Skip to main content

 

Le séisme: invalidation du Privacy Shield et recherche clinique

Si vous souhaitez des outils de travail, ou vous former, ou être coacher, ou une réponse d’un juriste ou participer à des webinaires à ce sujet, rendez-vous sur www.pharmaspecific-training.com

si vous souhaitez de l’aide sur le RGPD au sein de votre structure, rendez-vous sur www.pharmaspecific.com

Transcription texte : Bonjour à tous, c’est Manon Durand, juriste santé au sein de l’entreprise Pharmaspecific. Aujourd’hui, on va aborder le thème de la protection des données personnelles à travers l’invalidation du privacy shield.

Puisque vous n’avez pas pu passer à côté cette information, le privacy shield a récemment été invalidée par la cour de justice de l’union européenne. Avant de commencer, je vous rappelle que vous pouvez retrouver l’ensemble de nos veilles juridiques sur notre site Pharmaspecific training pour vous tenir informé de l’actualité dans le domaine de la recherche clinique.

Si vous avez une question d’ordre juridique, vous pouvez également me solliciter à ce sujet sur la même plateforme pour obtenir une réponse. On commence donc tout de suite sur le sujet du jour.

Pour rappel, le privacy shield ou bouclier de protection des données était en accord dans le domaine du droit de la protection des données personnelles négocié entre 2015 et 2016 entre l’union européenne d’une part, et les États-Unis d’Amérique d’autre part. Le privacy shield se composait d’une série de dispositions qui réglementait la protection des données personnelles qui étaient transférées depuis un état membre de l’union vers les États-Unis, ce qui permettait en fait de transférer des données sans avoir besoin de recourir aux différents mécanismes de protection qui sont prévus aujourd’hui par le RGPD. Notamment, les clauses contractuelles types, les binding corporates rooms etc …

Le privacy shield avait d’ailleurs été lui-même mis en place à la suite de l’invalidation du safe harbor par la cour de justice de l’union européenne, qui en octobre 2015 avait rendu une première décision dans laquelle elle estimait que le safe harbor ne permettait pas d’assurer un niveau de protection adéquate. À la suite de cette décision, le privacy shield a donc été mis en place afin de pallier aux défaillances du safe harbor puisqu’il est venu ajouter des garanties supplémentaires pour les personnes concernées.

Mais la cour de justice a estimé dans un arrêt rendu le 16 juillet 2020 que le mécanisme du privacy shield ne permettait pas non plus de pallier les limitations du droit américain. Selon elle, le système du privacy shield n’était pas suffisamment indépendant vis-à-vis du pouvoir exécutif américain puisque les autorités publiques américaines peuvent avoir accès et utiliser les données personnelles qui sont transférées depuis l’union européenne. Tout cela découle en réalité du fait de l’adoption du cloud act en 2018 qui est une loi qui donne en fait toute légitimité aux entreprises américaines de transférer les données de leurs clients indépendamment de leur territoire d’hébergement à tout juge américain qui en ferait la demande sans que son propriétaire ni son pays de résidence ou le pays qui stocke les données en soit informé.

La cour de justice considère que ces accès et utilisation par les autorités américaines ne répondent donc pas à des exigences équivalentes à celles attendues en droit de l’union européenne par ce qu’on appelle le principe de proportionnalité car les programmes de surveillance fondée sur la réglementation américaine ne sont pas limités au strict nécessaire.

Donc, puisque le dispositif du privacy shield ne permet pas d’assurer un niveau de protection adéquate, la décision d’adéquation rendu en 2016 a alors été annulée par la cour de justice et les transferts de données personnelles ne peuvent donc plus être opérés librement vers des organismes qui sont situés sur le sol des États-Unis même s’il s’agit d’adhérents au privacy shield.

Alors, si vous devez opérer un transfert de données à caractère personnel vers une entreprise située sur le sol américain, vous devez vous munir de garanties suffisantes, notamment à l’aide des différents outils mis en place par le RGPD. En tant que chef de projet clinique, plusieurs vérifications sont donc à faire. Premièrement, il est nécessaire pour vous de faire un bilan des données personnelles qui peuvent relever de ce cas de figure, notamment, dans les cas où vous utilisez des outils dont l’hébergement est opéré sur les territoires des États-Unis.

Vous devez d’ailleurs être vigilant sur ce point parce que même les grosses plateformes comme Microsoft sont concernées par ces nouvelles règles. Vous devez donc vous renseigner sur les mesures adoptées par les hébergeurs de tous vos outils de travail et vérifier si leurs politiques de protection des données personnelles sont adaptés aux exigences du RGPD et si ce n’est pas le cas, vous tourner vers des solutions européennes. Ensuite, si vous êtes en lien avec une étude clinique dont le promoteur est situé aux États-Unis, vous devez vous assurer qu’aucun transfert de données qui seront recueillies dans l’union européenne comme les données patient contenues dans les cahiers d’observation par exemple ne sont opérées vers les États-Unis sans avoir mis en place des clauses contractuelles types avec ce promoteur.

Ces clauses contractuelles devront être très précises sur les mesures adoptées pour garantir la sécurité du transfert et je vous recommande d’ailleurs fortement de mettre en place une solution de cryptage pour de tels transferts. Vous avez également le site de la CNIL qui propose des modèles de clauses contractuelles types qui pourront vous servir de base pour mettre en place cet outil. Enfin, vous devez prendre contact avec le DPO de votre société afin de modifier les différents documents qui sont requis par la CNIL. Comme par exemple, les registres de traitement et les analyses d’impact pour les mettre en conformité avec les nouvelles mesures que vous aurez adoptées.

Voilà, vous êtes maintenant informés des raisons de l’invalidation du privacy shield et des conséquences pour votre entreprise et votre étude clinique. Pour toutes informations supplémentaires, n’hésitez pas à vous reporter à nos veilles juridiques ou à me solliciter pour un conseil juridique.

Merci à vous d’avoir écouté ce podcast et n’hésitez pas à le partager à ceux qui pourraient être intéressés par ce sujet. Quant à nous, on se retrouve bientôt pour un nouveau podcast.

Si tu as aimé cet article, je te remercie de « liker » ou de partager avec tes collègues et amis Attaché de Recherche Clinique :)

Laisser un commentaire