La question de la désignation d’un prestataire d’archivage de dossiers médicaux ou de l’un de ses représentants comme délégué à la protection des données (DPO) d’un Service de Prévention et de Santé au Travail fait émerger une tension entre le RGPD et son esprit.
Si le texte ne prohibe pas formellement cette double fonction, l’analyse juridique, déontologique et pratique conduit à constater une incompatibilité structurelle dans le contexte des SPSTI, du fait de la nature médicale et confidentielle des données traitées.
Urgence – Non Conformité RGPD / SPEC2217
Le rappel du cadre : indépendance du DPO et absence de conflit d’intérêts
L’article 38 §6 du RGPD fixe une exigence claire : le DPO doit pouvoir exercer ses missions en toute indépendance, sans subir d’influence ni avoir à contrôler ses propres décisions.
Les lignes directrices du Comité Européen de la Protection des Données (EDPB – WP243 rev.01) rappellent qu’un conflit d’intérêts survient lorsque le DPO participe à la détermination des finalités ou des moyens des traitements qu’il doit surveiller.
Dans un SPSTI, le prestataire d’archivage agit en sous-traitant au sens de l’article 28 du RGPD : il héberge, conserve, supprime et trace les dossiers médicaux, sur instruction du responsable de traitement.
Or, ces opérations le placent directement au cœur du traitement opérationnel. S’il devenait DPO du même organisme, il serait en situation de contrôler sa propre conformité, un cas typique de conflit d’intérêts fonctionnel.
La position de la CNIL : pas d’interdiction de principe, mais une vigilance accrue
Le guide pratique de la CNIL apporte une nuance que l’on pourrait résumer ainsi : Il n’existe pas d’interdiction de principe à ce qu’un prestataire, par ailleurs sous-traitant, soit désigné DPO pour son client. (…) Cependant, une analyse au cas par cas doit être menée pour évaluer si la situation est de nature à compromettre l’indépendance du DPO.
L’analyse du risque de conflit d’intérêts liée à la désignation d’un DPO n’est pas du ressort exclusif du DPO lui-même : c’est au responsable de traitement (et, le cas échéant, au sous-traitant concerné) de la mener, documenter et assumer.
La CNIL évoque la possibilité de garantir l’indépendance du DPO par des mesures organisationnelles et contractuelles:
-
distinction des interlocuteurs côté prestataire (un pour la sous-traitance, un autre pour le DPO) ;
-
séparation des contrats ;
-
précaution sur le statut juridique (public/privé) et l’absence de lien hiérarchique.
Toutefois, cette approche suppose une distance réelle entre les deux fonctions, difficilement tenable dans un environnement où les opérations techniques et les décisions de conformité concernent les mêmes systèmes d’information.
L’analyse doctrinale : un risque documentable mais difficilement neutralisable
La question doit être formulée avec précision. Il ne s’agit pas toujours du sous-traitant lui-même désigné comme DPO du SPSTI, mais parfois du DPO du sous-traitant qui exercerait simultanément pour le SPSTI.
Dans cette configuration, le cumul ne crée pas une incompatibilité juridique automatique, mais il expose à un conflit d’intérêts potentiel, qui doit être reconnu, documenté et encadré.
Théoriquement, le RGPD permet cette situation si des garanties strictes sont mises en place.
En pratique, il est quasi impossible d’assurer une neutralité parfaite lorsque les deux entités, le prestataire et le SPSTI, partagent des liens contractuels étroits, notamment autour du traitement des données de santé.
Selon a SPEC2217, désigner son prestataire d’archivage comme délégué à la protection des données constitue une incompatibilité absolue au regard du RGPD et de la SPEC. Ce prestataire, en tant que sous-traitant chargé de la conservation, de la suppression et de la traçabilité des dossiers médicaux, intervient directement sur les traitements qu’il serait censé auditer.
Il se retrouve ainsi juge et partie, en contradiction frontale avec le principe d’indépendance du DPO posé à l’article 38 §6 du RGPD et rappelé par la SPEC 2217, qui exige une impartialité totale vis-à-vis des opérations de traitement. Dans un SPSTI, où les données traitées sont des données de santé soumises au secret médical, cette confusion des rôles crée un conflit d’intérêts structurel et permanent, qu’aucune clause contractuelle ou déclaration d’indépendance ne peut neutraliser. Un auditeur SPEC 2217 qualifierait cette situation de non-conformité majeure, car elle vide de sens la fonction même de DPO, dont la mission est précisément de contrôler les prestataires, non d’en faire partie.
