Publicité en cours de chargement...

Publicité en cours de chargement...

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,
Tribune - Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés
Gestion administrativeSécuritéE-santé

Écouter l'article

0:000:00
Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Un sous-traitant bénéficiant d’une autorisation générale de recruter des sous-traitants ultérieurs

Le ministère de la santé de Valence a eu recours aux services de l’hôpital Marina Salud, aux termes d’un contrat relatif à la fourniture de services de soins de santé. L’hôpital, qualifié dans le contrat de « sous-traitant » au sens du RGPD (ce qui est assez étonnant), bénéficiait d’une autorisation générale de recruter des sous-traitants ultérieurs, sous réserve d’en informer préalablement le ministère de la santé.

Au cours d’un audit réalisé auprès de l’hôpital, le ministère de la santé a constaté que son sous-traitant utilisait des logiciels tiers pour réaliser certains traitements qui lui étaient confiés, suggérant que l’hôpital avait recruté des sous-traitants ultérieurs à l’insu du ministère de la santé.

À la suite du refus de l’hôpital de communiquer les contrats des fournisseurs des logiciels tiers, le ministère de la santé de Valence a saisi l’autorité de contrôle espagnole (AEPD) d’une plainte.

L’autorisation générale de recruter des sous-traitants ne dispense pas le sous-traitant de son obligation d’informer le responsable du traitement

L’enquête menée par l’AEPD a mis en lumière que l’hôpital avait, dans le cadre des traitements réalisés pour le compte du ministère de la santé, eu recours à des sous-traitants ultérieurs, dont l’identité n’avait pas été communiquée au ministère de la santé.

Or, le contrat conclu avec le ministère de la santé, s’il instaurait une autorisation générale de recourir à des sous-traitants, assortissait cette autorisation d’une obligation de porter à la connaissance du ministère de la santé l’identité des sous-traitants auquel l’hôpital avait recours.

De même, l’article 28 du RGPD prévoit qu’en cas d’autorisation générale de sous-traitance ultérieure, il appartient au sous-traitant d’informer le responsable du traitement de « tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitant » et ce, afin de donner à ce dernier la possibilité d’émettre des objections à l’encontre de ces changements.

Compte tenu de ce qui précède, l’AEPD a considéré que l’hôpital avait non seulement violé le contrat conclu avec le ministère de la santé, mais avait aussi manqué à ses obligations au titre de l’article 28 du RGPD.

A noter enfin que, selon l’AEPD, le défaut d’information du responsable du traitement est une violation continue, qui persiste pendant toute la durée du recours au sous-traitant ultérieur à l’insu du responsable du traitement. La durée de cette violation a été prise en compte par l’AEPD, qui a fixé le montant de l’amende à 500.000 euros.

  1. https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202307719
# Logiciels tiers# Violation continue# Amende# Obligations contractuelles# Autorisation générale# Aepd# Ministère de la santé de valence# Hôpital marina salud# Rgpd# Sous-traitance
photo de DUFOULON
Gaétan DUFOULON
photo de FIEVEÉ
Alexandre FIEVEÉ

Avocat associé – Derriennic Associés

photo de ROBERT
Alice ROBERT

Avocat counsel – Derriennic Associés

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Webinaire : réussir son PCRA avec le programme CaRE, les clés partagées par Orange Cyberdefense

Webinaire : réussir son PCRA avec le programme CaRE, les clés partagées par Orange Cyberdefense

16 déc. 2025 - 14:03,

Communiqué

- Orange Cyberdefense

Orange Cyberdefense organise un webinaire, le jeudi 8 janvier 2026 de 13h30 à 14h30, consacré à la phase opérationnelle du Domaine 2 du programme CaRE, dédié à la structuration des projets de continuité et de reprise d’activité (PCA/PRA) des établissements de santé.

Illustration Éclairage sur les "frictions" entre le Règlement sur l'IA et les différentes régulations numériques européennes

Éclairage sur les "frictions" entre le Règlement sur l'IA et les différentes régulations numériques européennes

15 déc. 2025 - 22:12,

Tribune

-
Léa Rogerie &
Marguerite Brac de La Perrière

Le constat de la prolifération législative au niveau de l'Union Européenne en matière de régulation du numérique et de l'innovation est au cœur des débats en cette fin d'année.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie