Rechercher
Fermer ce champ de recherche.

Droit et e-santé : l’accord obligatoire entre les responsables du traitement des données

La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d'assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d'accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.

La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.
Après avoir déterminé la qualification des acteurs impliqués dans un traitement de données à caractère personnel, selon les critères exposés dans notre précédent article, il convient d’appliquer les obligations juridiques liées à cette qualification.
La qualification de responsables conjoints de traitement, retenue lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, fait l’objet d’un article spécifique du Règlement général européen sur la protection des données (RGPD). Les acteurs répondant à cette qualification se doivent de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. 

Le contenu de l’accord

L’objet de cet accord est de répartir les différentes obligations liées au traitement mis en œuvre par les responsables conjoints. En d’autres termes, cet accord doit permettre de déterminer qui fait quoi entre les différents responsables conjoints.
L’article 26 du RGPD prévoit que cette définition des obligations respectives entre responsables conjoints de traitement concerne «notamment» l’exercice des droits des personnes concernées ainsi que la communication des informations visées aux articles 13 et 14 du RGPD. Toutefois, cette définition des obligations ne doit pas se limiter à ces deux seules thématiques mais doit porter sur l’ensemble des exigences posées par la règlementation en matière de données personnelles.
A ce titre, le Comité européen à la protection des données (CEPD), rassemblant l’ensemble des autorités de contrôle européennes incluant la CNIL, a listé, dans son projet de lignes directrices sur les notions de responsable de traitement et de sous-traitant, de manière là encore non exhaustive, les différentes obligations qui doivent être traitées dans l’accord. Cet accord devra donc définir les responsabilités respectives de chacun des responsables conjoints notamment sur les obligations relatives à:
– la mise en œuvre des principes généraux (article 5 du RGPD) ;
– la base légale du traitement (Article 6 du RGPD) ;
– les mesures de sécurité (article 32 du RGPD) ;
– la notification d’une violation de données personnelles à l’autorité de contrôle et aux personnes concernées (article 33 et 34 du RGPD) ;
– les analyses d’impact (articles 35 et 36 du RGPD) ;
– le recours aux sous-traitants (chapitre V du RGPD).
L’accord peut également prévoir la désignation d’un point de contact pour les personnes concernées. Cette désignation, sans qu’elle ne soit obligatoire, est recommandée pour coordonner au mieux les demandes des personnes concernées et faciliter la communication.

La forme de l’accord

Si la forme de l’accord visé par le RGPD reste libre, le CEPD recommande que cet accord revête un caractère contraignant afin qu’il puisse être opposé aux autres responsables conjoints du traitement, en cas de non-respect des obligations définies.
Dès lors, un contrat écrit sera la forme la plus appropriée et permettra également de se conformer au principe d’accountability, qui impose aux responsables de traitement d’être en mesure, à tout moment de démontrer le respect de leurs obligations. De manière concrète, on pourrait ainsi envisager d’annexer à ce contrat une matrice de responsabilités pour chacun des responsables conjoints sous forme de tableau.
Par ailleurs, l’attribution de ces obligations au sein de ce contrat ne doit pas nécessairement être équivalente entre les différents responsables conjoints du traitement. En effet, il est prévu que cet accord doit «refléter dûment» les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Ainsi, si un des responsables conjoints est en contact direct avec les personnes concernées, il sera plus à même de les informer et répondre à leurs demandes.
Outre son obligation légale, on comprend l’utilité d’un tel accord entre responsables conjoints de traitement pour assurer la bonne mise en œuvre concrète de l’ensemble des obligations prévues par la réglementation en matière de données personnelles.

Maître Laurence Huin, avocate du Cabinet Houdart & Associés.

Commentaires

Il n’y a pas encore de commentaire pour cet article.

Sur le même sujet

L’ICI, nouveau temple de la cancérologie

Le CHU de Brest vient d’inaugurer son nouvel Institut de Cancérologie et d’Imagerie, surnommé ICI. Ce centre, promesse d’un hôpital centré sur l’humain et doté d’une technologie de pointe, est amené à devenir l’un des fers de lance européens dans le traitement du cancer, avec une capacité de 50 000 patients par an.

Dossier : La maladie de Parkinson 

Décrite pour la première fois dans An Essay on the Shaking Palsy (1817) par James Parkinson, un médecin anglais, la maladie de Parkinson, mentionnée souvent en abrégé « Parkinson », est une maladie neurodégénérative irréversible d’évolution lente. La maladie s’installe ainsi au cours d’une longue phase asymptomatique de plusieurs années. Les premiers symptômes ne se font en effet ressentir que lorsque 50 à 70% des neurones dopaminergiques du cerveau sont détruits. Ils se déclarent essentiellement progressivement sous la forme d’un tremblement de repos, d’un ralentissement des mouvements et d’une raideur musculaire. Néanmoins, de nombreux troubles moteurs et non moteurs peuvent s’ajouter à la liste, devenant de réels handicaps dans le quotidien de ceux qui la subissent.

Voici comment le CHU de Rennes agit pour contrer Parkinson

Ce jeudi 11 avril a lieu la Journée internationale de la maladie de Parkinson. L’occasion pour les CHU de valoriser leur implication sur ce sujet, notamment à travers les Centres Experts Parkinson (CEP) affiliés. Le Centre Hospitalier Universitaire de Rennes ne manque pas à l’appel, mettant en valeur des actions qui garantissent à la fois une offre diagnostique simplifiée et une prise en charge multidisciplinaire, adaptée au profil de chaque patient.

L’IHU toulousain dédié au vieillissement officiellement lancé

L’Institut Hospitalo-Universitaire HealthAge a officiellement été lancé le 2 avril à Toulouse. Porté par le CHU, l’Inserm et l’Université Toulouse III – Paul Sabatier, cet IHU, le seul exclusivement dédié au vieillissement en France, se donne pour ambition de contribuer au vieillissement en bonne santé des populations et de devenir le centre de référence européen en Géroscience.

Un patient Parkinsonien entreprend le tour du monde à la voile 

Le 10 septembre dernier a retenti le “top départ” des quatorze monocoques participant à l’Ocean Globe Race 2023, une course à voile en équipage autour du monde. A bord du voilier Neptune, deux personnages : le Dr Tanneguy Raffray, ophtalmologue à la retraite, et Bertrand Delhom, ancien moniteur de voile atteint de la maladie de Parkinson. Leur aventure, jalonnée de nombreux défis, est suivie de près par plusieurs professionnels de santé du CHU de Rennes, dont l’avis est à entendre dans le podcast “Qui ose vivra !”