Affaire « Risc Group » : c’est le médecin qui risque tout !
L’avis de la Commission de la protection de la vie privée (CPVP) vient de tomber : c’est le médecin qui confie ses données à Risc Group qui devient « responsable de traitement », Risc Group n’étant qu’un « sous-traitant » !
Il convient de faire une distinction entre le responsable de traitement et le sous-traitant. Dans le cas qui vous occupe, les médecins qui concluent un contrat avec la société Risc Group sont responsables du traitement des données de leurs patients et doivent, à ce titre, respecter les différentes obligations de la loi vie privée. En concluant un contrat avec la société Risc Group, ayant pour objet la sauvegarde des données de leurs patients dans un centre de stockage de cette société où les données seront sécurisées, le médecin (responsable du traitement) conclut un contrat de sous-traitance avec Risc Group. En effet, le médecin reste la personne qui détermine les finalités et les moyens du traitement des données et fait appel à Risc Group, en tant que sous-traitant, afin de sécuriser ces données (et ce conformément à l’obligation de sécurisation du traitement imposée par l’article 16 de la loi vie privée).
Il appartient dès lors, de surcroit, au médecin de s’assurer que son sous-traitant apporte toutes les garanties suffisantes, et ce conformément à l’article 16, §1* de la loi vie privée. Pour rappel, la responsabilité finale demeure toujours dans le chef du responsable du traitement.
Le Code de déontologie médicale va même plus loin en son article 173 §1 :
Toute convention liant des médecins ou des sociétés de médecins à des non-médecins et qui est susceptible d’influencer les aspects déontologiques de l’exercice de sa profession par le médecin, doit faire l’objet d’un écrit qui ne peut être signé qu’après approbation du projet sur le plan déontologique, par le conseil provincial compétent. Il en est de même pour toute modification se rapportant à cette convention.
En conclusion de cette affaire, on voit que c’est au médecin en personne qu’incombent la plupart des obligations légales et la totalité des obligations déontologiques : celui-ci court de grands risques s’il sous-traite à la légère la conservation de ses données médicales !
L’action Risc Group, quant à elle, s’échangeait 0,23 euro à la bourse de Paris…
_________________
* Art. 16. § 1er. Lorsque le traitement est confié à un sous-traitant, le responsable du traitement ou, le cas échéant, son représentant en Belgique, doit :
1° choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements;
2° veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
3° fixer dans le contrat la responsabilité du sous-traitant à l’égard du responsable du traitement;
4° convenir avec le sous-traitant que celui-ci n’agit que sur la seule instruction du responsable du traitement et est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du paragraphe 3;
5° consigner par écrit ou sur un support électronique les éléments du contrat visés aux 3° et
4° relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 3.
Télécharger : Avis CPVP.pdf