DiGA : aucun prestataire de services américain n'est autorisé Apps / Droit médical
L'une des nombreuses questions relatives à l'organisation de la DiGA est de savoir comment et quels prestataires de services peuvent être impliqués.
Conformément à l'article 4, paragraphe 2 de la DiGAV (et au point 38 de l'annexe 1 sur la sécurité des données de la DiGAV), les dispositions suivantes s'appliquent :
"Si le traitement des données relatives à la santé ainsi que des données d'inventaire et de trafic identifiables personnellement est effectué exclusivement
- sur le territoire national,
- dans un autre État membre de l'Union européenne,
- dans [un État de l'EEE ou en Suisse], ou
- sur la base d'une décision d'adéquation conformément à [l'article 45 du RGPD] ?"
Une décision d'adéquation existait via l'ancien bouclier de protection de la vie privée UE-États-Unis entre l'Union européenne et les États-Unis. La CJUE a toutefois récemment décidé que le bouclier de protection de la vie privée UE-USA n'était pas valable (CJUE, arrêt du 16 juillet 2020, affaire C-311/18 - "Schrems II"). Le EU-US-Privacy-Shield était une décision qui relevait de l'article 45 du RGPD mentionné ci-dessus au § 4, alinéa 2 de la DiGAV. L'intégration de prestataires de services américains aurait donc été possible, du moins dans la mesure où ceux-ci étaient certifiés selon le EU-US-Privacy-Shield.
Actuellement, la législation sur la protection des données en général (y compris en dehors du secteur des dispositifs médicaux) cherche fébrilement des possibilités pour continuer à permettre l'intégration de prestataires de services américains et les transferts de données entre l'Union européenne et les États-Unis. Pour ce faire, on tente d'utiliser diverses autres possibilités prévues par le RGPD, notamment les clauses standard de protection des données (anciennement : clauses contractuelles standard) et les règles d'entreprise contraignantes. Toutefois, il s'agit là de solutions qui reposent sur des règles ne relevant pas de l'article 45 du RGPD. Seul l'article 45 du RGPD est mentionné dans le paragraphe 4, alinéa 2 de la DiGAV cité ci-dessus.
Dans l'ensemble, il faut donc constater actuellement qu'il n'existe aucune possibilité, dans le cadre de DiGA, d'impliquer des prestataires de services américains ou de permettre un transfert de données entre l'Union européenne et les États-Unis.
Il convient toutefois de noter que ces restrictions supplémentaires ne s'appliquent qu'à DiGA. Il est possible de proposer une application en tant que DiGA et parallèlement en tant que non-DiGA. Le BfArM ne s'y opposera pas et ne le vérifiera pas. Selon l'app concrète, il est donc possible que certaines fonctions ne soient proposées qu'en dehors des DiGA remboursables ou que des solutions soient utilisées via des fonctions d'interopérabilité et d'exportation. Il convient toutefois d'attendre l'évolution juridique et d'examiner les possibilités d'aménagement de l'application concrète.
En résumé, la plus grande prudence est donc de mise lorsque des prestataires de services sont impliqués dans DiGA. En effet, ceux-ci ne doivent pas avoir leur siège aux États-Unis et ne doivent pas non plus déclencher de transfert de données vers les États-Unis. Même si les prestataires de services ont leur siège dans un pays autorisé, des vérifications supplémentaires sont nécessaires. En effet, les prestataires de services pourraient faire appel, sans le savoir, à d'autres prestataires de services qui, à leur tour, ont leur siège aux États-Unis et déclenchent un transfert de données vers les États-Unis.