RGPD - L’encadrement des situations de sous-traitance en officine
Vous souhaitez être informé⋅e des nouveaux articles ? Inscrivez-vous à la newsletter
M'inscire à la Newsletter
L’encadrement des situations de sous-traitance constitue un prérequis indispensable pour toute officine souhaitant obtenir un niveau de conformité RGPD satisfaisant.
En effet, en vertu de la réglementation, toute situation de sous-traitance doit faire l’objet d’un encadrement strict, notamment par l’adoption d’un acte juridiquement contraignant destiné à garantir une protection effective des données à caractère personnel.
La notion de sous-traitant
Le sous-traitant est défini par l’article 4 du RGPD comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Aussi, tout sous-traitant est une entité distincte du responsable de traitement, traitant des données pour son compte et sur la base de ses instructions.
Concrètement, nombreux sont les prestataires de services susceptibles d’être regardés comme agissant en qualité de sous-traitant puisqu’une grande variété de prestations induit une manipulation de données personnel pour le compte d’un responsable de traitement.
Pour une officine, il en sera généralement ainsi :
- du fournisseur du logiciel de gestion de la pharmacie ;
- des éventuels prestataire informatique, notamment dans le cadre d’un contrat d’infogérance ;
- des fournisseurs de dispositifs médicaux au titre de l’activité de dispensation ;
- ou encore, du cabinet d’expert-comptable.
En pratique, une analyse au cas par cas est souvent nécessaire pour parvenir à déterminer le statut de chaque acteur afin de confirmer l’existence d’une situation de sous-traitance au sens du RGPD. Pour ce faire, il peut s’avérer judicieux de s’appuyer sur les lignes directrices du Comité européen de la protection des données relatives du 7 juillet 2021 relatives aux notions de responsable du traitement et de sous-traitant dans le RGPD.
Un partage des responsabilités
Le RGPD a institué une véritable responsabilisation de l’ensemble des acteurs impliqués dans un même traitement de données à caractère personnel.
A cet égard, la réglementation prévoit l’obligation pour tout organisme souhaitant confier l’exécution d’un traitement de données personnelles à un tiers de ne faire appel qu’aux seuls sous-traitants présentant des « garanties suffisantes ».
Dans la même mesure, le responsable du traitement et son sous-traitant sont tous deux responsables de la mise en œuvre de l’ensemble des mesures techniques et organisationnelles permettant de garantir un niveau de sécurité des données adapté au risque.
Encadrer la situation de sous-traitance
Comme indiqué à titre liminaire, le RGPD prévoit que tout traitement de données par un sous-traitant doit être régi par un contrat devant nécessairement prévoir :
- l’objet et la durée du traitement ;
- la nature et la finalité du traitement ;
- le type de données à caractère personnel et les catégories de personnes concernées ;
- le sort des données une fois la prestation terminée.
Surtout, l’acte devra impérativement préciser les droits et les obligations du responsable du traitement et de son sous-traitant. L’article 28.3 du RGPD dresse à ce titre une liste conséquente de mentions obligatoires devant figurer au sein des contrats de sous-traitance.
En pratique
Si les officines ne bénéficient pas toujours de compétences étendues en matière de protection des données, quelques pratiques simples suffisent pour s’emparer de cette problématique :
- en premier lieu, il est nécessaire de procéder au recensement l’ensemble des situations où un traitement de données est susceptible d’être effectué pour le compte la pharmacie ;
- un listing dédié au suivi des situations identifiées et mis à jour en continu pourra ainsi être établi et ces situations pourront être renseignées au sein du registre des activités de traitement de la pharmacie ;
- une fois ce travail de recensement effectué, il conviendra de s’assurer de l’existence d’un contrat pour chacune des situations de sous-traitance avant d’examiner si des clauses liées à la protection des données sont prévues ou non ;
- dans le cadre de cet examen, la pharmacie pourra mobilier les clauses contractuelles types de la Commission européenne destinées à encadrer les relations entre responsables de traitement et sous-traitants;
- lorsqu’aucun contrat n’existe ou lorsque le niveau d’encadrement parait insuffisant, il est nécessaire de se rapprocher du prestataire en cause pour formaliser la situation et se rapprocher du seuil de protection exigé par la réglementation ;
- pour mener à bien ces travaux, l’établissement pourra prioriser ses efforts en fonction de la nature des activités concernées, de l’importance des traitements confiés et du niveau d’encadrement attendu ;
- pour un niveau de conformité optimal, un examen approfondi de la réalité de chaque situation de sous-traitance et du respect des clauses contractuelles devra être réalisé ;
- enfin, la pratique la plus efficace consistera toujours à sélectionner un prestataire « adéquat » avant chaque nouvelle situation de sous-traitance en sollicitant la communication de l’ensemble des documents et éléments d’information permettant de démontrer que le sous-traitant est en mesure de respecter les garanties imposées par la réglementation.
Protection des données et vidéoprotection en officine : Quelles sont les règles ?
Si l’équipement des commerces en caméras de surveillance est aujourd’hui très largement répandu, la réglementation…
RGPD | La gestion des violations de données en pharmacie
En vertu du RGPD, tout organisme traitant des données personnelles se doit d’adopter des…
RGPD en pharmacie : Quelles sont vos obligations à l’égard de vos patients ?
Dans le cadre de l’exercice de votre profession, vous êtes amené à collecter les données…
En cas de besoin, nous sommes à votre disposition pour vous accompagner dans votre démarche de mise en conformité RGPD
Nous contacter