Dans la vie, il y a le droit et la pratique. Et force est de considérer que souvent, la pratique prend le pas sur le droit. Qui peut prétendre respecter le droit tout au long de leur journée ? Hier, êtes-vous certain de n’avoir pris que des passages piétons, et ce au feu vert ?
En matière d’HDS, il y a le droit, la pratique… et le droit dérivé, pris par diverses autorités désireuses tantôt d’étendre, tantôt de restreindre le champ d’application du texte.
Au printemps, les autorités réglementaires modifiaient ainsi leur interprétation des textes en la matière. A l’été, c’était au tour de la CNIL de procéder à une extension. Vous n’avez pas vu passer cette extension ?
Le référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires [1] impose ainsi de recourir à un hébergeur de données de santé quand l’hébergement des données de vigilance est externalisé. Pour mémoire, ce n’était pas imposé dans l’ancienne autorisation unique AU-013 sur la pharmacovigilance[2].
La tournure employée à l’été 2019 par la CNIL met en évidence une extension volontaire du champ d’application de l’article L1111-8 :
« Il est demandé, qu’en cas de recours à un prestataire extérieur pour le stockage et la conservation des données de santé à caractère personnel par le responsable de traitement, ce prestataire soit un hébergeur de données de santé agréé ou certifié. »
De façon générale, on « demande » rarement de faire ce qui est imposé par la loi. Ne vous y trompez pas pour autant. Lisez cette « demande » comme une injonction. Ce référentiel est opposable et pourrait très vraisemblablement servir de base à une décision de sanction en cas de recours à un hébergeur non agréé / certifié. Rappelons que récemment, le Conseil d’Etat a reconnu « un large pouvoir d’appréciation » à la Commission « pour l’accomplissement de ses missions » (CE, 16 octobre 2019, n° 433069).
Une conclusion un peu frustrante, me direz-vous ?
Si vous aimez le risque ou, plus prosaiquement, si vous voyez à regret vos clients migrer vers un hébergeur agréé / certifié, vous pourriez critiquer cette « demande » en ce qu’elle introduit une discrimination entre les Français et les étrangers, au détriment des premiers. En effet, la délibération se poursuit en indiquant qu’un responsable de traitement installé en étranger n’a pas à recourir à un hébergeur agréé / certifié :
« Par exception, lorsque le responsable de traitement n’est pas établi en France, le responsable de traitement doit démontrer que le prestataire auquel il recourt présente des garanties de sécurité équivalentes. »
La CNIL entend donc limiter l’extension volontaire de l’obligation de recourir à un hébergeur agréé / certifié aux acteurs installés en France.
Or, il est constant en droit de l’UE que si une réglementation nationale applicable aux ressortissants nationaux et aux ressortissants des autres États membres aboutit à une discrimination défavorable aux nationaux, ces derniers peuvent contester la réglementation de ce fait et, si aucun motif ne justifie la discrimination, obtenir son annulation[3].
En l’occurrence, les prestations d’hébergement de données relèvent du marché unique et, plus particulièrement, du marché unique numérique. Elles doivent donc être soumises aux mêmes conditions pour les ressortissants de toute l’UE, nationaux compris, par principe.
Y aurait-il un motif justifiant de dispenser les responsables étrangers de recourir à un hébergeur certifié, alors que la réforme de l’HDS visait justement à permettre une certification à l’internationale ?
[1] Délibération n° 2019-057 du 9 mai 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires
[2] Délibération n° 2014-099 du 20 mars 2014 portant autorisation unique de mise en œuvre par les entreprises ou organismes exploitants de médicaments de traitements de données à caractère personnel relatifs à la gestion de données de santé recueillies dans le cadre de la pharmacovigilance des médicaments postérieurement à leur mise sur le marché (AU-013)
[3] Pour une application en matière de vente de médicaments : CJUE, 5 décembre 2013, n° C-159/12 à C-161/12