<style>.table-scroll{width:100%;overflow-x:auto;-webkit-overflow-scrolling:touch}.table-scroll>table{width:max-content;min-width:920px;max-width:1400px}</style><p>Aucun transfert de données de santé à caractère personnel vers un pays tiers à l'espace économique européen.</p><p>Le tableau ci‑dessous recense les sous‑traitants susceptibles d'accéder aux données en dehors de l'espace économique européen, ainsi que les garanties mises en place.</p><p>Cela permet au Client de vérifier que les données de santé sont stockées exclusivement au sein de l'espace économique européen et que tout accès à distance éventuel depuis un pays tiers est dûment encadré et documenté.</p><div class="table-scroll"><table align="left" style="border-collapse:collapse;table-layout:auto;margin-bottom:20px;margin-left:auto;margin-right:auto;border:1px solid #99acc2"><tr><td style="width:12%;padding:6px;background-color:#015b5b;vertical-align:middle;overflow-wrap:break-word"><p style="color:#fff;margin:0;padding:0">Raison sociale de l'acteur</p></td><td style="width:9%;padding:6px;background-color:#015b5b;vertical-align:middle;overflow-wrap:break-word"><p style="color:#fff;margin:0;padding:0">Rôle dans le cadre de la prestation d'hébergement (Hébergeur/sous-traitant de l'Hébergeur)</p></td><td style="width:8%;padding:6px;background-color:#015b5b;vertical-align:middle;overflow-wrap:break-word"><p style="color:#fff;margin:0;padding:0">Certifié HDS (oui/non/exempté)</p></td><td style="width:8%;padding:6px;background-color:#015b5b;vertical-align:middle;overflow-wrap:break-word"><p style="color:#fff;margin:0;padding:0">Qualifié SecNumCloud 3.2</p></td><td style="width:9%;padding:6px;background-color:#015b5b;vertical-align:middle;overflow-wrap:break-word"><p style="color:#fff;margin:0;padding:0">Activités d'hébergement sur laquelle l'acteur intervient</p></td><td style="width:29%;padding:6px;background-color:#015b5b;vertical-align:middle;overflow-wrap:break-word"><p style="color:#fff;margin:0;padding:0">Accès aux données de santé à caractère personnel depuis des pays tiers à l'Espace Economique Européen, par l'Hébergeur ou l'un de ses sous-traitants (exigence n°29 du référentiel HDS)</p></td><td style="width:25%;padding:6px;background-color:#015b5b;vertical-align:middle;overflow-wrap:break-word"><p style="color:#fff;margin:0;padding:0">Hébergeur ou sous-traitant soumis à un risque d'accès aux données de santé à caractère personnel depuis des pays tiers à l'Espace Economique Européen, imposé par la législation d'un pays tiers en violation du droit de l'Union (exigence n° 30 du référentiel HDS)</p></td></tr><tr><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Semble Technology Limited & Semble France SAS</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Hébergeur</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Oui</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Non</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>3, 4, 5</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Oui, couvert par une décision d'adéquation au sens de l'article 45 du RGPD : Royaume-Uni, Décision d'exécution (UE) 2025/167 de la Commission du 21 décembre 2025 concernant la protection adéquate des données à caractère personnel par le Royaume-Uni au titre du règlement (UE) 2016/679 du Parlement européen et du Conseil.</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Non</p></td></tr><tr><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Amazon Web Services (AWS)</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Sous-traitant</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Oui</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Non</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>1, 2, 3</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Non, aucun accès aux données depuis un pays tiers à l'Espace Economique Européen</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Non</p></td></tr><tr><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>MongoDB</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Sous-traitant</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Oui</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Non</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>3</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Oui. Le support technique peut accéder aux données depuis les Etats-Unis, le Royaume-Uni, le Canada, l'Inde, l'Australie, Singapour, etc. Voir la <a href="https://www.mongodb.com/products/platform/trust/hds" rel="noopener" target="_blank">publication de MongoDB relative au référentiel HDS et son statut de certification</a>.</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Oui. Etats-Unis. Le plan de contrôle Atlas (Atlas Control Plane) est exploité depuis les Etats-Unis. Ce risque est atténué par : les clauses contractuelles types (CCT) et des mesures de sécurité (voir le Privacy Hub), le Data Privacy Framework, la certification HDS, ainsi que le chiffrement au niveau du stockage, les données et les clés de chiffrement étant hébergées dans l'UE.</p></td></tr><tr><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Google Cloud EMEA Ltd</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Sous-traitant</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Oui</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Non</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>6</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Oui. Si oui, précisez le pays concerné : couvert par une décision d'adéquation au sens de l'article 45 du RGPD :</p><ul><li>Pour Google Cloud Platform : les localisations des sous-traitants sont décrites à l'adresse <a href="https://cloud.google.com/terms/subprocessors?e=0&hl=en" rel="noopener" target="_blank">cloud.google.com/terms/subprocessors</a>.</li><li>Pour Google Workspace : les localisations des sous-traitants sont décrites à l'adresse <a href="https://workspace.google.com/intl/en/terms/subprocessors/" rel="noopener" target="_blank">workspace.google.com/terms/subprocessors</a>.</li></ul><p>Pour Google Cloud Platform et Google Workspace : pour les clients ayant contracté avec Google Cloud France SARL, l'ensemble des localisations de sous-traitants décrites ci-dessus est couvert par la décision d'adéquation de la Commission européenne relative au Data Privacy Framework UE-États-Unis (« DPF »), y compris son principe de transfert ultérieur, tant que Google adopte le DPF comme solution de transfert alternative.</p><p>Pour plus de détails sur l'adoption par Google du DPF comme solution de transfert alternative, y compris la décision d'adéquation concernée, voir <a href="https://cloud.google.com/terms/alternative-transfer-solution" rel="noopener" target="_blank">cloud.google.com/terms/alternative-transfer-solution</a>.</p><p>Si Google cesse d'adopter le DPF comme solution de transfert alternative, alors : (a) Google en informera les clients via la page relative à la solution de transfert alternative ; (b) les localisations de sous-traitants couvertes par d'autres décisions d'adéquation de la Commission européenne seront décrites sur la <a href="https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en" rel="noopener" target="_blank">page des décisions d'adéquation de la Commission européenne</a> ; et (c) Google appliquera les clauses contractuelles types, telles que décrites dans l'avenant relatif au traitement des données Cloud (Cloud Data Processing Addendum), si des données de santé à caractère personnel sont transférées vers des localisations de sous-traitants non couvertes par des décisions d'adéquation.</p><p>Pour plus de détails, veuillez consulter la Section 4 (Transferts de données) des clauses relatives au droit européen de la protection des données figurant à l'Annexe 3 (Lois spécifiques en matière de protection de la vie privée) de l'avenant relatif au traitement des données Cloud.</p></td><td style="padding:6px;vertical-align:middle;border:1px solid #015b5b;overflow-wrap:break-word"><p>Non</p></td></tr></table></div>