Transfert de données de santé personnelles hors UE : attention à vos analyses d’impact !

Pour rappel, conformément au RGPD, tout organisme qui exporte des données à caractère personnel en dehors de l’UE ou de l’EEE, doit évaluer le niveau de protection des données offert par le pays de destination et ce, peu important l’outil de transfert (clauses contractuelles types, règles d’entreprise contraignantes…) auquel il a recours. Cette évaluation doit déterminer si, au regard des lois et pratiques de ce pays de destination, l’implémentation de mesures supplémentaires s’impose.

Le 31 janvier dernier, la CNIL a publié la version finale d’un guide visant justement à aider les organismes à procéder à une telle évaluation, dénommée « analyse d’impact des transferts de données » ou « AITD ».

Dans quel cas réaliser une AITD et qui s’en charge ?

Selon la CNIL, une AITD doit être réalisée par l’exportateur de données soumis au RGPD, « qu’il soit responsable du traitement ou sous-traitant », transférant des données à caractère personnel hors UE/EEE, sauf si le transfert se fonde sur une décision d’adéquation ou l’une des dérogations listées à l’article 49 du RGPD.

Lorsqu’un responsable du traitement dans l’UE, fait appel à un sous-traitant dans l’UE qui procède à un transfert hors UE/EEE de données personnelles, il appartient à ce sous-traitant de réaliser l’AITD. Dans cette hypothèse, le responsable du traitement doit vérifier l’AITD et, si nécessaire, la compléter.

Force est de constater que la réalisation d’une AITD s’impose ainsi dans de nombreux cas et selon un périmètre qui peut être relativement large dans la mesure où est concerné l’ensemble des flux de données (transferts ultérieurs compris).

Concrètement comment procéder à une AITD ?

Selon la CNIL, la méthodologie à suivre repose sur 6 étapes :

• • Etape 1 : la description du transfert ;
  • Etape 2 : l’identification et la documentation de l’outil d’encadrement du transfert ;
  • Etape 3 : l’évaluation de la législation et des pratiques en vigueur dans le pays de destination, ainsi que l’efficacité de l’outil de transfert ;
  • Etape 4 : le recensement des mesures de sécurité techniques, contractuelles et organisationnelles permettant d’assurer un niveau de protection des données suffisant et d’identifier les mesures supplémentaires qui doivent être mises en œuvre pour assurer un niveau de protection « essentiellement équivalent » à celui de l’EEE ;
  • Etape 5 : la mise en œuvre des mesures supplémentaires qui s’imposent, au moyen d’un plan d’actions ;
  • Etape 6 : la réévaluation à intervalles appropriés du niveau de protection.

L’AITD requiert ainsi, en particulier au regard de l’Etape 3, de s’intéresser de près à la législation et aux pratiques du pays de destination (textes applicables en matière de protection des données, droits des personnes concernées, lois permettant aux autorités publiques d’obtenir la divulgation de données, etc.).

La CNIL ne mentionne pas de ressource susceptible d’aider le responsable du traitement dans une telle tâche qui peut s’avérer délicate, exceptée l’aide du sous-traitant importateur, qui peut être sollicitée. En effet, le sous-traitant est tenu, selon l’article 28 du RGPD, de transmettre au responsable du traitement les informations permettant de démontrer le respect des obligations qui lui incombent.

Il convient donc d’observer, sans plus tarder, ce nouveau guide de la CNIL !  Bien que non obligatoire, ce guide constitue un modus operandi permettant de se conformer à la règlementation en matière de transfert hors UE/EEE des données de santé à caractère personnel et, plus généralement, des données à caractère personnel qui concernent votre activité.