Article rédigé par la Société Pharmaspecific, spécialiste en recherche clinique

Invalidation du Safe Harbor, que faire ?04

Tu as des études en cours et tu transfères certaines informations aux Etats-Unis, que ce soit le promoteur ou des sous-traitants (eCRF, CRO, remboursement patients, ou autre) ? Savais tu que l’accord commercial reliant l’Espace Economique Européen et les Etats-Unis avait été invalidé et que les transferts de données personnelles réalisés dans le cadre du Safe Harbor n’étaient plus autorisés ? Voici concrètement ce que cela implique pour tes essais.

1. Qu’est-ce qu’il s’est passé ?

Le Safe Harbor ou « Sphère de sécurité » était un des moyens possibles pour les entreprises américaines de transférer légalement des données de l’Espace Economique Européen vers les Etats-Unis. Le Safe Harbor était un ensemble de principes à respecter auxquels les entreprises américaines adhéraient de façon volontaire. Ces principes étaient basés sur l’information des personnes, la possibilité de s’opposer au transfert de ses données personnelles ou à l’utilisation de ses données pour une finalité différente, la nécessité d’un consentement explicite pour les données dites sensibles, droit d’accès et de rectification et la sécurité des données.  La liste des entreprises ayant adhéré au Safe Harbor était consultable sur le site internet du département du commerce américain. Cependant, la Cour de Justice Européenne (CJUE) a invalidé cet accord le 6 octobre 2015. En effet, il a été mis en évidence par la CJUE que les autorités publiques Etats-uniennes pouvaient accéder aux données sans assurer une protection juridique efficace aux personnes concernées. En effet, les entreprises Etats-Uniennes sont tenues de se soumettre aux exigences des lois des Etats-Unis et donc, ne pas appliquer les clauses du Safe Harbor qui leur seraient contraires.   La CNIL et ses homologues européens (G29) se sont réunis et ont demandé aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016. Voici les deux communiqués de la CNIL à ce sujet en cliquant ici et là.

2. Interdiction de transférer des données personnelles

Selon les articles 68 et 69 de la loi informatique et libertés du 6 janvier 1978 modifiée, les transferts de données personnelles à l’étranger sont interdits hormis dans le cas où le pays dans lequel se situe l’entreprise destinataire offre un niveau de protection des données suffisant.

En ce qui concerne les Etats-Unis, les transferts qui s’effectuaient sur la base du Safe Harbor sont bel et bien illégaux. Cependant, d’autres solutions existent, nous les détaillerons ci-dessous. Attention, le G29 est en train d’analyser l’impact de l’invalidation du Safe Harbor par la Cour de Justice Européenne sur ces outils. Il n’est donc pas sûr que ces outils puissent encore être utilisés s’il s’avérait qu’ils posent également des questions de sécurité.

Au vu des déclarations de la CNIL, pour l’instant, le transfert des données déjà réalisé n’est pas affecté, il demeure en attente des délibérations des autorités concernées. Cependant, les nouveaux transferts ne devront plus être réalisés.

3. Quelles données sont concernées ?

La définition d’une donnée personnelle est la suivante selon la CNIL :

«  Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.

A noter : pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués, visages floutés, cryptage, etc.

Attention : s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles. »

Si ton étude est une recherche biomédicale (RBM) portant sur un médicament, un dispositif médical, un produit de cosmétique ou de tatouage ou une RBM hors produit de santé, si ton transfert concerne les données des personnes se prêtant à une recherche biomédicale et que les données sont conformes à la partie 1.2.3 de la MR-001, le transfert de ces données reste toujours possible, car il ne s’agit pas d’une donnée personnelle.

Si ton étude est une étude non-interventionnelle portant sur l’étude de performance d’un dispositif médical de diagnostic in vitro (DM DIV) et que, conformément à la MR-002, seules des données anonymes ou codées des participants à l’étude non interventionnelle de performances des DM DIV sont transmises hors de l’UE, alors le transfert de ces données reste possible.

Cependant, dans le cadre de ces études entrant dans le cadre de la MR-001 ou MR-002, les données personnelles des investigateurs et des membres de leurs équipes sont également transférées, via leur CV, leurs coordonnées, … Ces informations là, quant à elles, ne sont pas anonymes et constituent bien des données personnelles. Leurs transferts vers les Etats-Unis sont donc interdits.

