Billet d’humeur – A quand la prise de conscience du rôle essentiel du DPO ?  Focus sur les manquements observés dans le dernier bilan de la CNIL

Catégorie : Droit hospitalier et coopération sanitaire
Date : 07/03/2024

Isabelle Génot-Pok, consultante – formatrice en droit de la santé, centre de droit JuriSanté du CNEH

Dans son bilan des contrôles 2023 publié le 17 janvier 2024, la Commission nationale de l’informatique et des libertés (CNIL) pointe plusieurs manquements des structures publiques dans l’application du Règlement général européen de protection de données (RGPD) et notamment en ce qui concerne les moyens nécessaires à la mission du délégué à la protection des données (DPO).

Après avoir infligé une amende de 5 000 euros à une structure qui n’avait pas désigné de DPO[1], il est intéressant de voir que la CNIL a aussi sanctionné un organisme du secteur social d’une amende de 10 000 euros pour des manquements à l’article 38 du RGPD. Dans cette affaire, « le délégué n’était en effet pas en mesure d’exercer correctement ses missions, notamment par le fait qu’il n’était pas assez associé aux questions relatives à la protection des données personnelles et ses fonctions manquaient de visibilité pour les employés de l’organisme »[2].

Aussi, 6 ans après l’entrée en vigueur du RGPD, il apparait essentiel de revenir sur les moyens que le responsable de traitement (RT), à savoir le directeur pour les établissements de santé et médico-sociaux, doit donner au DPO qu’il a désigné et déclaré auprès de la CNIL.

Selon cet article 38, et notamment les points 1, 2 et 3, il est de la seule responsabilité du RT de :

  • Veiller à ce que le DPO soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel, notamment dès le début de tous les projets impliquant des données à caractère personnel ;
  • De l’aider à exercer ses missions (visées à l’article 39[3]) en lui fournissant les ressources nécessaires, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement ;
  • De lui permettre d’entretenir ses connaissances spécialisées (ex : des formations adaptées, un abonnement aux revues spécialisées…).

Mais le RT doit aussi veiller à ce que le DPO ne reçoive aucune instruction en ce qui concerne l’exercice des missions.

Le DPO est donc libre et indépendant dans sa mission. Il n’y a pas d’intermédiaire entre lui et le RT dont il est le conseil en ce qui concerne le RGPD et la mise ou le maintien en conformité de la structure et auquel il fait son rapport annuel directement, «au niveau le plus élevé de la direction du RT » précise le texte… Dès lors, le DPO est protégé dans sa fonction de tout type de sanction, pression, … (tel un membre du comité social et économique – CSE) afin de l’exercer en toute indépendance.

Si cette situation est bien actée pour certains DPO, elle est loin de l’être pour d’autres, croulant sous diverses missions/fonctions dont le temps de travail n’est déjà pas suffisant pour les exercer… alors pour celle de DPO… on verra….

Par ailleurs, et pour faire le lien avec ce que les établissements connaissent bien et ce à quoi ils attachent de l’importance, la certification HAS, rappelons que dans sa version 2024, de son manuel, la Haute autorité de santé a effectué des ajustements en lien avec la sécurité des données. Les principales modifications réalisées par la HAS à son référentiel visent notamment à renforcer :

  • l’information délivrée au patient sur ses données à caractère personnel
  • la sécurisation et l’identification du patient
  • la communication sécurisée d’informations médicales
  • ou encore/ la maitrise des risques de sécurité visant les espaces numériques.

Il s’agit ici, avec cette dernière version, de permette à la HAS de participer à la conformité des établissements aux dispositions du RGPD et au respect de leurs obligations prévues par le code de la santé publique en matière d’échange et de partage de données de santé entre professionnels de la santé, intrinsèquement liées au RGPD.

Le DPO n’est pas simplement un affichage, ce n’est pas une mission parmi tant d’autres que l’on donne à celui ou celle qui semble en avoir moins à assurer.

C’est une réelle fonction, essentielle au plus haut point, -notamment avec les prochains textes européens applicables en octobre prochain (NSI 2) -, en lien avec toutes les autres fonctions et autres métiers de la structure qui traitent, manipulent, utilisent des données personnelles.

Et la CNIL qui ne semble plus aussi tolérante, 6 ans après l’application du RGPD, le rappelle.

Alors doit on se réjouir de ces sanctions ou être attristé de devoir encore et toujours en arriver à cet extrême pour mettre en place tous les moyens à disposition pour protéger nos données personnelles ?


NOTES

[1] Cf notre autre publication sur la sanction de la commune de Kourou.

[2] https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-la-cnil-presente-le-bilan-2023-de-son-action-repressive.

[3] Les missions du délégué à la protection des données sont au moins les suivantes : informer et conseiller le RT et les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de protection des données; contrôler le respect des textes RGPD, Loi CNIL…, en matière de protection des données […] y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant; dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35; coopérer avec l’autorité de contrôle; faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, […], et mener des consultations, le cas échéant, sur tout autre sujet.