500.000€ d'amende : AEPD et sous-traitance non déclarée

500.000 euros d’amende pour un hôpital espagnol : l’AEPD rappelle les règles en matière de sous-traitance ultérieure

Introduction

Le 10 avril 2025, l'autorité de contrôle espagnole, l'AEPD, a infligé une amende de 500.000 euros à un hôpital pour avoir engagé des sous-traitants ultérieurs sans en informer le responsable du traitement, le ministère de la santé de Valence. Cette décision met en lumière l'importance de respecter les règles du RGPD en matière de sous-traitance.

Contexte et Décision de l'AEPD

Dans cette affaire, l'hôpital a recruté des sous-traitants supplémentaires sans en informer le responsable du traitement, ce qui constitue une violation du RGPD. Même si une autorisation générale de sous-traitance est prévue, le RGPD exige une information préalable du responsable du traitement pour qu'il puisse formuler d'éventuelles objections. L'AEPD a souligné que cette omission justifiait l'amende imposée.

Implications Contractuelles et Pratiques

Cette décision a des implications importantes pour les acteurs du secteur de la santé. Elle rappelle que les contrats de sous-traitance doivent inclure des clauses claires sur la sous-traitance ultérieure et que les responsables du traitement doivent être informés de tout changement. Les hôpitaux et autres entités doivent s'assurer que leurs pratiques de sous-traitance sont conformes au RGPD pour éviter des sanctions similaires.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Vérifiez que tous les contrats de sous-traitance incluent des clauses sur la sous-traitance ultérieure.

- Mettez en place un processus pour informer le responsable du traitement de tout changement de sous-traitant.

- Formez le personnel sur les exigences du RGPD concernant la sous-traitance.

- Effectuez des audits réguliers pour s'assurer de la conformité des pratiques de sous-traitance.

- Consultez des experts en conformité pour évaluer et améliorer vos pratiques actuelles.