Yec’Hed Mat Conseil propose aux entreprises, start-up, associations, établissements de santé de la région de Bordeaux, la prestation de DPO externalisé pour dialoguer avec la CNIL, dans les domaines des données de santé, de la e-santé, de la recherche clinique, des dispositifs médicaux et de la télémédecine.
Depuis 2018, le RGPD (Règlement Général sur la Protection des Données) offre un cadre pour la protection des données à caractère personnel de tous les citoyens au sein de l’Union européenne.
Pour assurer l’application du RGPD au cœur des entreprises, associations et structures publiques, une nouvelle fonction a été instituée : le Délégué à la protection des données ou DPO (Data Protection Officer).
Quel est le rôle du DPO ?
Le Délégué à la protection des données a pour mission principale d’informer et de conseiller l’organisme pour laquelle il travaille en matière de protection des données ainsi que de s’assurer du respect du RGPD. A ce titre, il doit par exemple établir les circuits de circulation des données, déterminer les responsabilités des différents acteurs dans le traitement des données (responsable de traitement, sous-traitants), sensibiliser et former les salariés, collaborer avec les différents services de l’entreprise (direction générale, DSI, DRH, marketing…).
Le DPO est également le point de contact avec l’autorité de contrôle, comme la CNIL, ainsi que le point de contact pour l’exercice des droits des personnes concernées par le traitement réalisé par l’entreprise. Il assure la documentation des traitements, qui vise à démontrer la conformité dynamique et le maintient à jour des outils de conformité (registre de traitement, note d’information aux personnes…). Enfin, il s’assure de la conformité des contrats au regard de la protection des données et supervise la réalisation d’études d’impact (PIA) afin d’évaluer le risque pour les droits et libertés des personnes concernées.
La protection des données de santé
Le RGPD définit les « données sensibles » comme une catégorie particulière des données personnelles dont le recueil et l’utilisation sont interdits, sauf dans des cas bien spécifiques. Les données concernant la santé font partie de ces données sensibles, et à ce titre leur traitement est strictement encadré à la fois par le RGPD et le Code de la santé publique.
La désignation d’un DPO est donc fortement recommandé dès lors qu’une organisation traite des données de santé, afin de s’assurer que les droits des personnes concernées soient toujours respectés. Ainsi, les établissements de santé ou médicaux-sociaux, les mutuelles et assurances, les organismes pilotant la recherche clinique (CRO), les startups œuvrant dans le domaine de la e-santé… se doivent de nommer un DPO.
Faire le choix d’un DPO externalisé
Le DPO est désigné par l’organisme sur la base de ses compétences techniques et juridiques. Il doit en effet avoir un bagage de connaissances en droit et en protection des données, ainsi qu’une expertise sur le secteur d’activité et les métiers de son client. Une bonne culture de la cybersécurité est également de mise. Enfin, la connaissance des métiers de son client est essentielle à la réussite de sa mission.
D’un point de vue hiérarchique, le DPO doit rapporter à la direction de l’organisation. Il doit aussi pouvoir bénéficier d’un statut qui le mette à l’abri des conflits d’intérêt.
Comment choisir alors entre désigner un DPO en interne ou faire appel à une aide extérieure ? A titre indicatif, il est généralement conseillé aux entreprises de moins de 250 salariés de faire appel à un DPO externalisé du fait de l’obligation de se ternir informé en permanence des évolutions et nouvelles recommandations de la CNIL et du Comité européen de protection des données (CEPD).
Par ailleurs, un DPO externalisé doit exercer ses missions avec une très grande indépendance. Il bénéficie de plus de l’expérience acquise auprès d’autres structures qu’il accompagne et développe ainsi une expertise sectorielle poussée. Enfin, faire appel à un DPO certifié par un organisme indépendant comme l’AFNOR, c’est s’assurer que ses compétences ont été validées par un tiers de confiance à partir du référentiel de la CNIL.
Quand faire appel à son DPO ?
Pour que l’action du DPO externalisé soit efficace, il est recommandé d’organiser au moins une réunion mensuelle pour faire le point sur l’ensemble des actions en cours. De plus, le DPO doit être sollicité dès lors qu’une nouvelle activité de l’entreprise concerne directement ou indirectement des données à caractère personnel.
A titre d’exemple, pour le service marketing, il faut penser à informer son DPO dès lors que l’on modifie le site Web afin de mettre à jour la politique de protection des données. Le DPO intervient également sur les processus RH : mentions de confidentialité des contrats de travail, mise en place du télétravail, formation des équipes… La DSI est bien sûr un interlocuteur privilégié avec l’élaboration de la charte informatique, les audits de sécurité, la conduite à tenir lors d’une violation de données…
Enfin, l’activité métier de l’organisation (vente de produits ou de prestations, relations avec les clients et prospects, signature d’accords et partenariats…) concerne directement le DPO.
Le DPO, un allié stratégique
Cinq ans après l’entrée en vigueur du RGPD, le Délégué à la protection des données a trouvé sa place au sein des organisations jusqu’à tenir un rôle pivot quand l’activité repose principalement sur les traitements de données.
Désigner un DPO est un gage de sérieux pour les clients, les partenaires et pour les investisseurs. Dans le cadre d’une réponse à un appel d’offre ou la candidature à un projet européen, avoir un DPO qui orchestre les différents outils et démarches de conformité représente un avantage stratégique certain et un engagement de la Direction à prouver l’intérêt qu’elle y porte.
Fin connaisseur du secteur d’activité de son client et de l’économie de la donnée, possédant une vision règlementaire autant qu’opérationnelle, le DPO externalisé apporte sa rigueur et son sens pratique tant au service des métiers que du développement commercial.
Prenez contact avec votre futur DPO
Les informations recueillies par Yec’Hed Mat Conseil font l’objet d’un traitement informatique destiné à vous informer sur l’actualité et les services de l’entreprise et à vous inviter aux événements qu’elle organise ou auxquels elle participe. Vous pouvez à tout moment vous désinscrire en utilisant le lien présent dans chacun des messages électroniques. Conformément à la loi Informatique et Libertés et au Règlement Européen sur la Protection des Données (RGPD), vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, vous pouvez le faire en l’indiquant via le formulaire ci-dessus, ou bien par courrier postal : Yec’Hed Mat Conseil, 256 rue de Bègles, 33800 Bordeaux. Pour en savoir plus, reportez-vous à notre Politique de protection des données à caractère personnel.