L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    L'edito Hebdo du vendredi 17 juillet 2020

    Données personnelles: la CJUE brise le Privacy Shield

    La Cour de justice de l'Union européenne (CJUE) a invalidé le bouclier de protection des données UE-Etats-Unis, ou Privacy Shield, dans une décision rendue le 16 juillet. Cet accord, qui régit les transferts de données entre l'Union et les Etats-Unis, était supposé garantir aux données personnelles des Européens une protection équivalente à celle du règlement général sur la protection des données (RGPD) lorsqu'elles sont traitées outre-Atlantique. La CJUE a estimé que ce n'était pas le cas, les autorités publiques américaines ayant un accès très permissif à ces données, notamment par leurs programmes de surveillance. Dans la même décision, la Cour a validé un mécanisme connexe: les clauses contractuelles types, des contrats standardisés qui permettent aux entreprises européennes de transférer des données personnelles vers des sous-traitants établis dans des pays tiers, à condition que le niveau de protection y soit équivalent à celui de l'UE. Ce qui pourrait bien ne pas être le cas des Etats-Unis, si l'on en croit la première partie de la décision. Reste à savoir comment le secteur français des données de santé, régi par une réglementation supplémentaire -la certification hébergeur de données de santé (HDS)- sera impacté. En juin, la Cnil s'était inquiétée de possibles transferts de données du Health Data Hub hors de l'UE, mais le Conseil d'Etat s'était, lui, montré rassurant. L'hébergeur du Hub, Microsoft Azure, est bien entendu certifié HDS. Mais cette certification n'interdit pas les transferts de données de santé à l'étranger et n'inclut pas d'obligation de respecter le RGPD, comme le soulignait l'avocat Laurent Houdart fin 2019. Un véritable bouclier des données de santé se fait toujours attendre...

    Léo Caravagna

    https://www.eventbrite.fr/e/billets-hdi-day-2020-120031939763