Rechercher
Fermer ce champ de recherche.

Droit et e-santé : l’accord obligatoire entre les responsables du traitement des données

Auteur /Etablissement :
La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d'assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d'accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.

La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.
Après avoir déterminé la qualification des acteurs impliqués dans un traitement de données à caractère personnel, selon les critères exposés dans notre précédent article, il convient d’appliquer les obligations juridiques liées à cette qualification.
La qualification de responsables conjoints de traitement, retenue lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, fait l’objet d’un article spécifique du Règlement général européen sur la protection des données (RGPD). Les acteurs répondant à cette qualification se doivent de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. 

Le contenu de l’accord

L’objet de cet accord est de répartir les différentes obligations liées au traitement mis en œuvre par les responsables conjoints. En d’autres termes, cet accord doit permettre de déterminer qui fait quoi entre les différents responsables conjoints.
L’article 26 du RGPD prévoit que cette définition des obligations respectives entre responsables conjoints de traitement concerne «notamment» l’exercice des droits des personnes concernées ainsi que la communication des informations visées aux articles 13 et 14 du RGPD. Toutefois, cette définition des obligations ne doit pas se limiter à ces deux seules thématiques mais doit porter sur l’ensemble des exigences posées par la règlementation en matière de données personnelles.
A ce titre, le Comité européen à la protection des données (CEPD), rassemblant l’ensemble des autorités de contrôle européennes incluant la CNIL, a listé, dans son projet de lignes directrices sur les notions de responsable de traitement et de sous-traitant, de manière là encore non exhaustive, les différentes obligations qui doivent être traitées dans l’accord. Cet accord devra donc définir les responsabilités respectives de chacun des responsables conjoints notamment sur les obligations relatives à:
– la mise en œuvre des principes généraux (article 5 du RGPD) ;
– la base légale du traitement (Article 6 du RGPD) ;
– les mesures de sécurité (article 32 du RGPD) ;
– la notification d’une violation de données personnelles à l’autorité de contrôle et aux personnes concernées (article 33 et 34 du RGPD) ;
– les analyses d’impact (articles 35 et 36 du RGPD) ;
– le recours aux sous-traitants (chapitre V du RGPD).
L’accord peut également prévoir la désignation d’un point de contact pour les personnes concernées. Cette désignation, sans qu’elle ne soit obligatoire, est recommandée pour coordonner au mieux les demandes des personnes concernées et faciliter la communication.

La forme de l’accord

Si la forme de l’accord visé par le RGPD reste libre, le CEPD recommande que cet accord revête un caractère contraignant afin qu’il puisse être opposé aux autres responsables conjoints du traitement, en cas de non-respect des obligations définies.
Dès lors, un contrat écrit sera la forme la plus appropriée et permettra également de se conformer au principe d’accountability, qui impose aux responsables de traitement d’être en mesure, à tout moment de démontrer le respect de leurs obligations. De manière concrète, on pourrait ainsi envisager d’annexer à ce contrat une matrice de responsabilités pour chacun des responsables conjoints sous forme de tableau.
Par ailleurs, l’attribution de ces obligations au sein de ce contrat ne doit pas nécessairement être équivalente entre les différents responsables conjoints du traitement. En effet, il est prévu que cet accord doit «refléter dûment» les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Ainsi, si un des responsables conjoints est en contact direct avec les personnes concernées, il sera plus à même de les informer et répondre à leurs demandes.
Outre son obligation légale, on comprend l’utilité d’un tel accord entre responsables conjoints de traitement pour assurer la bonne mise en œuvre concrète de l’ensemble des obligations prévues par la réglementation en matière de données personnelles.

Maître Laurence Huin, avocate du Cabinet Houdart & Associés.

Sur le même sujet

CHU Grenobles Alpes : vers un hôpital vert

Les hôpitaux sont des acteurs non négligeable en termes d’impact sur l’environnement. En effet, le monde de la santé produit 8 % de l’empreinte carbone française. Afin de sensibiliser à la question du développement durable, est organisée chaque année, et dans de nombreux CHU, les semaines du développement durable du 17 septembre au 08 octobre. Retour sur les actions menées au CHU de Grenoble Alpes.

A Montpellier, les maladies auto-immunes ont leur IHU

L’Institut Hospitalo-universitaire Immun4Cure, porté par l’Inserm, le CHU et l’Université de Montpellier, a officiellement été lancé ce mardi 16 septembre. Conçue pour répondre au défi de santé publique que représente l’accroissement des maladies auto-immunes, l’institution naissante souhaite se focaliser sur trois d’entre elles : la polyarthrite rhumatoïde, la sclérodermie et le lupus.

Septembre en Or : un mois dédié aux cancers pédiatriques

En France, près de 1 700 nouveaux cas de cancers chez l’enfant de moins de 15 ans et 800 chez les adolescents de 15 à 18 ans sont diagnostiqués chaque année. Malgré des progrès importants ces dernières années, le cancer reste la deuxième cause de mortalité chez les jeunes, après les accidents de la route. Tout au long du mois de septembre, les CHU se mobilisent pour sensibiliser sur ce sujet.

Cancer de la grossesse : un traitement efficace à 96% dévoilé par les HCL

Après quatre ans d’étude, le Centre national de référence des maladies trophoblastiques
des HCL, basé à l’hôpital Lyon Sud, vient de valider un traitement qui a permis d’éradiquer entièrement les tumeurs de 25 des 26 patientes enceintes suivies dans le cadre d’un essai clinique. Une avancée majeure contre une forme de cancer de la grossesse qui a été présentée lors du congrès annuel de la Société Européenne d’Oncologie Médicale, à Barcelone.