Publicité en cours de chargement...
Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
Écouter l'article
Un sous-traitant bénéficiant d’une autorisation générale de recruter des sous-traitants ultérieurs
Le ministère de la santé de Valence a eu recours aux services de l’hôpital Marina Salud, aux termes d’un contrat relatif à la fourniture de services de soins de santé. L’hôpital, qualifié dans le contrat de « sous-traitant » au sens du RGPD (ce qui est assez étonnant), bénéficiait d’une autorisation générale de recruter des sous-traitants ultérieurs, sous réserve d’en informer préalablement le ministère de la santé.
Au cours d’un audit réalisé auprès de l’hôpital, le ministère de la santé a constaté que son sous-traitant utilisait des logiciels tiers pour réaliser certains traitements qui lui étaient confiés, suggérant que l’hôpital avait recruté des sous-traitants ultérieurs à l’insu du ministère de la santé.
À la suite du refus de l’hôpital de communiquer les contrats des fournisseurs des logiciels tiers, le ministère de la santé de Valence a saisi l’autorité de contrôle espagnole (AEPD) d’une plainte.
L’autorisation générale de recruter des sous-traitants ne dispense pas le sous-traitant de son obligation d’informer le responsable du traitement
L’enquête menée par l’AEPD a mis en lumière que l’hôpital avait, dans le cadre des traitements réalisés pour le compte du ministère de la santé, eu recours à des sous-traitants ultérieurs, dont l’identité n’avait pas été communiquée au ministère de la santé.
Or, le contrat conclu avec le ministère de la santé, s’il instaurait une autorisation générale de recourir à des sous-traitants, assortissait cette autorisation d’une obligation de porter à la connaissance du ministère de la santé l’identité des sous-traitants auquel l’hôpital avait recours.
De même, l’article 28 du RGPD prévoit qu’en cas d’autorisation générale de sous-traitance ultérieure, il appartient au sous-traitant d’informer le responsable du traitement de « tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitant » et ce, afin de donner à ce dernier la possibilité d’émettre des objections à l’encontre de ces changements.
Compte tenu de ce qui précède, l’AEPD a considéré que l’hôpital avait non seulement violé le contrat conclu avec le ministère de la santé, mais avait aussi manqué à ses obligations au titre de l’article 28 du RGPD.
A noter enfin que, selon l’AEPD, le défaut d’information du responsable du traitement est une violation continue, qui persiste pendant toute la durée du recours au sous-traitant ultérieur à l’insu du responsable du traitement. La durée de cette violation a été prise en compte par l’AEPD, qui a fixé le montant de l’amende à 500.000 euros.
Gaétan DUFOULON
Alexandre FIEVEÉ
Avocat associé – Derriennic Associés
Alice ROBERT
Avocat counsel – Derriennic Associés
Avez-vous apprécié ce contenu ?
A lire également.
Jean-Christophe Zerbini prend la direction générale de l’Agence du Numérique en Santé
08 déc. 2025 - 12:09,
Communiqué
- ANSProfessionnel reconnu du numérique en santé, homme de terrain et dirigeant engagé, Jean-Christophe Zerbini a été nommé directeur général de l’Agence du Numérique en Santé (ANS) par arrêté du 23 septembre 2025. Il prendra ses fonctions le 8 décembre, succédant à Annie Prévot, qui a porté l’Agence pen...
Stéphanie Rist fusionne recherche, innovation et numérique en une direction unique
05 déc. 2025 - 17:49,
Actualité
- Rédaction, DSIHAux Assises hospitalo-universitaires, la ministre de la Santé Stéphanie Rist a annoncé une réorganisation d’ampleur du ministère, avec la création d’une direction unique dédiée à la recherche, à l’innovation et au numérique en santé. Ce nouveau pilotage, présenté comme un levier de l’« État efficace...
Téléconsultation de Territoire Assistée : une révolution saluée par les patients dans le Grand Est
02 mai 2025 - 14:47,
Actualité
- DSIHUne nouvelle ère pour l’accès aux soins voit le jour grâce à la Téléconsultation de Territoire Assistée, un modèle innovant testé avec succès dans la région Grand Est. Porté par e-Meuse santé en collaboration avec les URPS Pharmaciens et Infirmiers du Grand Est, ce dispositif allie technologie et ac...
![Illustration [SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !](/_next/image?url=https%3A%2F%2Fdsih.fr%2Fupld%2Farticles%2F2025%2F05%2F20230523_114151-min.jpg&w=3840&q=75)
[SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !
05 mai 2025 - 18:50,
Communiqué
- Axigate LinkÀ l’occasion de SantExpo, du 20 au 22 mai 2025, retrouvez les équipes de la Division Axigate Link du Groupe EQUASENS à SANTEXPO sur le Stand K48 pour échanger autour de vos enjeux métier, découvrir les innovations logicielles, et assister à une série de conférences exclusives animées avec nos client...