Si ton étude est un autre type d’étude ou une étude ne répondant pas aux méthodologies de référence de la CNIL, la CNIL a évalué la nature de ces transferts de données et fournit une autorisation de transfert. A priori, ces transferts ne sont pas affectés pour le moment.

4. Les autres solutions

Il existe deux autres solutions permettant de mettre en œuvre les transferts de données aux Etats-Unis:

• Si des clauses contractuelles types ont été adoptées. Il s’agit de modèles de contrat adoptés par la Commission Européenne qui régissent les transferts de données. Deux types de contrats sont disponibles :
  • Transfert de données personnelles d’un responsable de traitement à un autre responsable de traitement.
  • Transfert de données personnelles d’un responsable de traitement à un sous-traitant.

Ces modèles de contrat diffèrent par les responsabilités des deux parties. En effet, selon la loi Informatique et Libertés du 6 janvier 1978 modifiée, le responsable du traitement est la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. Le sous-traitant, quant à lui, est toute personne extérieure traitant des données personnelles selon les instructions et sous l’autorité du responsable du traitement.

Dans le premier cas, les deux parties sont donc responsables entre elles et à l’encontre des personnes concernées en cas de litige.

Dans le second cas, l’exportateur des données est responsable envers les personnes concernées en cas de litige. Cependant, l’exportateur des données pourra se retourner contre l’importateur des données en cas de litige.

Ces contrats doivent être discutés avec les services juridiques des différentes entreprises impliquées.

• Si des règles internes d’entreprises ou Binding Corporate Rules (BCR) ont été adoptées. Ces règles constituent un code de conduite dans le cadre de transferts de données au sein d’une même entreprise ou d’un même groupe. Cela concerne donc les multinationales qui transfèrent des données vers des pays tiers. Là encore, il faudra t’informer auprès du service juridique de ton entreprise si tu es concerné par ces règles.

Si de tels contrats ou règles de conduites ont été mis en place et que ton étude est conforme aux autres dispositions de la MR-001 ou MR-002, alors le transfert de données sera possible.

Voici un état des lieux des règles définissant les échanges de données personnelles aux Etats-Unis à ce jour. Cela va évoluer prochainement et la CNIL a indiqué diffuser prochainement des notes d’informations afin de clarifier la situation. De même, un nouvel accord devra être trouvé avant le 31 janvier 2016, peut-être un « Safe Harbor version 2 » plus exigeant que le précédent, ou d’autres dispositifs permettant un transfert de données en touet sécurité. Sur le blog de la Recherche Clinique, nous allons suivre cela de près et nous ne manquerons pas de vous faire part de toute nouvelle information concernant ces transferts de données personnelles.

Cet article constitue une analyse des communiqués de la CNIL. Nous ne sommes pas juristes, pour toute question, je t’invite vivement à contacter un juriste spécialisé dans ces questions. Par exemple, le cabinet Delsol Avocats a un département « sciences du vivant » ici.

Sources : CNIL :

Transfert des données personnelles hors UE ici,
Loi Informatique et libertés là
Méthodologies de références là

Tu peux te rendre sur la page Facebook du « Blog de la Recherche Clinique » et de « Pharmaspecific » et cliquer sur « J’aime » pour faire partie de notre cercle de professionnels.

Retrouve « Pharmaspecific » et « Vanessa Montanari »  sur LinkedIn pour avoir plus d’’actualités en recherche clinique en cliquant ici et ici

Retrouve nous également sur Viadeo en cliquant ici et ici

Vous avez besoin d’une prestation en recherche clinique? contactez PHARMASPECIFIC en vous rendant sur notre site en cliquant ici : https://pharmaspecific.com/devis

Si tu as des questions sur le métier d’attaché de recherche clinique ou sur une carrière dans la recherche clinique, tu peux la mettre dans les commentaires ci-dessous. Nous te répondrons dans les plus brefs délais.

Si tu veux être coaché, si tu veux une réponse personnalisée à tes questions ou être en contact avec d’autres professionnels de la recherche clinique, tu peux te rendre sur https://pharmaspecific-training.com/