Le contexte spécifique des SPSTI : une incompatibilité de fait
Les SPSTI traitent des données parmi les plus sensibles qui existent : dossiers médicaux, aptitude au poste, données sociales et administratives de salariés.
Leur système d’information repose souvent sur des prestataires d’archivage ou des GIE informatiques mutualisés, eux-mêmes sous-traitants directs.
Dans ce contexte, la désignation du prestataire (ou d’une filiale) comme DPO place la structure dans une zone de risque inacceptable au regard de la confidentialité médicale et du secret professionnel (articles L.1110-4 et R.1111-9 du Code de la santé publique).
Un auditeur SPEC 2217 ou un inspecteur de la CNIL pourrait aisément considérer qu’il s’agit non d’un risque théorique, mais d’une violation du principe d’indépendance du DPO.
La désignation est donc, dans les faits, incompatible avec la posture attendue du DPO dans les SPSTI, dont la mission de contrôle ne peut être exercée à l’intérieur même du dispositif de traitement.
Synthèse et position recommandée
| Niveau d’analyse | Tolérance théorique | Position pratique dans les SPSTI |
|---|---|---|
| RGPD (art. 38 §6) | Possible sous conditions | Fort risque de conflit d’intérêts |
| Doctrine CNIL | Cas par cas, indépendance démontrée | Non tenable si l’entité traite les mêmes données |
| SPEC 2217 et pratiques d’audit | Recherche d’indépendance structurelle | Incompatibilité systémique pour les prestataires d’archivage |
| Position des DPO (consensus) | Risque documentable mais non souhaitable | Recommandation de DPO externe mutualisé ou indépendant |
La position collective qui se dégage des retours de terrain et de la doctrine CNIL est donc nuancée :
-
Possible en théorie, sous réserve d’une documentation approfondie et d’une séparation stricte des fonctions.
-
Incompatible en pratique dans les SPSTI, du fait du cumul entre traitement opérationnel et mission de contrôle.
Confier la mission de DPO à un prestataire d’archivage de dossiers médicaux ou à l’un de ses représentants place le SPSTI dans une situation juridiquement fragile et déontologiquement discutable.
Même si le RGPD ne l’interdit pas expressément, l’indépendance du DPO, pilier de la conformité, ne peut être garantie dans ce cas.
La prudence et la cohérence avec les principes de la norme AFNOR SPEC 2217 imposent de privilégier la désignation d’un DPO externe indépendant, mutualisé entre plusieurs structures, capable de conseiller et de contrôler sans interférence contractuelle.
Une telle position pourrait utilement faire l’objet d’un avis collectif des DPO des SPSTI, afin d’harmoniser la doctrine et d’apporter une référence claire aux auditeurs et aux directions en phase de certification.
Dans un SPSTI, toutes les fonctions liées à la direction, à la santé, à l’informatique, à la qualité ou à l’archivage sont incompatibles avec la mission de DPO.
Les modèles conformes reste le DPO externe indépendant, désigné par mandat explicite, disposant d’un accès direct à la direction sans lien hiérarchique ni économique avec les traitements qu’il supervise, et les profils internes qui sont rares, car la majorité des fonctions d’un SPSTI sont impliquées dans les traitements (médicaux, informatiques, qualité).
Mais il existe quelques exceptions, si et seulement si le poste est clairement isolé hiérarchiquement, sans influence opérationnelle.
- Chargé(e) de mission RGPD / conformité interne
- Juriste interne spécialisé en protection des donné
Pour information l liste exhaustive et argumentée des professions qui ne peuvent pas exercer la fonction de DPO au sein d’un SPSTI (Service de Prévention et de Santé au Travail Interentreprises), car leur position crée un conflit d’intérêts direct, structurel ou fonctionnel au regard :
-
de l’article 38 §6 du RGPD,
-
des lignes directrices de l’EDPB (WP243 rev.01),
-
et de la norme AFNOR SPEC 2217 (sections 3.3.2 et 3.4 sur l’indépendance et la gouvernance).
Les fonctions de direction et d’encadrement hiérarchique
Elles définissent les finalités, les budgets, et les moyens des traitements. Le DPO devant auditer ces décisions, le cumul est impossible.
-
Directeur général du SPSTI
-
Directeur administratif et financier (DAF)
-
Directeur des systèmes d’information (DSI)
-
Directeur des ressources humaines (DRH)
-
Directeur médical / médecin coordonnateur
-
Directeur qualité / responsable management intégré
-
Directeur technique ou logistique
-
Chef de projet informatique ou chef de service support
⚠️ La SPEC 2217 impose que le DPO ne relève pas hiérarchiquement d’une fonction décisionnelle sur les traitements.
