CONTACT

Plateforme de prise de rendez-vous médicaux : l’éditeur, sous-traitant, n’a pas à répondre à une demande de droit d’accès

27 juin 2024 | Alexandre FIEVEE & Valentin VAUGE |

L’autorité de contrôle belge a considéré que l’éditeur d’une plateforme permettant de prendre des rendez-vous médicaux est un sous-traitant et donc qu’il n’a pas à répondre à une demande de droit d’accès.

APD (Belgique), 25 avril 2024

Un patient a exercé son droit d’accès auprès de l’éditeur d’une solution logicielle permettant de prendre des rendez-vous, en ligne, auprès de professionnels de santé.

L’éditeur de la solution, indiquant être un sous-traitant, a refusé de faire droit à la demande mais a fourni, après une recherche dans sa base de données, la liste des responsables du traitement, professionnels de santé, à contacter.

Le patient, considérant ce refus comme contraire au RGPD, a déposé une plainte.

L’autorité de contrôle, rappelant que le droit d’accès s’exerce auprès du responsable du traitement, a considéré que l’éditeur de la solution était un sous-traitant :

– D’une part, car la finalité de l’application, à savoir « permettre la prise de rendez-vous automatisée », est déterminée par le professionnel de santé, la solution logicielle n’étant qu’ « un moyen d’atteindre cette finalité » :

– D’autre part, car le professionnel de santé décide seul du moyen qui est le plus approprié pour atteinte la finalité recherchée, et donc que l’éditeur de la solution n’a qu’un rôle d’intermédiaire, en ce sens qu’il ne fait qu’offrir une application proposant une fonctionnalité de prise de rendez-vous ;

– Enfin, car l’éditeur du logiciel traite les données pour le compte du prestataire de santé, l’éditeur ne disposant en l’espèce d’aucune marge de manœuvre pour traiter les données à caractère personnelles à d’autres fins que celles définies par le professionnel de santé.

En conséquence, l’autorité de contrôle a considéré que l’éditeur de logiciel n’avait effectivement pas à répondre à la demande de droit d’accès de la personne concernée.

Rappelant, enfin, que le sous-traitant est tenu de traiter les données conformément aux instructions du responsable du traitement, l’autorité de contrôle n’a pas reproché à l’éditeur du logiciel d’avoir recherché la présence de la personne concernée dans les bases de données de ses clients, responsables du traitement, mais a, au contraire, considéré qu’« il s’agit là d’une bonne pratique qui facilite l’exercice des droits de la personne concernée ».

Compte tenu de tout ce qui précède, l’autorité de contrôle a rejeté la plainte de la personne concernée.

Source

Pour en savoir plus sur cette problématique, contactez nos avocats spécialisés en droit des données personnelles.