Question

Réponse du Cabinet Houdart & Associés

Le Règlement européen général sur la protection des données, plus connu sous le sigle RGPD, prévoit la désignation obligatoire d’un délégué à la protection des données (DPD ou DPO pour son acronyme anglais) dans les trois cas suivants :

• Pour les autorités et organismes publics ;
• Pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (par exemple les compagnies d’assurance ou les banques pour leurs fichiers clients ou les opérateurs téléphoniques) ;
• Pour les organismes dont les activités de base les amènent à traiter à grande échelle des données de condamnations pénales et d’infraction ou des données dites « sensibles », telles que les données de santé.

Structurées sous forme de sociétés civiles ou d’associations à l’échelle d’un territoire déterminé, les MSP et CPTS ne sont pas concernées par les deux premiers cas de désignation obligatoire. Concernant le troisième cas, les MSP, à l’inverse des CPTS, peuvent être amenées à traiter directement des données de santé de patients si l’organisation de leur système d’information en font des responsables de traitement ou responsables conjoints avec les praticiens. De ce fait, les MSP peuvent être concernées par le dernier cas de désignation obligatoire d’un DPO.

A l’inverse, les CPTS en raison de leur objet ne sont pas censées traiter des données de santé et ne rentrent pas dans les trois cas de désignation obligatoire du DPO. Toutefois, la CNIL a précisé dans son guide de sensibilisation à destination des associations qu’une « association du secteur social et médico-social devra a priori désigner un DPO dans la mesure où elle traite des données sensibles à grande échelle ». Ainsi, les CPTS, tout comme les MSP, devront désigner un DPO pour démontrer leur conformité à la réglementation et limiter les risques juridiques et d’image qui pourraient survenir par un mauvais usage des fichiers comprenant des données personnelles. Cette désignation est donc un gage de confiance et de sécurité pour les patients mais également pour toutes les autorités accordant des subventions.

Les CPTS ou MSP qui souhaitent désigner un DPO peuvent choisir de désigner un DPO interne ou externe et qu’il soit mutualisé ou non avec d’autres structures. Pour désigner un DPO interne, l’organisation devra garantir les moyens notamment budgétaires du DPO et veiller au risque de conflit d’intérêt (impossibilité que le président de l’association ou le responsable des systèmes d’information soient désignés DPO par exemple). Pour désigner un DPO externe, un contrat de prestation de service devra être conclu avec le prestataire (cabinet d’avocats par exemple). Enfin, la fonction de DPO peut également être mutualisée entre plusieurs structures, sous réserve que ce choix soit adapté à la taille et aux traitements réalisés par ces dernières.

La désignation du délégué à la protection des données se fait via la téléprocédure de désignation disponible sur https://designations.cnil.fr/dpo/. Toutefois, il convient de rappeler que la seule désignation d’un DPO ne permet pas en tant que tel à la structure d’être en conformité avec la réglementation. En effet, seul la structure restera responsable des obligations découlant de la règlementation sur les données à caractère personnel. C’est sur la structure que pèsera les obligations de mise en conformité de toute la documentation interne (registres, clauses contractuelles, mentions d’information, analyse d’impact sur la vie privée le cas échéant etc.). Le DPO sera uniquement le « pilote » de cette mise en conformité. On comprend donc que la désignation pour une MSP ou une CPTS d’un DPO soit en interne soit en externe sera essentielle pour assurer le suivi de la mise en conformité de cette structure à la règlementation sur les données personnelles. Fort de son expérience dans le secteur sanitaire, le Cabinet Houdart & Associés peut devenir votre DPO désigné auprès de la CNIL ou bien assister votre DPO déjà désigné en interne.