Le DPO (Data protection officer) ou DPD (Délégué à la protection des données)

Qui est le DPO, ce nouvel acteur dont la nomination est obligatoire dans certaines organisations en vertu du règlement général n°2016/679 relatif à la protection des données à caractère personnel (RGPD) ? Quelles doivent être ses compétences ? Pourquoi faut-il le nommer, est-ce opportun ? Quelles sont ses missions, est-ce un correspondant informatique et liberté (CIL) amélioré ?
Autant de questions que se posent les acteurs de l’e-santé sur ce nouveau personnage rendu incontournable par la volonté du législateur européen.

QUI EST LE DPO ET QUELLES DOIVENT ETRE SES COMPETENCES ?

Le DPO peut être désigné parmi les salariés du responsable de traitement ou du sous-traitant, mais la fonction peut aussi être externalisé et réalisée sur la base d’un contrat de service. Possibilité qui permet aux TPE-PME de l’e-santé de faire appel au service d’un DPO sans avoir à supporter le coût d’une embauche. D’ailleurs, le DPO peut ne pas être exclusivement dédié à la protection des données, et ainsi avoir d’autres missions. Dans ce cas, il appartient au responsable de traitement ou au sous-traitant de veiller à ce qu’il n’y ait pas de conflits d’intérêts entre ses différentes missions. Principalement, le DPO doit être désigné sur la base de ses qualités professionnelles et, notamment : ses connaissances du droit, des pratiques en matière de protection des données et de sa capacité à accomplir les missions qui lui sont confiées par l’article 39 du RGPD (notamment le contrôle de la conformité, la sensibilisation à la protection des données…).

DANS QUELS CAS EST-IL OBLIGATOIRE DE NOMMER UN DPO ?

La désignation d’un DPO est obligatoire pour les autorités et organismes publics, les organismes traitant les données sensibles au sens de l’article 9 du RGPD, et enfin les organismes dont l’activité de base implique un traitement régulier, systématique et à grand échelle des données personnelles. Trois catégories d’entités qui sont largement répandues dans le domaine de l’e-santé. Il est précisé qu’un groupe d’entreprise d’e-santé peut nommer un seul DPO pour l’ensemble des activités du  groupe. C’est pourquoi, la CNIL recommande vivement à tout acteur de l’e-santé de nommer un DPO même s’il n’entre pas, au sens strict, dans l’une de ces trois catégories.

QUELLES SONT LES MISSIONS DU DPO ?

Le DPO n’est pas juste un CIL amélioré. Il ne s’agit donc pas de nommer son ancien CIL en qualité de DPO pour remplir l’obligation posée par le règlement. En effet, en comparaison les missions du DPO sont beaucoup plus étendues et nécessites plus de compétences que celles du CIL. Le DPO a une mission d’avis et de conseil, une mission de contrôle et une mission de collaboration avec l’autorité de contrôle. En particulier, il doit assurer le respect du règlement, contrôler a priori le traitement des risques, sensibiliser les membres du responsable de traitement ou du sous-traitant à la protection des données personnelles, superviser les audits. A cet égard, le DPO a un droit de saisine directe des personnes concernées, il a un droit d’alerte auprès de la CNIL dont il est le correspondant pour le compte du responsable de traitement ou le sous-traitant. Il doit donner son avis sur les études d’impact sur la vie privée (EIVP).

Dans l’exercice de ses missions, le DPO doit être totalement indépendant et le responsable de traitement, ou le sous-traitant, doit veiller au respect de cette indépendance. Le DPO est lié par le secret professionnel et la confidentialité dans l’accomplissement de ses tâches.