Retour à la section

Délibération n° 2014-099 du 20 mars 2014

Article suivant

Article 8

JORF n°0085 du 10 avril 2014

Article 7

Article 7

Sur les transferts des données hors de l'Union européenne :
Dès lors que les données relatives au patient ne comprennent comme données d'identité qu'un code alphanumérique ou alphabétique tel que prévu à l'article 2 a, elles peuvent être transférées hors de l'Union européenne, en particulier vers les organismes publics étrangers en charge de la pharmacovigilance, les autorités et agences sanitaires internationales, les prestataires de service liés par contrat à l'exploitant et les autres sociétés du groupe auquel appartient le laboratoire exploitant.
Les données relatives aux notificateurs (patients, membres des associations agréées de patients et professionnels de santé) peuvent être transférées, en tant que de besoin, hors de l'Union européenne sous une forme anonymisée ne permettant pas de révéler l'identité des personnes concernées.
Tout transfert de ces données vers une personne morale établie dans un pays non membre de l'Union européenne et n'accordant pas une protection suffisante au sens de l'article 68 de la loi du 6 janvier 1978 modifiée doit s'opérer conformément aux dispositions spécifiques de la loi du 6 janvier 1978 modifiée relative aux transferts internationaux de données, notamment à son article 69, alinéa 8.
Il est satisfait à ces dispositions lorsque l'une des conditions suivantes est réunie :
― les transferts s'effectuent à destination d'un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d'une entreprise américaine ayant adhéré aux principes du Safe Harbor ;
― le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l'adoption de règles internes d'entreprise (dénommées « BCR »), dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant ;
― ils correspondent à l'une des exceptions prévues à l'article 69 de la loi du 6 janvier 1978 modifiée, dont le champ d'application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l'objet d'un encadrement juridique spécifique (« BCR », clauses contractuelles types ou Safe Harbor).
Le responsable de traitement doit avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers, dans les conditions prévues par les dispositions de l'article 91 du décret du 20 octobre 2005 modifié.
S'il est satisfait à ces conditions et si le traitement dont le transfert est issu est par ailleurs conforme à l'ensemble des autres dispositions de la présente délibération, l'engagement de conformité à la présente autorisation unique porte également autorisation du transfert envisage en application de l'article 69, alinéa 8, de la loi du 6 janvier 1978 modifiée.

1 version

Historique des versions

Version 1

Sur les transferts des données hors de l'Union européenne :

Dès lors que les données relatives au patient ne comprennent comme données d'identité qu'un code alphanumérique ou alphabétique tel que prévu à l'article 2 a, elles peuvent être transférées hors de l'Union européenne, en particulier vers les organismes publics étrangers en charge de la pharmacovigilance, les autorités et agences sanitaires internationales, les prestataires de service liés par contrat à l'exploitant et les autres sociétés du groupe auquel appartient le laboratoire exploitant.

Les données relatives aux notificateurs (patients, membres des associations agréées de patients et professionnels de santé) peuvent être transférées, en tant que de besoin, hors de l'Union européenne sous une forme anonymisée ne permettant pas de révéler l'identité des personnes concernées.

Tout transfert de ces données vers une personne morale établie dans un pays non membre de l'Union européenne et n'accordant pas une protection suffisante au sens de l'article 68 de la loi du 6 janvier 1978 modifiée doit s'opérer conformément aux dispositions spécifiques de la loi du 6 janvier 1978 modifiée relative aux transferts internationaux de données, notamment à son article 69, alinéa 8.

Il est satisfait à ces dispositions lorsque l'une des conditions suivantes est réunie :

― les transferts s'effectuent à destination d'un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d'une entreprise américaine ayant adhéré aux principes du Safe Harbor ;

― le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l'adoption de règles internes d'entreprise (dénommées « BCR »), dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant ;

― ils correspondent à l'une des exceptions prévues à l'article 69 de la loi du 6 janvier 1978 modifiée, dont le champ d'application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l'objet d'un encadrement juridique spécifique (« BCR », clauses contractuelles types ou Safe Harbor).

Le responsable de traitement doit avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers, dans les conditions prévues par les dispositions de l'article 91 du décret du 20 octobre 2005 modifié.

S'il est satisfait à ces conditions et si le traitement dont le transfert est issu est par ailleurs conforme à l'ensemble des autres dispositions de la présente délibération, l'engagement de conformité à la présente autorisation unique porte également autorisation du transfert envisage en application de l'article 69, alinéa 8, de la loi du 6 janvier 1978 modifiée.