Articles

Article AUTONOME (Délibération n° 2018-153 du 3 mai 2018 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) et abrogeant la délibération n° 2016-262 du 21 juillet 2016)

Article AUTONOME (Délibération n° 2018-153 du 3 mai 2018 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) et abrogeant la délibération n° 2016-262 du 21 juillet 2016)


Lorsque le responsable de traitement fait appel à un ou des sous-traitants, il s'assure que celui-ci présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD, de la loi « Informatique et Libertés » et garantisse la protection des droits de la personne concernée.
Le responsable de traitement établit avec le sous-traitant un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l'article 28 du règlement général sur la protection des données. En particulier, le contrat doit prévoir que le sous-traitant :


- ne traite les données que sur instruction documentée du responsable de traitement et prend toutes les mesures de sécurité requises ;
- ne sous-traite pas sans autorisation écrite du responsable de traitement ;
- aide le responsable de traitement à garantir le respect de ses diverses obligations (droits des personnes, sécurité du traitement, notification de violation, analyses d'impact, etc.) ;
- met à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d'audits ;
- informe immédiatement le responsable de traitement en cas d'instruction qui, selon lui, constitue une violation du règlement général sur la protection des données ou de la loi « Informatique et Libertés ».


En outre, le sous-traitant :


- désigne, le cas échéant, un délégué à la protection des données conformément à l'article 37 du règlement général sur la protection des données ;
- tient un registre des catégories de traitements effectués pour le compte du responsable de traitement, conformément à l'article 30 du RGPD.


Pour tout projet commencé avec un nouveau sous-traitant (n'ayant pas la qualité de lieu de recherche), un audit est effectué. Il couvre notamment la vérification des plans qualité et sécurité de l'entreprise, la validation des systèmes informatiques avec l'existence d'un système de sauvegarde et de récupération des données, et de mesures destinées à garantir leur confidentialité et leur intégrité.