Publicité en cours de chargement...

Publicité en cours de chargement...

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,
Tribune - Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés
Gestion administrativeSécuritéE-santé

Écouter l'article

0:000:00
Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Un sous-traitant bénéficiant d’une autorisation générale de recruter des sous-traitants ultérieurs

Le ministère de la santé de Valence a eu recours aux services de l’hôpital Marina Salud, aux termes d’un contrat relatif à la fourniture de services de soins de santé. L’hôpital, qualifié dans le contrat de « sous-traitant » au sens du RGPD (ce qui est assez étonnant), bénéficiait d’une autorisation générale de recruter des sous-traitants ultérieurs, sous réserve d’en informer préalablement le ministère de la santé.

Au cours d’un audit réalisé auprès de l’hôpital, le ministère de la santé a constaté que son sous-traitant utilisait des logiciels tiers pour réaliser certains traitements qui lui étaient confiés, suggérant que l’hôpital avait recruté des sous-traitants ultérieurs à l’insu du ministère de la santé.

À la suite du refus de l’hôpital de communiquer les contrats des fournisseurs des logiciels tiers, le ministère de la santé de Valence a saisi l’autorité de contrôle espagnole (AEPD) d’une plainte.

L’autorisation générale de recruter des sous-traitants ne dispense pas le sous-traitant de son obligation d’informer le responsable du traitement

L’enquête menée par l’AEPD a mis en lumière que l’hôpital avait, dans le cadre des traitements réalisés pour le compte du ministère de la santé, eu recours à des sous-traitants ultérieurs, dont l’identité n’avait pas été communiquée au ministère de la santé.

Or, le contrat conclu avec le ministère de la santé, s’il instaurait une autorisation générale de recourir à des sous-traitants, assortissait cette autorisation d’une obligation de porter à la connaissance du ministère de la santé l’identité des sous-traitants auquel l’hôpital avait recours.

De même, l’article 28 du RGPD prévoit qu’en cas d’autorisation générale de sous-traitance ultérieure, il appartient au sous-traitant d’informer le responsable du traitement de « tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitant » et ce, afin de donner à ce dernier la possibilité d’émettre des objections à l’encontre de ces changements.

Compte tenu de ce qui précède, l’AEPD a considéré que l’hôpital avait non seulement violé le contrat conclu avec le ministère de la santé, mais avait aussi manqué à ses obligations au titre de l’article 28 du RGPD.

A noter enfin que, selon l’AEPD, le défaut d’information du responsable du traitement est une violation continue, qui persiste pendant toute la durée du recours au sous-traitant ultérieur à l’insu du responsable du traitement. La durée de cette violation a été prise en compte par l’AEPD, qui a fixé le montant de l’amende à 500.000 euros.

  1. https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202307719
# Logiciels tiers# Violation continue# Amende# Obligations contractuelles# Autorisation générale# Aepd# Ministère de la santé de valence# Hôpital marina salud# Rgpd# Sous-traitance
photo de DUFOULON
Gaétan DUFOULON
photo de FIEVEÉ
Alexandre FIEVEÉ
photo de ROBERT
Alice ROBERT

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Téléconsultation de Territoire Assistée : une révolution saluée par les patients dans le Grand Est

Téléconsultation de Territoire Assistée : une révolution saluée par les patients dans le Grand Est

02 mai 2025 - 14:47,

Actualité

- DSIH

Une nouvelle ère pour l’accès aux soins voit le jour grâce à la Téléconsultation de Territoire Assistée, un modèle innovant testé avec succès dans la région Grand Est. Porté par e-Meuse santé en collaboration avec les URPS Pharmaciens et Infirmiers du Grand Est, ce dispositif allie technologie et ac...

Illustration L’Institut national du cancer et l’Agence du Numérique en Santé lancent deux appels à projets pour intégrer le Programme Personnalisé de Soins dans Mon espace santé

L’Institut national du cancer et l’Agence du Numérique en Santé lancent deux appels à projets pour intégrer le Programme Personnalisé de Soins dans Mon espace santé

02 mai 2025 - 13:40,

Actualité

- DSIH

Dans le cadre de l’amélioration de la prise en charge des patients atteints de cancer et de la modernisation du partage d’informations médicales, l’Institut national du cancer (INCa) et l’Agence du Numérique en Santé (ANS) annoncent le lancement conjoint de deux appels à projets interdépendants. Leu...

Illustration Un guide pratique qui simplifie tout (vraiment!)

Un guide pratique qui simplifie tout (vraiment!)

29 avril 2025 - 11:12,

Communiqué

- Collectif SI MS Bretagne

Le Collectif Système d’Information Médico-Social de Bretagne dévoile son guide pratique du numérique pour les structures sociales et médico-sociales.

Illustration Les SI de santé : c’est tout de même assez dingue en 2025 que…

Les SI de santé : c’est tout de même assez dingue en 2025 que…

28 avril 2025 - 21:51,

Tribune

-
Cédric Cartau

Forcément, dans la cyber on voit passer quasiment tous les projets IT d’une organisation : en principe, ils doivent tous suivre une étape d’homologation, sans parler de ceux qui mettent en œuvre des traitements RGPD enclenchant mécaniquement et a minima une inscription à un registre interne.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie