Publicité en cours de chargement...

Publicité en cours de chargement...

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,
Tribune - Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Écouter l'article

0:000:00
Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Un sous-traitant bénéficiant d’une autorisation générale de recruter des sous-traitants ultérieurs

Le ministère de la santé de Valence a eu recours aux services de l’hôpital Marina Salud, aux termes d’un contrat relatif à la fourniture de services de soins de santé. L’hôpital, qualifié dans le contrat de « sous-traitant » au sens du RGPD (ce qui est assez étonnant), bénéficiait d’une autorisation générale de recruter des sous-traitants ultérieurs, sous réserve d’en informer préalablement le ministère de la santé.

Au cours d’un audit réalisé auprès de l’hôpital, le ministère de la santé a constaté que son sous-traitant utilisait des logiciels tiers pour réaliser certains traitements qui lui étaient confiés, suggérant que l’hôpital avait recruté des sous-traitants ultérieurs à l’insu du ministère de la santé.

À la suite du refus de l’hôpital de communiquer les contrats des fournisseurs des logiciels tiers, le ministère de la santé de Valence a saisi l’autorité de contrôle espagnole (AEPD) d’une plainte.

L’autorisation générale de recruter des sous-traitants ne dispense pas le sous-traitant de son obligation d’informer le responsable du traitement

L’enquête menée par l’AEPD a mis en lumière que l’hôpital avait, dans le cadre des traitements réalisés pour le compte du ministère de la santé, eu recours à des sous-traitants ultérieurs, dont l’identité n’avait pas été communiquée au ministère de la santé.

Or, le contrat conclu avec le ministère de la santé, s’il instaurait une autorisation générale de recourir à des sous-traitants, assortissait cette autorisation d’une obligation de porter à la connaissance du ministère de la santé l’identité des sous-traitants auquel l’hôpital avait recours.

De même, l’article 28 du RGPD prévoit qu’en cas d’autorisation générale de sous-traitance ultérieure, il appartient au sous-traitant d’informer le responsable du traitement de « tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitant » et ce, afin de donner à ce dernier la possibilité d’émettre des objections à l’encontre de ces changements.

Compte tenu de ce qui précède, l’AEPD a considéré que l’hôpital avait non seulement violé le contrat conclu avec le ministère de la santé, mais avait aussi manqué à ses obligations au titre de l’article 28 du RGPD.

A noter enfin que, selon l’AEPD, le défaut d’information du responsable du traitement est une violation continue, qui persiste pendant toute la durée du recours au sous-traitant ultérieur à l’insu du responsable du traitement. La durée de cette violation a été prise en compte par l’AEPD, qui a fixé le montant de l’amende à 500.000 euros.


  1. https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202307719
photo de DUFOULON
Gaétan DUFOULON
photo de FIEVEÉ
Alexandre FIEVEÉ

Avocat associé – Derriennic Associés

photo de ROBERT
Alice ROBERT

Avocat counsel – Derriennic Associés

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

01 juil. 2025 - 00:42,

Actualité

- Propos recueillis par Pauline Nicolas

La création d’une plateforme digitale en anatomopathologie entre les trois CHU de Nouvelle-Aquitaine afin d’améliorer la prise en charge des patients et faciliter l’accès aux expertises entre différents établissements de santé reflète l’ambition et les objectifs du projet eNovA-Path qui se déploie a...

Illustration Un nouveau Comex pour le Conseil du numérique en santé

Un nouveau Comex pour le Conseil du numérique en santé

30 juin 2025 - 23:46,

Actualité

- Damien Dubois, DSIH

Le 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Illustration Les SI de santé : c’est tout de même assez dingue en 2025 que…

Les SI de santé : c’est tout de même assez dingue en 2025 que…

28 avril 2025 - 21:51,

Tribune

-
Cédric Cartau

Forcément, dans la cyber on voit passer quasiment tous les projets IT d’une organisation : en principe, ils doivent tous suivre une étape d’homologation, sans parler de ceux qui mettent en œuvre des traitements RGPD enclenchant mécaniquement et a minima une inscription à un registre interne.

Illustration Élargissement de la feuille de route pour la performance des achats et de la logistique

Élargissement de la feuille de route pour la performance des achats et de la logistique

06 mai 2025 - 08:10,

Actualité

- Damien Dubois, DSIH

Le 28 avril, la feuille de route pour la performance des achats et de la logistique des établissements de santé et médico-sociaux a été étendue selon trois axes structurants : Pilotage, Produits de santé et criticité, Pratiques et processus d’achat.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.