Dans un monde où les certifications, accréditations et autres labellisations sanitaires (LBM, HDS, LAP, SNS, SIH, MSP…) deviennent omniprésentes, comment les auditeurs s’adaptent-ils au RGPD ? Car en pratique, les audits conduisent ou peuvent conduire à prendre connaissance de données personnelles. Pour la certification des comptes, le traitement de données de santé est même expressément prévu par le Code de la Santé Publique.
Surgit alors une question fondamentale : quel « rôle RGPD » attribuer aux certificateurs et auditeurs?
La CNIL danoise aurait récemment considéré qu’un auditeur externe indépendant serait sous-traitant, au sens de l’article 28 RGPD (Datatilsynet, 14 novembre 2023, n° 2023-432-0022). Ce serait assez logique. Et la (récente) limitation de la durée de conservation des données par le CAC certificateur semble ainsi faire écho à l’article 28 du RGPD (Art. R6113-9-1 CSP).
Conséquence pratique : un accord de traitement de s’imposerait. Et ce même s’il est plausible de considérer que la mission n’aura ni pour objet, ni pour effet de divulguer des données personnelles (Guidelines 07/2020 ; Autoriteit Persoonsgegevens, 26 novembre 2020, Hôpital OLVG).
Pas sérieux, me direz-vous. Le sous-traitant devant obéir aux instructions, cela mettrait à mal l’indépendance de l’auditeur. Ah? L’indépendance fonctionnelle du médecin, salarié, agent public ou libéral, prouve le contraire : le respect ce principe dans une relation de subordination ou de sous-traitance ne présente aucune difficulté sérieuse.
Reste à savoir avec qui le certificateur devrait passer l’accord de traitement de données. N’est-ce pas alors l’administration qui fixe les critères et modalités de certification? En pratique, les textes sont silencieux. Ainsi, si le CSP rappelle le caractère légal de la mission de certification des comptes, il n’apporte aucun élément concret, au regard de l’article 28. Le plus rationnel est alors de prévoir une contractualisation avec le certifié. L’autre option reviendrait à considérer l’ANS et la HAS responsable de traitement pour les certifications HDS ou LAP, par exemple. Peu plausible.
Cette décision danoise soulève des points critiques sur le rôle des auditeurs. Transposable aux procédures françaises, elle laisse toutefois la part difficile aux responsables de traitement : parvenir à contractualiser un sujet souvent crispant.
Je suis curieux de connaître votre avis : pensez-vous que les auditeurs sanitaires peuvent maintenir leur indépendance tout en respectant le RGPD ?