Avec le RGPD, la fonction de Data protection officer (DPO), ou délégué à la protection des données, se développe au sein des organisations. Celles qui collectent et traitent un grand nombre de données personnelles, a fortiori des données sensibles (de santé), ont l’obligation de nommer un DPO. Celui-ci coordonne l’action et veille au respect de la réglementation.

Informer, contrôler, communiquer

Le DPO a trois missions essentielles. Il est chargé d’informer et de conseiller le responsable du traitement des données (la direction générale de la structure), les collaborateurs et les sous-traitants le cas échéant. Charge à lui de faire connaître les principes à respecter et de sensibiliser les services, mais aussi de donner le cap, en indiquant les mesures à mettre en œuvre en priorité et les outils à déployer, selon l’activité et les pratiques de sa structure.

Le DPO doit également s’assurer du respect de la réglementation. Il met en place la cartographie des traitements de données pour alimenter le registre des traitements, repère les situations exigeant des analyses d’impact (AIPD) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il formalise les procédures, etc. C’est lui qui répond aux demandes de respect des droits liés aux données personnelles (droit d’accès, de rectification, droit à l’oubli, notification en cas de violation de données).

Enfin, c’est le DPO qui échange avec la CNIL et les autorités lorsque c’est nécessaire. Il documente la mise en conformité de sa structure avec le RGPD, de façon à répondre à tout contrôle. 

La mise en œuvre du RGPD est une occasion de mettre en lumière les pratiques professionnelles, notamment dans les ESMS, pour qui les données personnelles font partie intégrante du métier. Le DPO, véritable chef d’orchestre, fait le lien entre services, met en valeur l’existant et trace des perspectives pour l’organisation. Une mission à la fois opérationnelle et stratégique.

Des profils spécifiques

Votre délégué doit bien connaître les caractéristiques de votre établissement et de votre métier pour adapter ses actions. Outre de solides connaissances en droit, la personne choisie doit avoir une vision transversale des processus et de l’organisation, et être capable d’une analyse indépendante. Le ou la responsable Qualité pourra tout-à-fait remplir cette fonction, après une formation adéquate.

Si la personne choisie exerce d’autres missions dans la structure, celles-ci ne doivent pas présenter de conflit d’intérêts avec sa tâche de DPO : elle ne doit pas être amenée à déterminer les moyens et les finalités d’un traitement de données personnelles, ce qui la conduirait à devenir « juge et partie ». Par exemple, les fonctions de directeur administratif et financier ou de directeur des systèmes d’information ne sont pas compatibles avec la mission de DPO. 

Depuis juillet 2019, la CNIL délivre une certification permettant de préciser les compétences, les domaines d’expertises et les savoir-faire du DPO. Attribuée sur examen de compétences par des organismes agréés par la CNIL, celle-ci n’est pas obligatoire pour remplir la fonction.

Un DPO interne ou externe

Vous pouvez désigner votre délégué en interne, au sein de votre structure. Dans ce cas, il est rattaché à la direction, et est naturellement soumis à l’obligation de confidentialité concernant les projets stratégiques de celle-ci. Il doit disposer des moyens nécessaires à l’exercice de sa mission : temps, formation, budget. Important : il n’est pas responsable, d’un point de vue civil ou pénal, de l’éventuelle non-conformité des procédures de l’établissement. La responsabilité incombe au responsable de traitement ou au sous-traitant.

L’externalisation de la fonction est une autre solution possible, en choisissant un consultant indépendant ou un cabinet spécialisé. Les petites structures peuvent aussi le mutualiser entre plusieurs établissements, en temps partagé. Certains établissements médico-sociaux créent une cellule chargée de suivre ces questions, regroupant le DPO, un responsable de la sécurité informatique, un juriste, un administratif, un médecin.

N’oubliez pas de déclarer votre DPO auprès de la CNIL. Enfin, cela va sans dire : c’est le DPO qui mettra en musique votre feuille de route RGPD, sa désignation doit donc intervenir au début du processus de mise en conformité.