Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,
Tribune - Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés
Gestion administrativeSécuritéE-santé

Écouter l'article

0:000:00
Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Un sous-traitant bénéficiant d’une autorisation générale de recruter des sous-traitants ultérieurs

Le ministère de la santé de Valence a eu recours aux services de l’hôpital Marina Salud, aux termes d’un contrat relatif à la fourniture de services de soins de santé. L’hôpital, qualifié dans le contrat de « sous-traitant » au sens du RGPD (ce qui est assez étonnant), bénéficiait d’une autorisation générale de recruter des sous-traitants ultérieurs, sous réserve d’en informer préalablement le ministère de la santé.

Au cours d’un audit réalisé auprès de l’hôpital, le ministère de la santé a constaté que son sous-traitant utilisait des logiciels tiers pour réaliser certains traitements qui lui étaient confiés, suggérant que l’hôpital avait recruté des sous-traitants ultérieurs à l’insu du ministère de la santé.

À la suite du refus de l’hôpital de communiquer les contrats des fournisseurs des logiciels tiers, le ministère de la santé de Valence a saisi l’autorité de contrôle espagnole (AEPD) d’une plainte.

L’autorisation générale de recruter des sous-traitants ne dispense pas le sous-traitant de son obligation d’informer le responsable du traitement

L’enquête menée par l’AEPD a mis en lumière que l’hôpital avait, dans le cadre des traitements réalisés pour le compte du ministère de la santé, eu recours à des sous-traitants ultérieurs, dont l’identité n’avait pas été communiquée au ministère de la santé.

Or, le contrat conclu avec le ministère de la santé, s’il instaurait une autorisation générale de recourir à des sous-traitants, assortissait cette autorisation d’une obligation de porter à la connaissance du ministère de la santé l’identité des sous-traitants auquel l’hôpital avait recours.

De même, l’article 28 du RGPD prévoit qu’en cas d’autorisation générale de sous-traitance ultérieure, il appartient au sous-traitant d’informer le responsable du traitement de « tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitant » et ce, afin de donner à ce dernier la possibilité d’émettre des objections à l’encontre de ces changements.

Compte tenu de ce qui précède, l’AEPD a considéré que l’hôpital avait non seulement violé le contrat conclu avec le ministère de la santé, mais avait aussi manqué à ses obligations au titre de l’article 28 du RGPD.

A noter enfin que, selon l’AEPD, le défaut d’information du responsable du traitement est une violation continue, qui persiste pendant toute la durée du recours au sous-traitant ultérieur à l’insu du responsable du traitement. La durée de cette violation a été prise en compte par l’AEPD, qui a fixé le montant de l’amende à 500.000 euros.

  1. https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202307719
# Logiciels tiers# Violation continue# Amende# Obligations contractuelles# Autorisation générale# Aepd# Ministère de la santé de valence# Hôpital marina salud# Rgpd# Sous-traitance
photo de DUFOULON
Gaétan DUFOULON
photo de FIEVEÉ
Alexandre FIEVEÉ

Avocat associé – Derriennic Associés

photo de ROBERT
Alice ROBERT

Avocat counsel – Derriennic Associés

Avez-vous apprécié ce contenu ?

A lire également.

Illustration SantExpo 2026 : le temps soignant au cœur de l’innovation Dedalus

SantExpo 2026 : le temps soignant au cœur de l’innovation Dedalus

11 mai 2026 - 11:29,

Communiqué

- Dedalus

À l’occasion de SantExpo 2026, Dedalus réaffirme sa mission : accompagner une numérisation à la fois rapide, utile et maîtrisée, pleinement alignée avec les besoins des établissements de santé, dans un contexte d’accélération des transformations du secteur. À travers un programme dédié, nous mettron...

Illustration SantExpo 2026 : 1 an de Numih France et une nouvelle dynamique engagée !

SantExpo 2026 : 1 an de Numih France et une nouvelle dynamique engagée !

11 mai 2026 - 10:53,

Communiqué

- Numih France

Il y a un an, nous célébrions ensemble la naissance de Numih France sur le salon incontournable dédié à la e-santé : SantExpo.

Illustration Libérer le potentiel des données de traitement grâce à l’interopérabilité

Libérer le potentiel des données de traitement grâce à l’interopérabilité

11 mai 2025 - 18:00,

Tribune

- Abdelkrim Boureche & Dimitrios Kakoulis (Infor)

Le secteur de la santé est confronté à d’énormes défis : optimiser son efficacité et réduire la charge administrative tout en intégrant davantage de qualité, de précision et de personnalisation. Pour y répondre, les données de traitement jouent un rôle clé. Mais la diversité de leurs formats et de l...

Illustration HospiConnect au CH d’Arles : la fin des reconnexions à répétition

HospiConnect au CH d’Arles : la fin des reconnexions à répétition

05 mai 2026 - 07:59,

Actualité

- Pierre Derrouch, DSIH

Lauréat de la phase alpha du programme national HospiConnect, le Centre Hospitalier d'Arles a déployé une solution d'authentification unifiée par carte professionnelle sans contact dans ses services pilotes : chirurgie ambulatoire et urgences. Cadre de santé, aide-soignant, praticien hospitalier et ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie