and technical solutions before January 31, 2016. Here are the two releases of the CNIL-France on it here and there.

2. Prohibition of personal data transfer

According to Articles 68 and 69 of the edited Data Protection Act of 6 January 1978, personal data transfers abroad are prohibited except in the case where the country in which the receiving company offers a sufficient level of data protection.

As for the US, transfers that were made on the basis of Safe Harbor are indeed illegal. However, other solutions exist, we will detail below. Beware; the G29 is currently analyzing the impact of the Safe Harbor invalidation by the Justice European Court on these tools. So it is not sure that these tools can still be used if they also asks for safety issues in their turn.

In view of the CNIL-France  statements, for now, data already transferred is not affected; it is still waiting the deliberations of the relevant authorities. However, new transfers will no longer be made.

3. What data is concerned?

The definition of personal data is as follows according to the CNIL-France:

« Any information related to an individual who might be identified, directly or indirectly. For example: a name, a photo, a fingerprint, a postal address, an email address, a telephone number, a social security number, an internal number, an IP address, a computer login, a voice recording, etc.

Note: For these data to no longer be considered personal, they should be made anonymous so that the concerned person identification must be impossible: hidden names, blurred faces, encryption, etc.

Warning: if it is possible to identify a person by crosscutting several information (age, gender, city, diploma, etc.), or by the use of various technical means , the data is still considered personal. »

If it is about a biomedical research (BMR) study for a medicinal product, a medical device, a cosmetic or tattoo product or  other BMR out of health product, if the transfer concerns the data of an undergoing biomedical research persons and datas are in the in line with part 1.2.3 of the MR-001, the transfer is still possible because it is not a personal data.

If it is about a non-interventional study on the performance study of a medical device in vitro diagnostic (MD IVD) and that, in accordance with the MR-002, only anonymous or encoded data of the participants to non-interventional study of MD IVD performance are transmitted outside the EU, then the transfer of this data is possible.

However, as part of these studies within the scope of the MR-001 or MR-002, the personal data of investigators and their team members are also transferred through their CV, contact information … This information, as for their part, are not anonymous and do constitute personal data. Their transfers to the United States are therefore prohibited.

If it is about another type of study or a study that does not meet the reference methodologies of the CNIL-France, the CNIL-France has assessed the nature of these data transfers and provides a transfer authorization. These transfers are not affected at this time.

4. Other solutions

There are two other solutions to implement data transfers to the United States:

• If the standard contractual clauses have been adopted. These are the contract models adopted by the European Commission governing data transfers. Two types of contracts are available:
• Transfer of personal data from a data controller to another data controller.
• Transfer of personal data from a data controller to a subcontractor.

These contract models differ in the responsibilities of both parties. According to the edited Data Protection Act of 6 January 1978, the data controller is the person, public authority, agency or body that determines its purposes and means. The sub-contractor, is any outside person handling personal data under the instructions and under the authority of the controller.

In the first case, both parties are responsible for one another and against those involved in the event of a dispute.

In the second case the data exporter is responsible to the people involved in the event of a dispute. However, the data exporter may turn against the data importer in the event of a dispute.

These contracts should be discussed with the legal departments of the various companies involved.

• If the companies internal rules or Binding Corporate Rules (BCR) were adopted. These rules constitute a code of conduct in the context of data transfers within the same company or the same group. It therefore concerns the multinationals that transfer data to third countries. Again, you have to find out with the legal department of your company if you are affected by these rules.

If such contracts or rules of conduct have been put in place and that your study is consistent with other provisions of the MR-001 and MR-002, then the data transfer is possible.

Here is an overview of the rules defining the exchange of personal data in the United States to date. This will change soon and the CNIL-France said to disseminate information notes shortly to clarify the situation. Similarly, a new agreement must be reached before January 31st 2016, perhaps a « A 2nd Version of Safe Harbor » more demanding than the previous or other devices to transfer data safely. On the Clinical Research blog, we will follow this closely and we will not fail to inform you of any news concerning personal data transfers.

This article is an analysis of releases of the CNIL-France. We are not lawyers, if ever you have questions, I would urge you to contact a lawyer specialized in these issues. The firm Delsol Advocates has, for example,  a « Sciences of alive » in French (« Sciences du vivant ») department here.

Sources: CNIL-France:

• Transfer of personal data outside the EU here
• Data Protection Act there
• Methodologies of references here

If you liked this article, I invite you to click on « I like » or share with your CRA and project Manager colleagues and friends.

Also, visit Pharmaspecific website :  http://www.pharmaspecific.fr and discover our activities.

You can also visit the Facebook page of « blog de la recherche clinique » and the « Pharmaspecific » and click on « I like » to support us.

See « Pharmaspecific Linkedin » and « Vanessa Montanari Linkedin » for more relevant news on clinical researches.

See us as well on Pharmaspecific Viadeo and Vanessa’s Viadeo{:}