Hôpitaux et fonds de dotation : échange de données et prospection
Article rédigé le 13 septembre 2022 par Céline Cadoret
Nombreux sont les centres hospitaliers qui communiquent via leur site internet la création d’un fonds de dotation. Une telle publicité interroge ainsi sur les traitements de données à caractère personnel que peuvent réaliser les fonds de dotation par rapport à leurs structures fondatrices.
Comment encadrer ces traitements au regard de la règlementation en matière de protection des données à caractère personnel et notamment du Règlement (UE) 2016/679 du 27 avril 2016 (plus communément appelé le « RGPD ») ?
Créés par l’article 140 de la loi de modernisation de l’économie, les fonds de dotation sont des outils innovants de financement destinés à collecter des dons pour aider d’autres organismes.
Les centres hospitaliers fondent régulièrement ce type de structure afin notamment de financer et de soutenir des projets de recherche et d’innovation dans le domaine de la santé.
Ces fonds de dotation jouissent ainsi d’une personnalité morale distincte des centres hospitaliers qui les ont créés. Ces deux structures distinctes peuvent ainsi être amenées à s’échanger des fichiers de données à caractère personnel, afin que le fonds de dotation puisse notamment réaliser des opérations de prospection. Or, la transmission de données à caractère personnel à une autre structure à des fins de prospection nécessite de respecter une règlementation qu’il conviendra d’analyser dans cet article.
La transmission de fichiers de données à caractère personnel à un fonds de dotation à des fins de prospection
Le fonds de dotation peut en effet souhaiter recevoir des fichiers de données à caractère personnel, de la part du centre hospitalier qui l’a créé, afin notamment de bénéficier de donateurs pour le financement de projets de recherche et d’innovation. Cette action s’inscrit dans le cadre de ce qu’on appelle la prospection et qui peut être de deux sortes : la prospection commerciale ou la prospection caritative.
On aurait tendance à penser qu’un fonds de dotation est un organisme à but uniquement caritatif. Il est important toutefois de s’assurer que les opérations réalisées à des fins de prospection par ce dernier s’inscrivent bien dans le cadre d’une prospection caritative et non dans le cadre d’une prospection commerciale. En effet, les règles prévues en matière de prospection caritative sont plus souples que celles en matière de prospection commerciale.
Ainsi, après un examen des finalités pour lesquelles le fichier de données personnelles serait utilisé par le fonds de dotation et si ces dernières seraient plutôt la poursuite d’opérations de prospection caritative, les centres hospitaliers pourraient transmettre des données à caractère personnel de personnes (personnes prises en charge au sein de l’établissement, tiers donateurs…) à leur fonds de dotation à ces fins, mais sous réserve de respecter certaines règles au préalable en la matière.
Pour les opérations de prospection caritative, la CNIL prévoit notamment, dans son guide de sensibilisation au RGPD pour les associations, les règles suivantes pour la structure qui transmet les données :
- au moment de la collecte des données à caractère personnel, les personnes concernées doivent tout d’abord être informées de l’utilisation de leurs données pour des finalités ultérieures (prospection caritative par une autre structure) ;
- les personnes concernées dont les données ont été transmises doivent pouvoir également être en mesure de s’opposer de manière simple et gratuite.
Il convient ainsi d’être vigilant sur les finalités pour lesquelles des fichiers de données à caractère personnel seraient échangés entre un centre hospitalier et son fonds de dotation. Les centres hospitaliers auraient en effet un certain nombre d’obligations à respecter en matière d’information et de respect des droits des personnes concernées avant de pouvoir transmettre des fichiers de données à caractère personnel à leur fonds de dotation à des fins de prospection.
Et bien entendu, les centres hospitaliers devraient veiller au type de données à caractère personnel qui seront transmises au fonds de dotation pour cette finalité précise de prospection.
Par ailleurs, en recevant communication de données à caractère personnel par les centres hospitaliers qui les ont créés, les fonds de dotation, en tant que personnes morales distinctes, devraient également veiller à la conformité des traitements qu’ils réalisent au regard des obligations imposées par la règlementation en matière de protection des données à caractère personnel, et notamment par le RGPD et la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Le fonds de dotation : un responsable de traitement distinct du centre hospitalier au sens du RGPD
Une fois que le fonds de dotation réalise des opérations de traitement à des fins de prospection grâce aux données transmises par le centre hospitalier qui l’a créé, le fonds de dotation deviendrait ainsi un responsable de traitement de ces données au sens de l’article 4 du RGPD, c’est-à-dire « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
Sauf à démontrer qu’une responsabilité conjointe puisse être établie entre le centre hospitalier et son fonds de dotation au sens de l’article 26 du RGPD, le fonds de dotation devrait en conséquent s’assurer seul des obligations imposées par la règlementation en matière de protection des données à caractère personnel, telles que par exemple l’information des personnes concernées dont les données ont été collectées indirectement ou encore les mesures techniques et organisationnelles qui sont mises en œuvre pour assurer la sécurité et la confidentialité des données traitées (par exemple, celles mises en œuvre sur son site internet).
Et de manière plus générale, cette conformité à la règlementation en matière de protection des données à caractère personnel devrait également être vérifiée pour l’ensemble des traitements de données à caractère personnel réalisés par le fonds de dotation, compte tenu de sa personnalité morale distincte.
Enfin, l’obligation ou l’opportunité de désigner un délégué à la protection des données (DPD) pour le fonds de dotation, prévues à l’article 37 du RGPD, sont aussi des points d’attention qu’il conviendra d’étudier.
La création des fonds de dotation par des centres hospitaliers implique ainsi de s’assurer de la conformité de cette nouvelle structure morale distincte au regard des obligations imposées par la règlementation en matière protection des données à caractère personnel, et notamment d’être vigilant sur les règles à respecter lorsque des opérations de prospection sont réalisées par le fonds de dotation. Cette conformité devra faire l’objet d’une analyse in concreto au cas par cas.
Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.
Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.
Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :
La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).