Par Pierre Le Guellec, Président de Yec’Hed Mat Conseil
Dix-huit mois après l’entrée en vigueur du RGPD, certaines entreprises n’ont pas franchi le pas et se posent encore la question de la nécessité de désigner un Délégué à la protection des données (DPO pour Data Protection Officer). Si la question peut raisonnablement se poser pour un certain nombre de structures, nous allons voir que, dans le domaine de la santé, c’est une fonction que l’on peut difficilement ignorer.
En premier lieu, le RGPD donne quelques indications précises sur la désignation d’un DPO qui est par exemple, obligatoire pour toute autorité publique comme un hôpital. C’est également le cas pour toute structure qui requiert un suivi de personnes régulier et systématique à grande échelle. Dans ce second cas, peuvent être concernées les activités de suivi de bien-être et de santé via des dispositifs connectés, qui sont des pourvoyeurs de grandes quantités de données personnelles.
En dehors de ces cas spécifiques, la première chose à retenir est que le DPO sera l’interlocuteur de très nombreuses personnes, comme les salariés, les dirigeants, les prestataires et les clients, en passant par tous ses homologues.
Le DPO du responsable de traitement sera aussi l’interlocuteur privilégié de la Cnil : dès l’instant que cette dernière va vouloir faire une inspection ou un contrôle, elle va d’abord travailler sur des pièces qu’elle va demander directement au DPO. En effet, la nomination d’un DPO se fait obligatoirement par une déclaration sur le site de la Cnil. Le DPO reçoit alors un numéro d’enregistrement et la CNIL a en retour accès à ses coordonnées.
Lorsqu’on est un sous-traitant dans le domaine de la santé, la nomination d’un DPO peut être particulièrement utile. Prenons l’exemple d’une entreprise qui créée des applications ou des dispositifs médicaux. Le DPO deviendra le garant du privacy by design et de l’accountability, c’est-à-dire qu’il devra s’assurer, dès l’écriture des premières lignes du programme, que seules les données à caractère personnel nécessaires seront collectées. En effet, le RGPD impose, dans son article 5, la « minimisation des données » : il est interdit de récolter des données dont on n’a pas besoin pour assurer le service.
Un autre rôle important du DPO est de servir d’interlocuteur aux DPO d’autres structures. Dans le cas d’un sous-traitant qui créé un logiciel et souhaite le vendre à un laboratoire international ce dernier aura, dans la majorité des cas, désigné un DPO. La terminologie spécifique de la protection des données est connue des DPO. Or le RGPD exige que le responsable de traitement audite ses sous-traitants : la présence d’un DPO qui assume cette fonction est considérée comme un gage de qualité, parce que l’on sait que le DPO va avoir différents rôles dans l’entreprise et qu’il va réaliser et tenir à jour les registres de traitement. Ce dernier est un outil précieux : il permet de voir où sont traitées les données, à qui elles sont destinées, combien de temps elles sont conservées, etc. Le DPO vérifie également que l’information faite aux personnes dont on possède les données suit les obligations règlementaires qui y sont liées (recherche clinique, télémédecine, etc.)
Un autre sujet émerge depuis quelques temps : celui des études d’impact (PIA pour Privacy Impact Assessment). La rédaction d’un PIA est longue et complexe. Elle requiert d’avoir un spécialiste à ses côtés. Il faut déterminer la base légale du traitement, imaginer des scénarios où, en fonction de la fréquence et de la gravité, il pourrait exister un risque pour les personnes concernées en cas de violation de traitement…
Enfin le DPO est à même de relire des documents juridiques et en particulier les contrats qui sont passés avec l’entreprise, afin de vérifier que ceux-ci respectent, dans l’esprit, les obligations liées au RGPD.
Au vu de ce bref inventaire, on peut à présent se poser la question des compétences que doit avoir la personne désignée comme DPO. Elles sont essentiellement de trois types : le minimum est la maîtrise des 88 pages du règlement lui-même. Ensuite, sans être un expert en informatique et cybersécurité, le DPO doit en savoir suffisamment pour pouvoir évaluer les manquements graves qui pourraient survenir, pour sa propre structure et pour les structures dont il est sous-traitant. Enfin, il doit avoir une connaissance sectorielle et métier. Par exemple, dans le domaine de la santé, cela signifie connaitre le code de la santé publique et les principaux référentiels tels que ceux de l’ASIP Santé ou de l’HAS, mais aussi de l’ANSSI et de la CNIL.
Vous voici prêt à désigner votre DPO en interne ? N’oubliez pas de vous assurer qu’il n’existe pas de conflit d’intérêt. En effet, un RSSI, un DRH… de par leurs fonctions, vont être juge et partie dans le traitement des données sensibles et ne peuvent donc pas être désignés comme DPO. Si vous recrutez un DPO en externe, il est recommandé qu’il soit rattaché au plus haut niveau de l’entreprise, avec le même esprit d’indépendance dans ses missions.
Pierre Le Guellec
Président de Yec’Hed Mat Conseil
Formateur et DPO certifié
Expert du monde de la santé
Pour recevoir nos prochains articles, inscrivez-vous à notre infolettre !