Sous-traitants, anticipez la réutilisation des données de vos responsables de traitement !

Dans le cadre du règlement européen sur la protection des données (RGPD), les notions de sous-traitant et de responsable de traitement sont fondamentales. Pourtant, elles portent encore largement à confusion, notamment quant à la responsabilité de chaque partie ainsi qu’aux droits des personnes concernées par le traitement de leurs données. Le cas de la réutilisation des données, sur lequel la CNIL est revenue récemment, nous donne l’occasion de préciser certains aspects de cette relation.

Dans le domaine de la santé, il est relativement courant que le fournisseur d’un service, par exemple une application de e-santé, mette à profit les données des patients à des fins d’amélioration continue ou de management de la qualité. Si cette démarche parait tout à fait légitime au premier abord, elle est souvent réalisée de façon non conforme au RGPD.

Imaginons le cas de l’éditeur d’une application destinée à l’amélioration de la prise en charge des patients. Quand cet éditeur propose son application à un hôpital, ce sont les données des patients de cet hôpital qui sont concernées. L’hôpital est donc le responsable de traitement. L’éditeur de l’application, dans le cadre de cette relation contractuelle, devient le sous-traitant. À ce titre il est, par défaut, autorisé à traiter les données fournies par l’hôpital uniquement de la façon précisée dans le contrat de sous-traitance afin de proposer son service.

L’éditeur pourrait estimer légitime le fait de mettre à profit les données qui transitent par son application pour en améliorer les performances voire tester de nouvelles fonctionnalités, comme l’amélioration du score d’un algorithme prédictif. Or en faisant cela, il sortirait de fait du contrat de sous-traitance et deviendrait lui-même un responsable de traitement. Les patients concernés par ce nouveau traitement de leurs données n’en seraient donc pas informés. L’éditeur de l’application, pensant bien faire, devient ainsi non conforme au RGPD.

Ce n’est cependant pas une fatalité, car la CNIL, dans un article du 12 janvier 2022, attire l’attention des responsables de traitement et des sous-traitants sur ce cas de figure. Elle précise en cela l’article 28 du RGPD au regard de la réutilisation des données qui devient possible sous trois conditions cumulatives. Premièrement, le responsable de traitement doit vérifier que le traitement ultérieur des données, réalisé par son sous-traitant devenu nouveau responsable de traitement, est compatible avec la finalité pour laquelle les données ont été collectées. Ce sera très souvent le cas dans le domaine de la santé, en particulier si l’industriel ou la startup sous-traitante vise l’amélioration de son propre dispositif. Cela peut passer par des analyses statistiques ou l’utilisation d’une méthodologie de référence, voire d’une autorisation de la CNIL. C’est ce que la CNIL appelle le test de compatibilité.

Il faut ensuite que l’autorisation de réutilisation de ces données soit spécifique à un traitement. La CNIL nous rappelle qu’une autorisation générale n’est pas légale.

Enfin, le responsable de traitement doit donner son accord pour cette réutilisation comme cela est précisé au point 28.3 du RGPD qui rappelle qu’un contrat doit régir les relations entre le sous-traitant et son responsable de traitement. Le point 28.9 ajoute aussi que ce contrat doit être sous forme écrite, ce qui comprend les formats électroniques.

Dans ce nouveau cadre de réutilisation, les personnes concernées peuvent exercer leurs droits directement auprès du sous-traitant, puisque spécifiquement pour ce traitement, il devient responsable de traitement. Cette réutilisation peut ainsi être rappelée dans les CGU du fabriquant ou éditeur de la solution à l’attention des utilisateurs.

En conclusion, le sous-traitant doit garder à l’esprit que la réutilisation des données ne va pas de soi. Ce n’est pas parce qu’il héberge et traite des données qu’il a la possibilité de les réutiliser à ses propres fins. Dans tous les cas, c’est au responsable de traitement de décider s’il autorise ou non son ou ses sous-traitants à réutiliser les données pour leurs propres comptes et avec quelles finalités. L’article 29 du RGPD rappelle que le sous-traitant agit sous l’autorité du responsable de traitement, qui a donc accès à ces données mais ne peut pas les traiter s’il n’en reçoit pas l’instruction.

Que se passe-t-il si cette possibilité de réutilisation des données n’a pas été prévue dans le contrat initial de sous-traitance ? Dans notre exemple précédent, la startup éditrice de l’application devra demander à chaque hôpital une autorisation spécifique qui fera l’objet d’un nouvel acte juridique.

Comme on peut aisément le constater, il est fortement recommandé pour tout industriel ou éditeur fournisseur de solution (application, logiciel, qu’il s’agisse ou non d’un dispositif médical) amené à devenir sous-traitant, de prévoir la réutilisation des données à des fins d’amélioration ou de qualité dès le contrat de sous-traitance initial et d’en définir précisément les contours !


Pierre Le Guellec
Président de Yec’Hed Mat Conseil
Formateur et DPO certifié
Expert du monde de la santé

Pour recevoir nos prochains articles, inscrivez-vous à notre infolettre !

  •  
Sous-traitants, anticipez la réutilisation des données de vos responsables de traitement !
Étiqueté avec :