Les professions médicales et paramédicales
Elles participent directement à la collecte, la saisie, la conservation et la communication de données de santé.
Leur rôle opérationnel rend impossible toute supervision indépendante.
-
Médecin du travail
-
Infirmier(ère) en santé au travail
-
Assistant(e) médical(e) ou secrétaire médicale
-
Responsable ou gestionnaire du DMST (dossier médical en santé au travail)
-
Responsable de la cellule PDP (partage de données de santé)
-
Référent INS (Identité nationale de santé)
-
Psychologue du travail / ergonome / assistant social
Ces acteurs sont au cœur des traitements de données de santé.
Ils sont responsables de l’exécution des traitements, non de leur supervision.
Les fonctions informatiques, techniques ou sécurité
Ces fonctions déterminent ou mettent en œuvre les moyens de traitement, ce qui viole le principe d’impartialité du DPO.
-
Responsable informatique ou responsable réseau
-
Administrateur systèmes, bases de données, ou applications métiers
-
Responsable sécurité des systèmes d’information (RSSI)
-
Responsable ou technicien d’hébergement HDS
-
Responsable télétransmission / interopérabilité / sauvegardes
-
Responsable de la GED ou de l’archivage électronique interne
-
Chef de projet applicatif (logiciels santé-travail, INS, PDP)
Ces profils choisissent, configurent et exploitent les systèmes que le DPO doit auditer — situation irréconciliable avec la neutralité attendue.
Les fonctions qualité, conformité interne ou audit
Leur mission consiste à concevoir, appliquer et contrôler des processus internes, souvent liés à la conformité RGPD.
Le DPO doit auditer ces dispositifs, pas les piloter.
-
Responsable qualité ou contrôleur qualité
-
Responsable système de management (ISO 9001, MASE, etc.)
-
Responsable certification / SPEC 2217 / PGSSI-S
-
Auditeur interne ou chargé d’évaluation qualité
Dans la SPEC 2217, le DPO fait partie du dispositif d’évaluation indépendante, distinct du système qualité.
Le contrôleur qualité ne peut pas auditer son propre système : c’est une non-conformité majeure.
Les fonctions juridiques, administratives et RH décisionnaires
Certaines fonctions ne sont pas directement opérationnelles mais pilotent ou valident des traitements sensibles(données RH, adhérents, facturation).
-
Responsable juridique interne
-
Responsable conformité non RGPD
-
Responsable des marchés publics ou des achats
-
Responsable de la facturation ou de la comptabilité
-
Responsable des relations adhérents / gestion des conventions
-
Responsable des relations institutionnelles
Ces fonctions ont un pouvoir de décision ou d’arbitrage sur des traitements impliquant des données personnelles.
Le DPO doit pouvoir les conseiller et les auditer, donc ne pas en dépendre.
Les fonctions d’archivage et de gestion documentaire
Ces postes sont en conflit direct avec la mission de supervision du DPO.
Ils exécutent des traitements qu’ils devraient contrôler.
-
Archiviste interne
-
Responsable GED (gestion électronique de documents)
-
Responsable ou correspondant du prestataire d’archivage externe
-
Coordinateur ou administrateur du GIE informatique mutualisé
Le DPO doit auditer les sous-traitants d’archivage, non en faire partie.
Cette désignation est irrecevable pour la SPEC 2217.
Les fonctions décisionnelles en communication ou pilotage
Ces fonctions peuvent influencer les messages, les rapports, ou la diffusion d’informations relatives à la conformité.
-
Responsable communication interne / externe
-
Responsable du développement ou du marketing (pour les SPSTI prestataires)
-
Chargé de mission innovation / transformation numérique
La communication institutionnelle peut biaiser la diffusion des alertes du DPO : incompatibilité d’indépendance.
Les fonctions multi-casquettes ou mutualisées
Dans les SPSTI mutualisés, certaines personnes cumulent plusieurs missions (ex. gestion du GIE, cellule informatique, coordination régionale).
Toute personne impliquée dans un flux de données inter-structures ou dans la gestion de prestataires ne peut être DPO.
-
Coordinateur GIE informatique
-
Chef de projet inter-SPSTI
-
Coordinateur de plateforme INS / PDP régionale
Ces profils représentent des acteurs du traitement mutualisé, pas des garants de conformité.
