Le délégué à la protection des données (DPO), pierre angulaire du RGPD

Le délégué à la protection des données (DPO), pierre angulaire du RGPD

Le délégué à la protection des données, déjà plus connu sous les initiales DPO (correspondant à Data Protection Officer), est sûrement le dispositif le plus emblématique du nouveau règlement général sur la protection des données  (RGPD).

 

Le DPO est effectivement un dispositif essentiel du RGPD[ii] qui doit être mis en place dès le 25 mai 2018.

Dans quels cas les ESPIC ont-ils l’obligation de désigner un DPO ? Quelle sera sa fonction précise ? Quelles seront ses missions ? Quel profil choisir ? Peut-on externaliser cette fonction ? Autant de questions auxquelles nous tenterons de répondre dans les lignes qui suivent.

 

Pourquoi le RGPD prévoit-il la désignation un DPO ?

Il faut avoir à l’esprit que si le RGPD constitue un renforcement important des règles déjà existantes de protection des données à caractère personnel, il opère surtout un fort changement de paradigme dans la manière dont ces règles seront appliquées. La protection des données autrefois soumise à un contrôle a priori au travers de formalités auprès de la CNIL se transforme en un contrôle a posteriori, plus généralement un régime de responsabilité (an anglais accountability) suivant lequel les organisations seront comptables de leur conformité. Il appartiendra dès demain aux établissements d’être en mesure de justifier de leur conformité de forme et de fond avec les règles et les principes de ce nouveau règlement. Le RGPD fait du DPO l’un des outils majeurs de ce nouveau dispositif de conformité.

 

Dans quels cas le DPO est-il obligatoire ?

La désignation d’un DPO est obligatoire dans trois cas et notamment dans celui qui suit : si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données (…).

Les établissements privés sanitaires et médico-sociaux sont ainsi clairement concernés par le critère du traitement à grande échelle de catégories particulières de données, en l’occurrence des données de santé.

S’agissant de la notion de grande échelle, le RGPD prend l’exemple à son quatre-vingt-onzième considérant d’un traitement par un hôpital des données de patients dans le cadre du déroulement normal de ses activités. Par opposition, un traitement de données de même nature, mais par un médecin exerçant à titre individuel, ne constituera pas un traitement à grande échelle.

La désignation d’un DPO est applicable à l’établissement agissant comme responsable du traitement, mais également comme sous-traitant. Rappelons que le responsable du traitement est défini par le RGPD[ii], comme la personne ou l’organisme qui détermine les finalités et les moyens du traitement. Le sous-traitant est défini quant à lui comme la personne ou l’organisme qui traite des données pour le compte du responsable du traitement. Rappelons enfin qu’un traitement de données à caractère personnel est une notion purement juridique s’articulant autour d’une finalité (un objectif), indépendamment de la technologie (logiciel, base de données, etc.) utilisée.

 

Plusieurs établissements pourront-ils désigner un seul et même DPO ?

Plusieurs d’établissements membres d’un même groupe, d’une même association ou d’une même organisation professionnelle pourront désigner un même DPO à condition qu’il soit, suivant l’exigence de RGPD, facilement joignable à partir de chaque lieu d’établissement.

 

Quel est le rôle du DPO ?

Le DPO a par essence une fonction de contrôle et de conseil, mais pas de décision. L’établissement reste pleinement responsable de sa conformité. Le DPO ne sera donc pas personnellement responsable en cas de non-respect par l’établissement des exigences en matière de protection des données.

Il doit être indépendant. Il ne peut recevoir d’instruction de la part de la direction en ce qui concerne l’exercice des missions. Il ne peut être licencié ou sanctionné à raison de l’exercice de ses missions. Notons qu’il n’a pas pour autant la qualité de salarié protégé au sens des dispositions du code du travail.

Le DPO ne doit pas être en conflit d’intérêts. Il ne doit pas être en position de contrôler la régularité ou les risques d’un traitement dont il aura décidé des moyens et la finalité. Un DPO ne pourra par exemple contrôler un traitement dont il aura, étant Directeur des systèmes d’informations (DSI), déterminé les moyens par le choix d’un logiciel et les finalités notamment par la validation du périmètre fonctionnel.

Le DPO ne pourra donc jamais être choisi parmi l’encadrement supérieur de l’établissement. Il ne pourra non plus occuper dans le même temps une fonction ou un rôle qui supposent la détermination des finalités et des moyens du traitement.

