Hébergement des données de santé : renforcement des exigences de souveraineté
Un décret d’application de la loi SREN précise les obligations.
Il consacre un principe de territorialité au nouvel article R.1111-9-1 du code de la santé publique (CSP) : lorsque l’activité d’hébergement donne lieu à un stockage, celui-ci doit être réalisé exclusivement sur le territoire de l’UE ou de l’Espace économique européen.
Cette exigence vise, selon le ministère du Travail, de la Santé, des Solidarités et des Familles, non pas à imposer le recours exclusif à des acteurs économiques européens, mais à orienter vers des offres immunes de tout risque d’accès extra-européen.
Les transferts vers les Etats tiers, ou l’accès à distance depuis ces Etats, ne sont admis que dans les conditions prévues par le RGPD :
1/ en présence d’une décision d’adéquation,
2/ à défaut, sous réserve de garanties appropriées, assorties de droits opposables et de voies de droit effectives pour les personnes concernées, le contrat d’hébergement devant alors mentionner l’absence de décision d’adéquation et décrire précisément les garanties mises en place.
Le contenu du contrat d’hébergement est enrichi afin d’intégrer (art. L.1111-11 du CSP) :
– les modalités d’exercice des droits d’accès, de rectification, d’effacement et de portabilité des données, ainsi que de limitation et d’opposition au traitement;
– les informations relatives à d’éventuels transferts vers des États tiers ;
– lorsque l’hébergeur ou l’un de ses sous-traitants est soumis à une législation extra-européenne, (i) la liste des réglementations susceptibles d’imposer un accès ou un transfert de données, (ii) la décision d’adéquation, et (iii) en l’absence de décision d’adéquation, les mesures mises en œuvre pour atténuer les risques de transfert ou d’accès ainsi que les risques résiduels.
Les hébergeurs doivent également rendre publique et tenir à jour une cartographie des transferts de données de santé vers des États tiers, des accès distants éventuels et des risques d’accès non autorisé.
La CNIL accueille favorablement ce renforcement des exigences, estimant qu’il est de nature à accroître la transparence et à garantir une meilleure maîtrise des données de santé par les parties au contrat face aux risques d’accès extra-européen.
Les principales mesures du décret entreront en vigueur dans 6 mois.
