Rechercher
Fermer ce champ de recherche.

DROIT et SANTE : Données personnelles, quelles qualifications pour les acteurs?

Face aux qualifications de responsable de traitement, responsable conjoint et sous-traitant, notions fondamentales du RGPD parfois complexes, Maître Laurence HUIN, du cabinet Houdart&Associés, propose quelques rappels essentiels et des exemples concrets pour mieux appréhender la protection des données personnelles.

Face aux qualifications de responsable de traitement, responsable conjoint et sous-traitant, notions fondamentales du RGPD parfois complexes, Maître Laurence HUIN, du cabinet Houdart&Associés, propose quelques rappels essentiels et des exemples concrets pour mieux appréhender la protection des données personnelles.
Notions fondamentales à la bonne compréhension et à l’application du Règlement général européen sur la protection des données personnelles (RGPD), les qualifications de responsable de traitement, responsable conjoint et sous-traitant ne sont pas toujours aisées. Or, bien que parfois complexe, la qualification retenue joue un rôle crucial dans l’application du RGPD et déterminera les obligations et la responsabilité en matière de protection des données personnelles pouvant s’élever, on le rappelle, jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.
C’est la raison pour laquelle le Comité européen à la protection des données (CEPD), rassemblant l’ensemble des autorités de contrôle européennes incluant la CNIL, a publié un nouveau projet de lignes directrices sur les notions de responsable de traitement et de sous-traitant. Tentons de revenir sur ces qualifications de manière concrète par des exemples.

Le responsable de traitement

Cette notion est définie comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul, détermine les finalités et les moyens du traitement. Ainsi, un responsable de traitement détermine le «pourquoi» (c’est-à-dire les utilisations, les objectifs du traitement de données personnelles) et le «comment» (c’est-à-dire les moyens employés pour atteindre les finalités).
Dans le cadre des GHT, la CNIL s’est prononcée sur les qualifications des établissements parties au GHT et l’établissement support: «Dès lors que l’établissement partie au GHT (y compris l’établissement support) définit les moyens et les finalités du traitement, il est responsable de traitement pour les traitements qu’il met en œuvre. Il n’y a pas de transfert automatique de responsabilité au profit du GHT ou de l’établissement support au regard de la loi Informatique et libertés, à l’exception des traitements de données nominatives nécessaires à l’analyse de l’activité médicale pour lesquels l’établissement support du GHT est responsable de traitement».

Le responsable conjoint de traitement

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement .
Le Comité Européen de la Protection des Données (CEPD) dans ses lignes directrices donne l’exemple d’un projet de recherche mis en œuvre par plusieurs instituts. Ces différents acteurs décident de participer à un projet conjoint spécifique de recherche et d’utiliser à cette fin la plateforme existante d’un des instituts impliqué dans le projet. Dans cet exemple, il est précisé que chaque institut intègre au sein de la plateforme des données personnelles qu’il détenait pour les besoins de la recherche conjointe et utilise les données fournies par les autres instituts au travers de la plateforme pour mener à bien la recherche.
Le CEPD estime dans ce contexte que l’ensemble des instituts est qualifié de responsable de traitement conjoint concernant le traitement des données personnelles relatif à la conservation et la divulgation des informations à partir de la plateforme. Chaque institut sera cependant unique responsable de traitement sur les autres traitements qu’ils peuvent mettre en œuvre en dehors de la plateforme pour leurs besoins respectifs.

Le sous-traitant

Le sous-traitant est défini comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Le sous-traitant est nécessairement une entité distincte du responsable de traitement.
Le CEPD rappelle qu’un prestataire proposant des services préétablis et standardisés, tel qu’un service SAAS, pourra être qualifié de sous-traitant au sens de la réglementation en matière de données personnelles ; le responsable de traitement restant maître du choix de recourir à ce service et de l’activer.
Une fois ces qualifications établies après une analyse au cas par cas selon les activités concrètes de chacun, les obligations spécifiques à chaque acteur pourront ainsi être mises en œuvre, notamment la conclusion des contrats entre responsables conjoints (article 26 du RGPD) et entre responsable de traitement et sous-traitant (article 28) et qui fera l’objet d’un prochain article.

Maître Laurence HUIN,  cabinet Houdart&Associés

Commentaires

Il n’y a pas encore de commentaire pour cet article.

Sur le même sujet

Le rôle d’un centre antipoison : tout ce qu’il faut savoir 

Dans le cadre de notre série de reportages au CHU d’Angers, nous avons rencontré le responsable du Centre Antipoison et Toxicovigilance du Grand Ouest, le Pr Alexis Descatha. Intoxications, serpents exotiques, veille national champignons… ce dernier a accepté de nous parler des différentes missions de son service.

HAVISAINES : Le CHU d’Angers vise la bonne santé de ses agents

Depuis l’an dernier, le CHU d’Angers déploie HAVISAINES, un dispositif de promotion de la santé à destination de ses professionnels. Au micro de CHU Média, le Pr Alexis Descatha, médecin porteur du programme, revient notamment sur les quatre piliers sur lesquels ce dispositif repose : sport, alimentation, alcool, tabac.

Violences : fin de l’omerta à l’hôpital

La semaine dernière, la Conférence des Doyens de facultés de médecine a publié un communiqué de presse co-signé avec l’Assistance Publique Hôpitaux de Paris (APHP), annonçant un engagement commun dans la lutte contre les violences au travail. Une déclaration qui fait suite aux récentes accusations de violences morales et sexuelles de Karine Lacombe à l’encontre du médecin urgentiste Patrick Pelloux.

L’ICI, nouveau temple de la cancérologie

Le CHU de Brest vient d’inaugurer son nouvel Institut de Cancérologie et d’Imagerie, surnommé ICI. Ce centre, promesse d’un hôpital centré sur l’humain et doté d’une technologie de pointe, est amené à devenir l’un des fers de lance européens dans le traitement du cancer, avec une capacité de 50 000 patients par an.

Dossier : La maladie de Parkinson 

Décrite pour la première fois dans An Essay on the Shaking Palsy (1817) par James Parkinson, un médecin anglais, la maladie de Parkinson, mentionnée souvent en abrégé « Parkinson », est une maladie neurodégénérative irréversible d’évolution lente. La maladie s’installe ainsi au cours d’une longue phase asymptomatique de plusieurs années. Les premiers symptômes ne se font en effet ressentir que lorsque 50 à 70% des neurones dopaminergiques du cerveau sont détruits. Ils se déclarent essentiellement progressivement sous la forme d’un tremblement de repos, d’un ralentissement des mouvements et d’une raideur musculaire. Néanmoins, de nombreux troubles moteurs et non moteurs peuvent s’ajouter à la liste, devenant de réels handicaps dans le quotidien de ceux qui la subissent.