Publicité en cours de chargement...
Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
Écouter l'article
Un sous-traitant bénéficiant d’une autorisation générale de recruter des sous-traitants ultérieurs
Le ministère de la santé de Valence a eu recours aux services de l’hôpital Marina Salud, aux termes d’un contrat relatif à la fourniture de services de soins de santé. L’hôpital, qualifié dans le contrat de « sous-traitant » au sens du RGPD (ce qui est assez étonnant), bénéficiait d’une autorisation générale de recruter des sous-traitants ultérieurs, sous réserve d’en informer préalablement le ministère de la santé.
Au cours d’un audit réalisé auprès de l’hôpital, le ministère de la santé a constaté que son sous-traitant utilisait des logiciels tiers pour réaliser certains traitements qui lui étaient confiés, suggérant que l’hôpital avait recruté des sous-traitants ultérieurs à l’insu du ministère de la santé.
À la suite du refus de l’hôpital de communiquer les contrats des fournisseurs des logiciels tiers, le ministère de la santé de Valence a saisi l’autorité de contrôle espagnole (AEPD) d’une plainte.
L’autorisation générale de recruter des sous-traitants ne dispense pas le sous-traitant de son obligation d’informer le responsable du traitement
L’enquête menée par l’AEPD a mis en lumière que l’hôpital avait, dans le cadre des traitements réalisés pour le compte du ministère de la santé, eu recours à des sous-traitants ultérieurs, dont l’identité n’avait pas été communiquée au ministère de la santé.
Or, le contrat conclu avec le ministère de la santé, s’il instaurait une autorisation générale de recourir à des sous-traitants, assortissait cette autorisation d’une obligation de porter à la connaissance du ministère de la santé l’identité des sous-traitants auquel l’hôpital avait recours.
De même, l’article 28 du RGPD prévoit qu’en cas d’autorisation générale de sous-traitance ultérieure, il appartient au sous-traitant d’informer le responsable du traitement de « tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitant » et ce, afin de donner à ce dernier la possibilité d’émettre des objections à l’encontre de ces changements.
Compte tenu de ce qui précède, l’AEPD a considéré que l’hôpital avait non seulement violé le contrat conclu avec le ministère de la santé, mais avait aussi manqué à ses obligations au titre de l’article 28 du RGPD.
A noter enfin que, selon l’AEPD, le défaut d’information du responsable du traitement est une violation continue, qui persiste pendant toute la durée du recours au sous-traitant ultérieur à l’insu du responsable du traitement. La durée de cette violation a été prise en compte par l’AEPD, qui a fixé le montant de l’amende à 500.000 euros.
Gaétan DUFOULON
Alexandre FIEVEÉ
Avocat associé – Derriennic Associés
Alice ROBERT
Avocat counsel – Derriennic Associés
Avez-vous apprécié ce contenu ?
A lire également.
Centre hospitalier de Moulins-Yzeure : conserver une capacité de coordination lorsque la crise survient
05 mai 2026 - 07:15,
Actualité
- Fabrice Deblock, DSIHPlan Blanc, cyberattaque, intoxication… Les établissements de santé doivent piloter des crises impliquant SAMU, services, direction de garde et partenaires extérieurs. Au CH de Moulins-Yzeure, les solutions CrisiSoft structurent l’alerte, le suivi des ressources et la coordination territoriale.
Fuites de données en France : inquiétant, désabusé…ou espoir ?
28 avril 2026 - 08:10,
Tribune
-En 2025, la France a détenu le record du nombre de fuites de données personnelles (ramené à la population), tout pays de l’OCDE confondu.
La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.
Cloud souverain : le décret SREN durcit le cadre pour les données sensibles du secteur public
27 avril 2026 - 09:16,
Actualité
- Rédaction, DSIHLe décret d’application de l’article 31 de la loi visant à sécuriser et réguler l’espace numérique vient enfin préciser les conditions d’hébergement des données sensibles dans le cloud. Pour les établissements de santé, les administrations et les opérateurs publics, le texte marque une nouvelle étap...
