Question
Réponse du Cabinet Houdart & Associés
Le Règlement européen général sur la protection des données, plus connu sous le sigle RGPD, prévoit la désignation obligatoire d’un délégué à la protection des données (DPD ou DPO pour son acronyme anglais) dans les trois cas suivants :
- Pour les autorités et organismes publics ;
- Pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (par exemple les compagnies d’assurance ou les banques pour leurs fichiers clients ou les opérateurs téléphoniques) ;
- Pour les organismes dont les activités de base les amènent à traiter à grande échelle des données de condamnations pénales et d’infraction ou des données dites « sensibles », telles que les données de santé.
Structurées sous forme de sociétés civiles ou d’associations à l’échelle d’un territoire déterminé, les MSP et CPTS ne sont pas concernées par les deux premiers cas de désignation obligatoire. Concernant le troisième cas, les MSP, à l’inverse des CPTS, peuvent être amenées à traiter directement des données de santé de patients si l’organisation de leur système d’information en font des responsables de traitement ou responsables conjoints avec les praticiens. De ce fait, les MSP peuvent être concernées par le dernier cas de désignation obligatoire d’un DPO.
A l’inverse, les CPTS en raison de leur objet ne sont pas censées traiter des données de santé et ne rentrent pas dans les trois cas de désignation obligatoire du DPO. Toutefois, la CNIL a précisé dans son guide de sensibilisation à destination des associations qu’une « association du secteur social et médico-social devra a priori désigner un DPO dans la mesure où elle traite des données sensibles à grande échelle ». Ainsi, les CPTS, tout comme les MSP, devront désigner un DPO pour démontrer leur conformité à la réglementation et limiter les risques juridiques et d’image qui pourraient survenir par un mauvais usage des fichiers comprenant des données personnelles. Cette désignation est donc un gage de confiance et de sécurité pour les patients mais également pour toutes les autorités accordant des subventions.
Les CPTS ou MSP qui souhaitent désigner un DPO peuvent choisir de désigner un DPO interne ou externe et qu’il soit mutualisé ou non avec d’autres structures. Pour désigner un DPO interne, l’organisation devra garantir les moyens notamment budgétaires du DPO et veiller au risque de conflit d’intérêt (impossibilité que le président de l’association ou le responsable des systèmes d’information soient désignés DPO par exemple). Pour désigner un DPO externe, un contrat de prestation de service devra être conclu avec le prestataire (cabinet d’avocats par exemple). Enfin, la fonction de DPO peut également être mutualisée entre plusieurs structures, sous réserve que ce choix soit adapté à la taille et aux traitements réalisés par ces dernières.
La désignation du délégué à la protection des données se fait via la téléprocédure de désignation disponible sur https://designations.cnil.fr/dpo/. Toutefois, il convient de rappeler que la seule désignation d’un DPO ne permet pas en tant que tel à la structure d’être en conformité avec la réglementation. En effet, seul la structure restera responsable des obligations découlant de la règlementation sur les données à caractère personnel. C’est sur la structure que pèsera les obligations de mise en conformité de toute la documentation interne (registres, clauses contractuelles, mentions d’information, analyse d’impact sur la vie privée le cas échéant etc.). Le DPO sera uniquement le « pilote » de cette mise en conformité. On comprend donc que la désignation pour une MSP ou une CPTS d’un DPO soit en interne soit en externe sera essentielle pour assurer le suivi de la mise en conformité de cette structure à la règlementation sur les données personnelles. Fort de son expérience dans le secteur sanitaire, le Cabinet Houdart & Associés peut devenir votre DPO désigné auprès de la CNIL ou bien assister votre DPO déjà désigné en interne.
Avocat au Barreau de Paris
Axel VÉRAN a rejoint le Cabinet Houdart & Associés en mai 2018 et exerce comme avocat associé au sein du Pôle Organisation.
Notamment diplômé du Master II DSA – Droit médical et pharmaceutique de la faculté de Droit d’Aix-en-Provence dont il est sorti major de promotion, il a poursuivi sa formation aux côtés d’acteurs évoluant dans les secteurs médical et pharmaceutique avant d’intégrer le Cabinet (groupe de cliniques, laboratoire pharmaceutique, agence régionale de santé, cabinets d’avocats anglo-saxons).
Il intervient aujourd’hui sur diverses problématiques de coopération hospitalière et de conseil aux établissements de santé, publics et privés.
Aussi le principal de son activité a trait :
A l’élaboration de montages et contrats ;
A la mise en place de structures et modes d’activités ;
Aux opérations d’acquisition, de cession, de restructuration … ;
Au conseil réglementaire ;
A la compliance.
Axel VÉRAN intervient aussi bien en français qu’en anglais.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.