Droit et e-santé : l’accord obligatoire entre les responsables du traitement des données

La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d'assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d'accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.

La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.
Après avoir déterminé la qualification des acteurs impliqués dans un traitement de données à caractère personnel, selon les critères exposés dans notre précédent article, il convient d’appliquer les obligations juridiques liées à cette qualification.
La qualification de responsables conjoints de traitement, retenue lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, fait l’objet d’un article spécifique du Règlement général européen sur la protection des données (RGPD). Les acteurs répondant à cette qualification se doivent de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. 

Le contenu de l’accord

L’objet de cet accord est de répartir les différentes obligations liées au traitement mis en œuvre par les responsables conjoints. En d’autres termes, cet accord doit permettre de déterminer qui fait quoi entre les différents responsables conjoints.
L’article 26 du RGPD prévoit que cette définition des obligations respectives entre responsables conjoints de traitement concerne «notamment» l’exercice des droits des personnes concernées ainsi que la communication des informations visées aux articles 13 et 14 du RGPD. Toutefois, cette définition des obligations ne doit pas se limiter à ces deux seules thématiques mais doit porter sur l’ensemble des exigences posées par la règlementation en matière de données personnelles.
A ce titre, le Comité européen à la protection des données (CEPD), rassemblant l’ensemble des autorités de contrôle européennes incluant la CNIL, a listé, dans son projet de lignes directrices sur les notions de responsable de traitement et de sous-traitant, de manière là encore non exhaustive, les différentes obligations qui doivent être traitées dans l’accord. Cet accord devra donc définir les responsabilités respectives de chacun des responsables conjoints notamment sur les obligations relatives à:
– la mise en œuvre des principes généraux (article 5 du RGPD) ;
– la base légale du traitement (Article 6 du RGPD) ;
– les mesures de sécurité (article 32 du RGPD) ;
– la notification d’une violation de données personnelles à l’autorité de contrôle et aux personnes concernées (article 33 et 34 du RGPD) ;
– les analyses d’impact (articles 35 et 36 du RGPD) ;
– le recours aux sous-traitants (chapitre V du RGPD).
L’accord peut également prévoir la désignation d’un point de contact pour les personnes concernées. Cette désignation, sans qu’elle ne soit obligatoire, est recommandée pour coordonner au mieux les demandes des personnes concernées et faciliter la communication.

La forme de l’accord

Si la forme de l’accord visé par le RGPD reste libre, le CEPD recommande que cet accord revête un caractère contraignant afin qu’il puisse être opposé aux autres responsables conjoints du traitement, en cas de non-respect des obligations définies.
Dès lors, un contrat écrit sera la forme la plus appropriée et permettra également de se conformer au principe d’accountability, qui impose aux responsables de traitement d’être en mesure, à tout moment de démontrer le respect de leurs obligations. De manière concrète, on pourrait ainsi envisager d’annexer à ce contrat une matrice de responsabilités pour chacun des responsables conjoints sous forme de tableau.
Par ailleurs, l’attribution de ces obligations au sein de ce contrat ne doit pas nécessairement être équivalente entre les différents responsables conjoints du traitement. En effet, il est prévu que cet accord doit «refléter dûment» les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Ainsi, si un des responsables conjoints est en contact direct avec les personnes concernées, il sera plus à même de les informer et répondre à leurs demandes.
Outre son obligation légale, on comprend l’utilité d’un tel accord entre responsables conjoints de traitement pour assurer la bonne mise en œuvre concrète de l’ensemble des obligations prévues par la réglementation en matière de données personnelles.

Maître Laurence Huin, avocate du Cabinet Houdart & Associés.

Commentaires

Il n’y a pas encore de commentaire pour cet article.

Sur le même sujet

Greffe du foie : une machine pour réanimer les greffons fragiles

Depuis le mois de juillet, ont été réalisées au sein du CHU de Toulouse cinq greffes de foies impliquant des greffons reperfusés et oxygénés. Une avancée importante, rendue possible par l’arrivée d’une machine à perfusion. Si elle est pratiquée dans plusieurs hôpitaux français, cette technique laisse entrevoir, à l’heure où sévit une pénurie d’organes, des progrès majeurs dans le champ de la greffe.

Télémédecine : à la rescousse des marins du monde entier

Elle a beau se trouver à une heure et demie de la Méditerranée, Toulouse est scrutée par les marins du monde entier. La ville rose, plus précisément le centre d’urgence médicale de l’hôpital Purpan, abrite le Centre de consultation médicale maritime français. Chaque jour, ce SAMU des océans vient en aide aux professionnels de la mer aux quatre coins du globe. Immersion dans ce lieu largement méconnu du grand public.

Dépistage du mélanome : ce scanner crée un avatar numérique de la peau 

Il y a quelques semaines, le Vectra 3D prenait ses quartiers dans le tout nouveau centre de dépistage automatisé du mélanome Marseille, situé à l’hôpital de la Conception (AP-HM). Concrètement, il permet à un patient qui aurait de nombreux grains de beauté de voir l’ensemble de sa peau scannée en images haute définition et reconstituée sous la forme d’un avatar numérique. Une avancée importante dans le dépistage du mélanome, véritable problème de santé publique. Reportage.

Quartiers nord de Marseille : un centre de santé unique rattaché à l’AP-HM

Nous avions déjà entendu Michel Rotilly parler du centre de santé des Aygalades, structure multidisciplinaire rattachée à l’AP-HM. C’était au mois de mai à Paris. La fracture territoriale entre les quartiers nord et le reste de la cité phocéenne, illustrée entre autres par un taux élevé de mortalité durant la crise du COVID, avait servi de préambule à la présentation du centre, unique en son genre. Deux mois plus tard, nous le retrouvons sur place pour en comprendre le fonctionnement et les enjeux au quotidien. Entretien.