S’il peut appartenir au plan organique à l’une des directions de l’établissement telle que la direction de la qualité ou la direction des systèmes d’information, le DPO devra avoir accès et faire rapport au niveau le plus élevé de la direction, c’est-à-dire dans un contexte de direction hospitalière, au directeur général. L’élaboration d'un rapport annuel sur ses activités destiné au niveau le plus élevé de la direction, en l’occurrence au conseil d’administration, sera une bonne pratique de mise en œuvre de ce principe de reddition de compte directe.

Le DPO devra en toute logique disposer des ressources nécessaires à l’exécution de ses missions : soutien de la direction, communication officielle en interne, accès aux autres services, temps suffisant, budget et formation continue.

 

Quelles sont les missions obligatoires du DPO ?

Le RGPD prévoit un certain nombre de missions a minima et articulées autour des quatre champs suivants :

- Informer et conseiller l’établissement et les personnels sur leurs obligations en matière de protection des données;

- Contrôler le respect du droit en matière de protection des données, notamment sur la répartition des responsabilités, la sensibilisation et la formation ainsi que les audits ;

- Conseiller l’établissement, à sa demande, sur l'analyse d'impact et vérifier son exécution ;

- Coopérer avec l'autorité de contrôle et faire office de point de contact pour cette dernière sur les questions relatives au traitement.

Précisions que la tenue du registre des activités de traitement prévu au RGDP relève de l’établissement et non du DPO. Rien n’empêche toutefois que l’établissement confie cette mission au DPO. Le registre restera pour autant sous la responsabilité de l’établissement.

Cette question se posera notamment pour les établissements qui décideront d’externaliser leur DPO. Le contrat de service devra comporter une répartition précise des responsabilités s’agissant de la tenue du registre, mais également de l’ensemble du référentiel documentaire qui lui est associé.

 

Quel est le rôle du DPO concernant l’analyse d’impact ?

Rappelons que le RGPD fait obligation au responsable du traitement de réaliser une analyse d’impact lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Ici encore, la conduite de l’analyse d’impact relèvera de la responsabilité du responsable du traitement c’est-à-dire de l’établissement. En revanche, l’établissement devra demander l’avis du DPO sur la nécessité de procéder à l’analyse, sur la méthodologie à suivre, sur son éventuelle sous-traitance, sur les mesures à appliquer pour atténuer les risques éventuels et plus généralement sur la conformité des conclusions de l’analyse aux exigences en matière de protection des données.

 

Quel profil de compétence retenir ?

À notre avis, le DPO d’un établissement de médical ou médico-social devra avoir, outre une bonne connaissance du monde hospitalier, un socle de connaissances minimums dans les trois domaines suivants : droit de la protection des données, systèmes d’information et management de la qualité.

Il n’y aura pas de profil idéal. Le DPO juriste devra travailler en étroite liaison avec un correspondant au sein de la DSI, mais également de la direction de la qualité. Inversement, un DPO issu du monde informatique ou de la qualité devra être assisté par un praticien interne ou externe du droit des nouvelles technologies.

 

La solution n’est-elle pas d’externaliser son DPO ?

Le DPO peut être en effet un prestataire externe exerçant sa fonction sur la base d’un contrat de service. Cette convention devra toutefois désigner une personne physique comme responsable du client.

Là encore, nulle solution idéale. Chacune des deux solutions aura ses avantages et ses inconvénients qu’il conviendra de gérer. Le DPO interne et à temps partiel s’agissant d’une structure petite ou moyenne risquera des manquer d’expertise et de souffrir d’isolement dans son établissement. Mieux vaudra dans ce cas prévoir une prestation d’assistance à DPO fournie par un conseil extérieur expert en la matière. Le DPO externe aura quant à lui pour risque sa distance organique et géographique par rapport à l’établissement et le décalage voire la perte d’information qui pourrait en résulter. L’établissement devra veiller dans ce cas à désigner un correspondant en interne afin de la prestation de DPO soit activement pilotée et que celui-ci soit impliqué dans tous les projets de l’établissement.

 

Quelles sont les formalités à accomplir pour désigner un DPO ?

Le DPO, qu’il soit interne ou externe devra être désigné auprès de la CNIL via un formulaire en ligne disponible sur son site internet.

 

Pour aller plus loin :

-        Règlement européen sur la protection des données (RGPD)

-       Lignes directrices du Groupe de l’article 29 concernant le délégué à la protection des données du 13 décembre 2016 révisées le 5 avril 2017

 
(extrait du PSS 258)

[i]  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

[ii] Articles 37 à 39

[iii] Article 4