Blogpost

Comment aborder le RGPD dans les achats hospitaliers.

Publié sur19/08/2025
a close-up of a doctor's coat

Lorsque les hôpitaux travaillent avec des fournisseurs externes, que ce soit pour des logiciels, des services de support ou des infrastructures, les données personnelles font souvent partie de l’équation. Cela signifie que la conformité au RGPD ne doit pas être considérée comme une réflexion après coup dans le processus d’approvisionnement, mais doit être présente dès le début.

Cet article décrit comment les hôpitaux peuvent répondre aux obligations du RGPD dans les appels d’offres publics et les documents d’approvisionnement, sur la base d’exigences juridiques et contractuelles pratiques.

Que devez-vous inclure et pourquoi ?

Nous résumons ci-dessous six domaines clés qui doivent être couverts dans vos documents d’approvisionnement pour assurer la conformité au RGPD dès le départ. Ces recommandations s’appliquent aux prestataires de soins de santé publics et privés qui émettent des appels d’offres où des données personnelles peuvent être traitées.

1.     Référez-vous à la législation applicable.

Commencez votre cahier des charges en mentionnant explicitement la législation pertinente :

  • Le règlement général sur la protection des données (UE 2016/679)
  • La loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Cela indique clairement aux soumissionnaires que la confidentialité et la protection des données sont des éléments officiels la mission.

 

2.    Clarifier la manière dont le processus est appliqué.

Si les soumissionnaires doivent inclure des données personnelles dans leur offre (telles que les CV ou les références de l’équipe), indiquez comment ces informations seront traitées. Il est recommandé de :

  • Consulter la déclaration de confidentialité de votre hôpital
  • Indiquer les coordonnées de votre délégué à la protection des données (DPO)
  • Préciser combien de temps les renseignements seront conservés et qui y aura accès

 

3.    Inclure une clause de confidentialité.

Au cours de la phase d’appel d’offres, il est possible que des informations sensibles ou confidentielles soient partagées. Les hôpitaux devraient inclure une clause de confidentialité alignée sur l’article 18 de l’arrêté royal du 14 janvier 2013, qui fixe les règles générales d’exécution des marchés publics.

 

4. Demandez aux soumissionnaires de fournir des renseignements précis sur la confidentialité et la sécurité.

Lorsque la mission implique l’accès ou le traitement de données à caractère personnel, demandez :

  • Une liste de contrôle des mesures de sécurité techniques et organisationnelles complétées
  • Une liste de tous les sous-traitants ultérieurs pertinents (en particulier dans des contextes logiciels ou informatiques)

Cela vous donne un aperçu précoce de la maturité des pratiques de protection des données d’un fournisseur.

 

5. Faire de la sécurité un critère d’attribution pondéré.

Pour les appels d’offres impliquant des logiciels, des plateformes ou des systèmes numériques, il est recommandé d’inclure la sécurité comme critère d’attribution distinct, représentant idéalement au moins 10 % de la note totale.

Cela peut être évalué à l’aide d’une liste de contrôle de sécurité ou d’une évaluation structurée similaire. Collaborez avec votre DPO et votre équipe ICT ou votre CISO pour aligner les critères de notation.

 

6. Signalez la nécessité d’une entente post-attribution.

Indiquez clairement que le fournisseur sélectionné sera tenu de signer une entente supplémentaire, en fonction de la nature de la collaboration. Il peut s’agir des éléments suivants :

  • Un accord de traitement des données (ATD) s’ils traitent des données en votre nom
  • Une entente ou un protocole de confidentialité (pour les hôpitaux publics)
  • Un accord de responsable conjoint du traitement en cas de responsabilités partagées

Le fait de le préciser cela à l’avance permet d’éviter les malentendus plus tard dans le processus.

 

En résumé.

Les marchés publics dans le domaine de la santé impliquent fréquemment le traitement de données à caractère personnel. En intégrant des clauses et des attentes pertinentes au RGPD dans vos documents d’appel d’offres, les hôpitaux peuvent :

  • Assurer la conformité au RGPD
  • Minimiser les risques
  • Améliorer la responsabilisation des fournisseurs dès le premier jour

Foire aux questions (FAQ)

Tous les appels d'offres doivent-ils comporter des clauses RGPD ?

Uniquement lorsque les données personnelles sont traitées par le fournisseur ou pendant le processus d’appel d’offres. Si des données personnelles sont concernées (telles que les CV du personnel, les logiciels contenant les données des utilisateurs ou les systèmes des patients), les clauses du RGPD sont indispensables.

Besoin d'aide pour rédiger des appels d'offres respectueux de la vie privée ou pour examiner les contrats avec les fournisseurs ?

Les consultants de CRANIUM peuvent vous aider.

Contactez-nous

Partager ceci :

Écrit par

Anse Boogaerts

Anse Boogaerts

Hi ! Comment pouvons-nous vous aider ?

Vous avez besoin d’un responsable interne de la protection de la vie privée ou d’un DPD externe ? Prenez contact avec nous et nous chercherons ensemble la meilleure solution.

Contactez nous

Plus d'articles

Tous les articles

Votre partenaire de confiance en matière de gouvernance des données et de conformité.

Menu

Solutions

Contact

ISO 27001 certification

© 2026 – CRANIUM – Déclaration Générale de Confidentialité Cooky PolicyConditions Générales

  • Solutions
    Privacy
    Droit numérique
    Data Governance
    Campus
  • Connaissances
    Perspectives et mises à jour
    Dernières nouvelles de notre blog
    Qu’est-ce que les modalités contractuelles types et les clauses contractuelles types prévues par le Data Act ?

    Qu’est-ce que les modalités contractuelles types et les clauses contractuelles types prévues par le Data Act ?

    10 mars 2026 Blogpost
    Le Cyber Resilience Act en 10 questions et réponses

    Le Cyber Resilience Act en 10 questions et réponses

    4 mars 2026 Blogpost
    Les données des patients peuvent-elles être utilisées pour entraîner une IA ?

    Les données des patients peuvent-elles être utilisées pour entraîner une IA ?

    20 février 2026 Blogpost
  • Carrières
    Dernières nouvelles sur le talent
    Dans le Spotlight : Jill | “Le sales, ce n’est pas un jeu de chiffres. C’est une question d’impact, pour les clients et les collègues.”

    Dans le Spotlight : Jill | “Le sales, ce n’est pas un jeu de chiffres. C’est une question d’impact, pour les clients et les collègues.”

    16 septembre 2025 Carrières
    In the spotlight: Lisa | « Je veux continuer à apprendre et à développer mon expertise. Au CRANIUM, vous avez vraiment la possibilité de le faire »

    In the spotlight: Lisa | « Je veux continuer à apprendre et à développer mon expertise. Au CRANIUM, vous avez vraiment la possibilité de le faire »

    6 juin 2025 Carrières
    In the Spotlight: Enzo | « Chez CRANIUM, j’ai trouvé la liberté de tracer ma propre voie. »

    In the Spotlight: Enzo | « Chez CRANIUM, j’ai trouvé la liberté de tracer ma propre voie. »

    20 mai 2025 Carrières
    Carrières CRANIUM
  • À propos
    À propos
Contact