Désignation du DPO : Attention au « Kourou » de la CNIL !
Article rédigé le 13 février 2024 par Raphaël Cavan
Article issu de notre lettre dédiée au numérique : Datactu – Février 2024
Les données personnelles ont pris une importance juridique et médiatique incontestable depuis l’entrée en vigueur du sacro-saint RGPD en 2018. Depuis, les établissements publics et privés ont dû s’attacher les services d’un délégué à la protection des données pour piloter leur conformité au RGPD qu’il soit interne ou externe à l’établissement ou mutualisé ou non entre différentes structures (à l’échelle du GHT par exemple).
Procéder à la désignation de ce délégué semble pour certaines structures appartenir à l’histoire, là où pour d’autres, les bases n’ont pas encore été assimilées, au risque d’être frappées du « Kourou » de la CNIL. C’est le cas de cette commune française sanctionnée d’une amende de 5 000€ pour ne pas avoir procédé à la désignation de son délégué.
La Commune de Kourou s’est vue infligée par la CNIL une amende de 5 000€ pour ne pas avoir procédé à la désignation d’un délégué à la protection des données (DPO) à la suite d’une campagne de mise en demeure réalisée par la CNIL en avril 2022, laquelle visait des communes n’ayant pas procédé à la désignation d’un DPO, et ce, en méconnaissance des dispositions de l’article 37 du RGPD.
Une injonction avait également été adressée à la commune de se mettre en conformité dans un délai de trois mois, laquelle n’avait toujours pas à l’issue de ce délai, désigné de DPO, ni même répondu aux différentes sollicitations de la CNIL… Syndrome de la feuille blanche ? Revoyons ensemble les bases derrière cette obligation de désignation du DPO.
L’obligation de désignation d’un DPO
Le DPO (« Data Protection Officer » ou délégué à la protection des données en français) est un acteur clé dans le pilotage de la mise en conformité RGPD d’un responsable de traitement.
Il dispose d’un rôle de conseil et d’accompagnement en raison de son expertise, et doit établir la documentation obligatoire dans le cadre du respect du principe de responsabilité (« accountability ») du RGPD.
Il est également chargé de la mise en mouvement du RGPD au sein d’un établissement à travers la diffusion en interne des règles de la protection des données, notamment au travers d’ateliers dédiés à des problématiques en lien avec la gestion et la sécurité des données personnelles.
La mission du DPO peut être assurée par un DPO interne, c’est-à-dire un salarié de l’établissement, ou un DPO externe sur la base d’un contrat de service (un cabinet d’avocats par exemple). Dans tous les cas, le DPO doit disposer de plusieurs qualités et doit être « désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions » confiées.
À l’aune des dispositions de l’article 37 du RGPD, la désignation d’un DPO est obligatoire dans trois (3) cas :
- Lorsque le traitement est effectué par une autorité publique ou un organisme public, sauf les juridictions dans le cadre de leur fonction juridictionnelle ;
- Les activités de base du responsable de traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- Les activités du responsable de traitement consistent en un traitement à grande échelle de catégorie particulière de données dites « sensibles » au sens de l’article 9 du RGPD, parmi lesquelles nous retrouvons notamment les données de santé.
Les établissements publics sont donc directement concernés par cette obligation de désignation prévue par le RGPD, à l’image d’une commune en France, ou bien d’un établissement de santé ou médico-social.
Pour autant, les établissements privés peuvent également être concernés par ces critères. À titre d’exemple, les sociétés de télémédecine qui, dans le cadre de leurs activités, peuvent être amenées à réaliser un traitement à grande échelle de données sensibles de santé des utilisateurs de leur plateforme.
Attention sur cette notion d’échelle du traitement, il n’existe pas de seuil applicable à toute situation, à partir duquel un traitement sera considéré comme mis en œuvre à « grande échelle ». Néanmoins, un certain nombre de facteurs peuvent être pris en compte notamment :
- le nombre de personnes concernées ;
- le volume de données et/ou le spectre des données traitées ;
- l’étendue géographique de l’activité de traitement (voir le Guide pratique de la CNIL sur ce point).
De même, un guide élaboré en collaboration entre la CNIL et le CNOM en 2018 apporte des précisions aux acteurs de la santé sur cette notion de traitement à grande échelle, et précise certains paramètres devant être pris en compte par les professionnels de la santé réalisant des traitements de données personnelles. Parmi ces paramètres, nous retrouvons notamment les modalités d’exercice du professionnel de santé (au sein d’un réseau, de maisons de santé, de centre de santé, …) ou encore si ce dernier sera amené à intervenir dans des dossiers partagés entre plusieurs professionnels de santé.
Alors, avez-vous procédé à votre désignation DPO ?
Le prochain rendez-vous des établissements : NIS 2
Cette obligation de désignation d’un DPO existe depuis l’entrée en vigueur du RGPD le 25 mai 2018, soit presque 6 ans, et force est de constater à la lumière de la campagne de mise en demeure d’avril 2022 réalisée par la CNIL que les établissements publics concernés n’ont pas tous répondu à l’appel du RGPD en temps et en heure.
Pour autant, Il ne faudrait pas que cela devienne une habitude pour les établissements publics, notamment avec l’arrivée de la directive Network and Information Security 2 (« NIS 2 »).
Pour rappel, cette directive européenne, qui s’inscrit dans la continuité de la directive NIS 1 adoptée le 6 juillet 2016 puis transposée en France le 26 février 2018, vise à augmenter le niveau de cybersécurité des acteurs majeurs dans des secteurs d’activité stratégiques (dix-huit au total), tels que la santé, les infrastructures numériques, l’administration publique, ou encore la recherche, etc…
NIS 2 permet l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles (EE) et les entités importantes (EI).
Ces entités devront s’auto-désigner auprès des autorités compétentes de chaque Etat membre qui ont jusqu’au plus tard le 17 avril 2025 pour établir une liste de l’ensemble des EE et EI intervenant sur leur territoire. En France, les entités concernées devront réaliser cette désignation auprès de l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Ces entités, aussi bien publiques que privées, devront anticiper les nouvelles obligations qui s’imposeront à eux, notamment en termes de mesures de gestion des risques en matière de cybersécurité, mais aussi en termes d’obligations d’information auprès des autorités compétentes en cas « [d’] incident ayant un impact important sur leur fourniture des services ».
La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et prévoit un délai de 21 mois pour que chaque Etat membre puisse transposer dans son droit national les différentes exigences réglementaires. NIS 2 devrait donc rentrer en vigueur en France au plus tard en octobre 2024.
Une distinction est à faire toutefois entre la date d’entrée en vigueur et la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines d’entre elles seront d’application directe et d’autres seront soumises à un délai de mise en conformité. Vigilance donc pour les acteurs de la santé et de la recherche dans la gestion de leur calendrier !
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.