Pourquoi le DPO est obligatoire dans le secteur de la sante
Le Reglement General sur la Protection des Donnees (RGPD) impose la designation d un Delegue a la Protection des Donnees (DPO) a certaines categories d organismes. Dans le secteur de la sante, cette obligation concerne la quasi-totalite des structures : hopitaux, cliniques, laboratoires d analyses, cabinets medicaux de groupe, EHPAD, centres de sante et mutuelles. Le DPO est le garant de la conformite au RGPD et le point de contact privilegie avec la CNIL.
Les donnees de sante figurent parmi les categories de donnees les plus sensibles au sens du RGPD. Leur traitement a grande echelle constitue un critere determinant pour l obligation de designer un DPO. Les etablissements de sante, par nature, traitent ces donnees quotidiennement et massivement, ce qui rend la designation d un DPO incontournable.
Les criteres qui rendent le DPO obligatoire
L article 37 du RGPD definit trois cas dans lesquels la designation d un DPO est obligatoire. Le premier concerne les autorites et organismes publics : les hopitaux publics, les centres hospitaliers universitaires (CHU) et les agences regionales de sante (ARS) sont directement concernes. Le deuxieme critere vise les organismes dont les activites de base les amenent a realiser un suivi regulier et systematique des personnes a grande echelle. Le troisieme critere, le plus pertinent pour le secteur de la sante, concerne les organismes qui traitent a grande echelle des categories particulieres de donnees, dont les donnees de sante.
En pratique, meme les structures de taille moyenne comme les cabinets de groupe ou les centres d imagerie medicale sont concernees des lors qu elles traitent des donnees de sante de maniere reguliere. La CNIL recommande d ailleurs la designation d un DPO meme lorsqu elle n est pas strictement obligatoire, tant les enjeux de protection des donnees en sante sont importants.
Les missions du DPO en etablissement de sante
Le DPO remplit plusieurs missions essentielles au sein d un etablissement de sante. Il conseille la direction et les equipes sur toutes les questions relatives a la protection des donnees personnelles. Il veille a la conformite des traitements de donnees avec le RGPD et les reglementations sectorielles specifiques a la sante. Il realise ou supervise les analyses d impact (AIPD) pour les traitements a risque, comme la mise en place d un nouveau logiciel de gestion des dossiers patients.
Le DPO est egalement le point de contact avec la CNIL. En cas de controle ou de violation de donnees, il coordonne la reponse de l etablissement. Il forme et sensibilise le personnel aux bonnes pratiques : confidentialite des dossiers medicaux, gestion des acces aux systemes d information, signalement des incidents de securite. Enfin, il tient et met a jour le registre des traitements, document obligatoire qui recense l ensemble des traitements de donnees de l etablissement.
DPO interne ou DPO externe : quel choix pour un etablissement de sante
L etablissement de sante peut choisir de designer un DPO interne (un collaborateur existant) ou un DPO externe (un prestataire specialise). Le DPO interne presente l avantage de connaitre l organisation de l interieur, mais il doit disposer des competences necessaires en matiere de protection des donnees et ne pas se trouver en situation de conflit d interets. Le directeur de l etablissement, le responsable informatique ou le medecin-chef ne peuvent pas etre DPO car leurs fonctions impliquent de determiner les finalites des traitements.
Le DPO externe offre une expertise specialisee et une independance garantie. Il intervient aupres de plusieurs structures et mutualise les bonnes pratiques. Cette solution est particulierement adaptee aux etablissements de taille moyenne qui ne disposent pas des ressources pour un poste a temps plein. Le DPO externe doit etre accessible, reactif et bien connaitre le secteur de la sante pour etre efficace.
Les risques en cas d absence de DPO
Ne pas designer de DPO lorsque cela est obligatoire expose l etablissement de sante a plusieurs risques. La CNIL peut prononcer une mise en demeure assortie d une amende pouvant atteindre 10 millions d euros ou 2 % du chiffre d affaires annuel mondial. Au-dela de la sanction financiere, l absence de DPO fragilise l ensemble de la politique de protection des donnees de l etablissement. Sans referent identifie, les violations de donnees risquent de ne pas etre detectees ou signalees dans les delais legaux de 72 heures.
Les patients sont de plus en plus sensibles a la protection de leurs donnees medicales. Un manquement rendu public peut gravement affecter la reputation de l etablissement et la confiance des patients. Les professionnels de sante eux-memes peuvent engager leur responsabilite individuelle en cas de negligence dans la gestion des donnees de leurs patients.
Comment mettre en place un DPO dans votre etablissement
La premiere etape consiste a evaluer le besoin : volume de donnees traitees, types de traitements, nombre de patients. Ensuite, l etablissement doit choisir entre un DPO interne et un DPO externe en fonction de ses ressources et de la complexite de ses traitements. La designation doit etre formalisee par un acte officiel et communiquee a la CNIL via le formulaire dedie sur son site internet.
Le DPO doit disposer des moyens necessaires pour exercer ses missions : acces aux informations, temps dedie, budget de formation et d outils. Il doit etre associe en amont a tout nouveau projet impliquant des donnees personnelles. L etablissement doit enfin communiquer les coordonnees du DPO aux patients et au personnel, conformement au principe de transparence du RGPD.
Article redige par Laurent de Cavel, DPO certifie. Pour toute question sur la designation d un DPO dans votre etablissement de sante, contactez notre equipe sur dpo-france.com.
