Droit et e-santé : l’accord obligatoire entre les responsables du traitement des données

La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d'assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d'accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.

La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.
Après avoir déterminé la qualification des acteurs impliqués dans un traitement de données à caractère personnel, selon les critères exposés dans notre précédent article, il convient d’appliquer les obligations juridiques liées à cette qualification.
La qualification de responsables conjoints de traitement, retenue lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, fait l’objet d’un article spécifique du Règlement général européen sur la protection des données (RGPD). Les acteurs répondant à cette qualification se doivent de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. 

Le contenu de l’accord

L’objet de cet accord est de répartir les différentes obligations liées au traitement mis en œuvre par les responsables conjoints. En d’autres termes, cet accord doit permettre de déterminer qui fait quoi entre les différents responsables conjoints.
L’article 26 du RGPD prévoit que cette définition des obligations respectives entre responsables conjoints de traitement concerne «notamment» l’exercice des droits des personnes concernées ainsi que la communication des informations visées aux articles 13 et 14 du RGPD. Toutefois, cette définition des obligations ne doit pas se limiter à ces deux seules thématiques mais doit porter sur l’ensemble des exigences posées par la règlementation en matière de données personnelles.
A ce titre, le Comité européen à la protection des données (CEPD), rassemblant l’ensemble des autorités de contrôle européennes incluant la CNIL, a listé, dans son projet de lignes directrices sur les notions de responsable de traitement et de sous-traitant, de manière là encore non exhaustive, les différentes obligations qui doivent être traitées dans l’accord. Cet accord devra donc définir les responsabilités respectives de chacun des responsables conjoints notamment sur les obligations relatives à:
– la mise en œuvre des principes généraux (article 5 du RGPD) ;
– la base légale du traitement (Article 6 du RGPD) ;
– les mesures de sécurité (article 32 du RGPD) ;
– la notification d’une violation de données personnelles à l’autorité de contrôle et aux personnes concernées (article 33 et 34 du RGPD) ;
– les analyses d’impact (articles 35 et 36 du RGPD) ;
– le recours aux sous-traitants (chapitre V du RGPD).
L’accord peut également prévoir la désignation d’un point de contact pour les personnes concernées. Cette désignation, sans qu’elle ne soit obligatoire, est recommandée pour coordonner au mieux les demandes des personnes concernées et faciliter la communication.

La forme de l’accord

Si la forme de l’accord visé par le RGPD reste libre, le CEPD recommande que cet accord revête un caractère contraignant afin qu’il puisse être opposé aux autres responsables conjoints du traitement, en cas de non-respect des obligations définies.
Dès lors, un contrat écrit sera la forme la plus appropriée et permettra également de se conformer au principe d’accountability, qui impose aux responsables de traitement d’être en mesure, à tout moment de démontrer le respect de leurs obligations. De manière concrète, on pourrait ainsi envisager d’annexer à ce contrat une matrice de responsabilités pour chacun des responsables conjoints sous forme de tableau.
Par ailleurs, l’attribution de ces obligations au sein de ce contrat ne doit pas nécessairement être équivalente entre les différents responsables conjoints du traitement. En effet, il est prévu que cet accord doit «refléter dûment» les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Ainsi, si un des responsables conjoints est en contact direct avec les personnes concernées, il sera plus à même de les informer et répondre à leurs demandes.
Outre son obligation légale, on comprend l’utilité d’un tel accord entre responsables conjoints de traitement pour assurer la bonne mise en œuvre concrète de l’ensemble des obligations prévues par la réglementation en matière de données personnelles.

Maître Laurence Huin, avocate du Cabinet Houdart & Associés.

Commentaires

Il n’y a pas encore de commentaire pour cet article.

Sur le même sujet

A Lyon, l’IA prédit désormais des résultats d’essais cliniques

Le 11 septembre dernier, le groupe pharmaceutique AstraZeneca a publié les résultats d’un essai clinique sur un traitement pour soigner le cancer du poumon. Jusqu’ici, tout paraît à peu près normal. Ce qui l’est moins : trois jours avant cette publication, une intelligence artificielle a permis de prédire avec justesse les résultats de ce même essai. Une grande première au niveau mondial.

Dossier : l’Accident Vasculaire Cérébral (AVC)

L’Accident Vasculaire Cérébral touche 150 000 personnes par an. Responsable de 110 000 hospitalisations selon le ministère de la santé, cet arrêt soudain de la circulation sanguin à l’intérieur du cerveau représente la troisième cause de décès chez l’homme et deuxième chez la femme, soit au total 30 000 décès par an. En France, plus de 500 000 Français vivent avec des séquelles suite à un AVC.

AVC : la promesse d’une prise en charge en moins de dix minutes

Les conséquences d’un Accident Cardiovasculaire (AVC) peuvent être lourdes, voire fatales. Première cause de dépendance et troisième cause de mortalité en France, cette pathologie due à une mauvaise irrigation du cerveau fait de plus en plus de victimes. Face à cette réalité alarmante, le CHU de Montpellier a annoncé fin août la mise en place d’un nouveau plateau technique offrant aux patients un parcours de soins optimisé. Et de promettre désormais une “prise en charge en neuf minutes”.

Coup d’oeil sur le métier d’infirmière formatrice

Isabelle Teurlay-Nicot est infirmière formatrice auprès des aides-soignants à l’IMS (Institut des Métiers de la Santé) du CHU de Bordeaux. Un métier qui ne se limite pas seulement à la notion d’apprentissage. En juillet dernier, elle a accepté de revenir sur cette profession ou se mêlent expertise médicale et pédagogie.

Hépatite C : à Strasbourg, Frédéric Chaffraix dirige le service qui l’a soigné

C’est tout près de l’hôpital Civil (Hôpitaux Universitaires de Strasbourg) que nous avons croisé la route de Frédéric Chaffraix, Responsable du Service Expert de Lutte contre les Hépatites Virales en Alsace (SELHVA). Ce service, l’homme de 42 ans le connaît bien. Car avant d’en prendre la tête – lui qui n’est pas médecin -, Frédéric l’a côtoyé en tant que patient, après avoir vécu vingt-trois ans, et sans le savoir, avec le virus de l’hépatite C. Rencontre.