Obligation découlant du RGPD : un prestataire de soins doit désormais tenir un « registre des activités de traitement » (de données). Il y reprend e.a. les sous-traitants qu’il charge d’intervenir dans chacun de ces traitements. Il est supposé avoir veillé à la solidité des garanties qu’ils offrent côté protection des data et avoir formalisé la collaboration par un contrat nécessairement porteur de certaines mentions.

Le projet de formation e-santé Wallonie édite une collection de fiches pratiques RGPD, qui aident les médecins à se mettre en conformité. La toute dernière s’arrête sur les précautions à prendre au niveau des sous-traitants, qui traitent des données à caractère personnel pour le compte et sur instructions du « responsable de traitement » - en l’occurrence le médecin.

Constituent des sous-traitants le fournisseur de DMI, les services de messagerie ou d’agenda en ligne, les sociétés d’hébergement de données de type cloud, les sociétés de maintenance, le Réseau santé wallon…, énumère e-santé Wallonie. En revanche, pas celui qui vend ou loue simplement au médecin des équipements informatiques. Un prestataire de service imposé top-down (MyCareNet par exemple) est considéré comme le responsable de traitement ; le médecin n’est qu’utilisateur final.

Le médecin doit identifier chaque sous-traitant et qualifier son rôle précisément, détaille encore la fiche d’e-santé Wallonie. Il doit s’être assuré que cet exécutant travaille en respectant les exigences du RGPD, quitte à lui demander sa politique de sécurité des systèmes d’information (anonymisation ou pseudonymisation des données, chiffrement des transmissions de données, backups, gestion des accès, traçabilité, protection contre les intrusions…)

La relation de sous-traitance doit être couchée sur papier, dans un contrat porteur de mentions obligatoires. Les unes sont générales (par exemple la nature des données traitées et leur finalité), les autres dépeignent les obligations du sous-traitant (s’engager à traiter les données conformément aux instructions, faire signer des engagements de confidentialité à son personnel, ne pas lui-même sous-traiter sans feu vert préalable du médecin, coopérer avec celui-ci si un patient veut exercer un de ses droits – cf. consulter, rectifier ses données etc.)

Les médecins seraient bien inspirés de (re)jeter un œil sur leurs contrats en cours, à la lumière de ces règles. En cas de manquement, l’article 82 du RGPD prévoit une responsabilité solidaire entre le médecin et son sous-traitant, indique e-santé Wallonie.