Articles

Article AUTONOME (Délibération n° 2018-257 du 7 juin 2018 portant homologation d'une méthodologie de référence relative aux traitements de données nécessitant l'accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du code de la santé publique aux données du PMSI centralisées et mises à disposition par l'ATIH par l'intermédiaire d'une solution sécurisée (MR 006))

Article AUTONOME (Délibération n° 2018-257 du 7 juin 2018 portant homologation d'une méthodologie de référence relative aux traitements de données nécessitant l'accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du code de la santé publique aux données du PMSI centralisées et mises à disposition par l'ATIH par l'intermédiaire d'une solution sécurisée (MR 006))


Dans le cadre de cette méthodologie de référence, le responsable de traitement n'accède jamais aux données du PMSI et doit recourir, pour tous les traitements, à un laboratoire de recherche ou un bureau d'études indépendant, sous-traitant, s'étant déclaré conforme auprès de la Commission au référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études, fixé par arrêté du 17 juillet 2017. Conformément à cet arrêté et à l'article 28 du RGPD, les engagements respectifs du responsable de traitement et du laboratoire de recherche ou bureau d'études sont formalisés dans un contrat dont le contenu est défini par ces textes.
En particulier, le contrat doit prévoir que ce sous-traitant :


- ne traite les données que sur instruction documentée du responsable de traitement et prend toutes les mesures de sécurité requises ;
- ne sous-traite pas sans autorisation écrite du responsable de traitement ;
- aide le responsable de traitement à garantir le respect de ses diverses obligations (droits des personnes, sécurité du traitement, notification de violation, analyses d'impact, etc.) ;
- met à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d'audits ;
- informe immédiatement le responsable de traitement en cas d'instruction qui, selon lui, constitue une violation du RGPD ou de la loi informatique et libertés.


En outre, ce sous-traitant :


- désigne, le cas échéant, un délégué à la protection des données conformément à l'article 37 du RGPD ;
- tient un registre des catégories de traitements effectués pour le compte du responsable de traitement, conformément à l'article 30 du RGPD.


Le responsable du traitement s'engage à :


- ne pas avoir de liens d'intérêt avec le laboratoire de recherche ou le bureau d'études et l'objet du traitement de nature à constituer un conflit d'intérêts ;
- ne pas chercher à accéder aux données à caractère personnel mises à disposition du laboratoire de recherche ou du bureau d'études ;
- ne pas utiliser les résultats fournis pour l'une des finalités interdites.