Notre prestataire de restauration (une société externe) nous demande de renseigner un fichier mentionnant les régimes. Ce fichier est anonymisé, aucune donnée nominative n’y figure mais ce prestataire nous demande aussi, par ailleurs, de lui communiquer (par scan pdf) les ordonnances de prescription de régime établies par le médecin. Y-a-t-il traitement de données personnelles ? Quelle est notre responsabilité ?

Sans se prononcer sur le fait du bien-fondé pour le prestataire de demander des ordonnances, il y a ici traitement de données personnelles. En effet le croisement du fichier des régimes (anonyme) avec les ordonnances (par essence nominatives) présente un risque d’impact fort. Au delà du traitement de données personnelles, ce sont ici des données sensibles (données de santé) qui sont traitées. La responsabilité du prestataire est ici engagée de même que celle de l’organisme gestionnaire. Il y a lieu de procéder à une étude d’impact et de revoir le contrat qui lie l’organisme gestionnaire avec le prestataire pour s’assurer de sa conformité avec le RGPD (cf. articles 26, 28 et considérant 79 du RGPD).