En 1 clic
Quel le rôle du DPO sur la protection des données ?
Sommaire
1. Que veut dire l’acronyme DPO ?
3. Quelles sont les missions principales du DPO ? (article 39 du RGPD)
5. Quels sont ses besoins ? (article 38 du RGPD)
6. Dans quel cas et comment contacter le DPO ?
1. Que veut dire l’acronyme DPO ?
Data protection officer en anglais ou en français DPD délégué à la protection des données.
La désignation d’un DPO est obligatoire pour les organismes publics dont font partie les Hôpitaux publics depuis le 25 mai 2018, date d’application du «règlement général sur la protection des données[1] ». Elle l’est aussi en raison du fait que ses activités de base consistent en un traitement à grande échelle de données de santé appelées « données sensibles ».
3. Quelles sont les missions principales du DPO ?
(article 39 du RGPD)
Les missions du délégué à la protection des données sont :
a) informer et conseiller le responsable du traitement (qui est « AP-HM ») ainsi que les personnels qui procèdent au traitement de données à caractère personnel, sur les obligations qui leur incombent en vertu du RGPD. La protection des données est aussi régie par les règles internes édictées par le responsable de traitement.
A ce titre, le DPO vérifie la conformité des traitements de données mis en œuvre et donne un avis au responsable de traitement qui autorise ce traitement ou demande une mise en conformité préalable par l’ajout de mesures opportunes de sécurisation.
b) contrôler le respect de cette réglementation en matière de protection des données à caractère personnel, notamment concernant :
- la désignation pour chaque traitement du responsable de traitement et des sous-traitants intervenant dans ce traitement,
- la sensibilisation à la protection des données présente à l’AP-HM et la formation des acteurs des traitements,
- les audits réalisés sur les opérations de traitement.
c) dispenser des conseils, sur demande, en ce qui concerne les PIA ou en français les AIPD (analyses d'impact relatives à la protection des données) et vérifier l'exécution de celles-ci.
d) coopérer avec l'autorité de contrôle (la CNIL) ;
e) faire office de point de contact pour la CNIL sur les questions relatives au traitement, et mener des consultations, le cas échéant, sur tout autre sujet.
Le DPO est classiquement appelé le « chef d’orchestre » de la conformité RGPD. Ses actions de coordination des professionnels est prépondérante : il coordonne les actions de mise en conformité.
Il doit aussi réunir les éléments de preuve de cette conformité réalisant ainsi une gestion documentaire adaptée.
Le DPO n’est pas responsable de la conformité de l’organisme mais aide le responsable de traitement dans cette mission de coordination.
Le rôle essentiel du DPO est de veiller à ce que les actions mises en œuvre (formalisées sous forme de procédures, protocoles) soient respectées et que soient appliquées les bonnes pratiques établies en matière de protection des données personnelles et de respect de la vie privée.
Il accompagne ainsi l’AP-HM dans une démarche continue de qualité et de maintien en conformité. Pour cela, il peut procéder à des audits ponctuels. Il est en lien direct avec le représentant légal de l’établissement ou son représentant et réalise régulièrement des points d’avancement avec ce dernier.
Actuellement l’AP-HM est en phase de mise en conformité, puis devra à l’instar de la démarche qualité dans l’établissement, maintenir par des actions continues cette conformité.
(article 38 du RGPD)
Pour que le DPO puisse mener à bien ses missions, plusieurs éléments sont nécessaires et prévus par le RGPD :
- Le responsable du traitement aide le DPO en lui fournissant les ressources nécessaires pour exercer ses missions. A ce titre, le DPO bénéficie de l’appui d’un ensemble de professionnels qui regroupe des compétences métier, informatique, organisationnelle, juridique et de communication. Le DPO dispose de « référents protection des données » par secteur pour favoriser les remontées d’information mais aussi le suivi des actions de conformité mise en œuvre sur le terrain. Le DPO travaille en lien fort avec le responsable de la sécurité de systèmes d’information et le service juridique.
- Le DPO doit être informé de tout nouveau traitement de données à caractère personnel préalablement à leur mise en œuvre.
- Le responsable de traitement veille à ce que le DPO ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions. Le DPO fait directement rapport au niveau le plus élevé de la Direction du responsable de traitement.
- Le responsable de traitement doit permettre d'entretenir des connaissances spécialisées du DPO et de son équipe.
- Les personnes concernées par les traitements de données (patients, employés de l’hôpital) peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement (droits d’opposition, d’accès, de rectification, d’effacement, de limitation voire de portabilité).
- Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.
- Si le DPO peut accomplir d’autres missions ou tâches, le responsable de traitement veillera à ce qu’elles n’entrainent pas de conflit d’intérêt.
6. Dans quel cas et comment contacter le DPO ?
Pour toute information complémentaire sur cet article veuillez contacter notre dpo@ap-hm.fr
Vous trouverez un complément d’information sur le site de la Cnil :
https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.