La sous-traitance des données du patient au regard de la Directive 95/46
1 Les auteurs sont chercheurs au Centre de Recherche Informatique et Droit (CRID) de la Faculté de droit de Namur (FUNDP) en Belgique. Ils sont tous deux avocats au Barreau de Bruxelles (Belgique).
Résumé
La gestion des données du patient occupe une place significative dans la pratique de l’art de guérir. Il arrive fréquemment que des personnes participent à la production ou à la gestion des données du patient alors que, praticiens de la santé ou non, elles ne travaillent pas sous l’autorité ou la direction du praticien ou de l’équipe en charge du patient. Au regard de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, ces tiers revêtent la qualité de sous–traitant lorsqu’ils traitent des données pour compte du responsable du traitement de données. Ce dernier doit choisir un sous–traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer, et il doit veiller au respect de ces mesures. L’existence de labels de sécurité pourrait faciliter le choix du sous–traitant. S’agissant de données très sensibles comme les données génétiques, il serait opportun d’envisager un contrôle préalable par l’autorité de contrôle ou par un détaché à la protection des données. Il demeure alors à déterminer le véritable responsable du traitement des données du patient, ce qui dépend fortement du poids socialement reconnu et attribué aux différents acteurs de la relation thérapeutique.
English
The management of a patient’s medical information is an important part of the practice of medicine. All too frequently, people who participate in the production or management of a patient’s medical information, whether members of the medical profession or not, do not work under the authority of the doctor or team in charge of the patient. According to the Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data, these third parties are considered subcontractors when they process information for the individual in charge of processing such information. The later must therefore choose a subcontractor who gives sufficient guarantees in regards to the technical and organizational security measures relevant to the task at hand, and must make sure that such measures are being enforced. The existence of security labels could make choosing a subcontractor much easier. Since we are talking about very sensitive information, like genetic data, it would be opportune to envision a preliminary method of control by the controlling authority or by a data protection watchdog. All that would remain would be to establish who is really responsible for the processing of a patient's information, which actually depends on the socially recognized role given to each participant in a therapeutic relationship.