Les transferts des données de santé de plusieurs hôpitaux ne respecteraient pas l’ensemble des garanties essentielles prévues par le RGPD. Comment des données provenant de Belgique se retrouvent-elles en Russie ?
Les données de santé sont un bien très précieux qui chaque jour suscite un peu plus la convoitise. Actuellement, une enquête du journal Le Soir et du magazine Médor montre qu’on ne sait pas toujours où ses dernières sont toujours stockées. « Un logiciel développé par l’Américain 3M et commercialisé par sa filiale belge est utilisé par une majorité des hôpitaux pour épauler les hôpitaux dans leur gestion financière. »
Ce logiciel leur permet notamment de se comparer. « En d’autres mots, si un hôpital constate que, pour une certaine pathologie et un certain type d’hospitalisation, ses médecins engagent des moyens trop importants par rapport à ceux de leurs pairs (durée de séjour trop longue, trop d’actes fournis…), il peut, directement, rectifier le tir. »
Les contrats en question
Par ailleurs, les contrats conclus entre 3M et les hôpitaux seraient peu respectueux des garanties prévues par le RGPD et les données sont traitées en Russie. Selon Le Soir, le parcours effectué par les données est le suivant : un premier transfert est opéré depuis les hôpitaux vers 3M Belgium, un deuxième transfert est ensuite effectué depuis 3M Belgium vers Smart Analytics, présentée comme une entreprise américaine, mais dont les bureaux sont localisés en Russie. Les données sont « physiquement » stockées en Europe (en Allemagne, précisément) mais « elles sont rendues accessibles en Russie, ce qui constitue bien un transfert au sens du RGPD », précise Franck Dumortier, aux médias, le chercheur Cyber and Data Security LAB à la VUB et consultant en sécurité des données
La réponse aux accusations
De son côté, la société 3M Belgium a répondu aux accusations du Soir. Elle reconnaît la sensibilité des données relatives à la santé qui lui sont confiées et a pris des mesures significatives pour assurer la protection des droits et libertés des personnes concernées lorsque leurs données sont traitées par nos produits. "Nous collaborons étroitement avec les hôpitaux belges pour leur fournir les garanties requises par le RGPD, dans nos contrats en tant que sous-traitant, pour leur compte. Ni 3M Belgium, ni ses sous-traitants, n’ont la capacité d’identifier les patients individuels dans l’ensemble des données fournies par les hôpitaux. En outre, toutes les données sont physiquement stockées dans l’Espace Économique Européen. Le personnel de Smart Analytics étant situé en Russie, des clauses contractuelles types (CCT) sont conclues afin de garantir aux personnes concernées l’opposabilité de leurs droits et des recours juridiques effectifs."