Le délégué à la protection des données sera le chef d'orchestre de la protection des données" (Cnil)

PARIS, 5 décembre 2017 (TecHopital) - Pour la Cnil, le délégué à la protection des données est le chef d'orchestre de la conformité à la protection des données, a indiqué le 29 novembre Thomas Dautieu, directeur adjoint à la direction de la conformité de la commission, lors du colloque sur la sécurité des systèmes d'informations des établissements sanitaires et médico-sociaux organisé au ministère de la santé.

Souhaitant sensibiliser les directeurs d'établissement à la sécurité des systèmes d'information, Marie-Anne Jacquet, sous-directrice du pilotage de la performance des acteurs de l'offre de soins (DGOS) a rappelé que la nomination d'un délégué à la protection des données (DPD ou DPO en anglais) va devenir obligatoire à partir du 25 mai 2018 avec l'application du règlement européen sur la protection des données (RGPD).

Le règlement européen impose la nomination d'un DPD pour les acteurs publics ou lorsque l'on traite de données de santé à grande échelle.

La représentante de la DGOS en a profité pour annoncer la mise en ligne mercredi d'un mémento de cyber-sécurité pour les établissements de santé.

Thomas Dautieu qui représentait la Cnil dans ce colloque a évoqué le rôle du DPD comme étant "le chef d'orchestre de la conformité à la protection des données. C'est lui qui porte la gouvernance des données. C'est un rôle central, un rôle moteur", a-t-il expliqué.

"Le délégué est un personnage extrêmement important pour la Cnil car il va être notre principal interlocuteur ". Rappelant que la Cnil avait "une mission de conseil", il a précisé qu'elle était "extrêmement sollicitée sur des tas de sujets, par des tas d'acteurs publics ou privés".

"L'idée est qu'avant d'être sollicité en direct par les services, les directions opérationnelles, ces derniers passent d'abord par le DPD qui va faire converger l'ensemble des interrogations, va apporter un premier niveau de réponse pour ensuite se retourner vers la Cnil et établir un dialogue avec nous".

Les DPD pourront apporter un premier niveau de réponse sans solliciter systématiquement une commission qui n'a pas les moyens humains et financiers pour y répondre. "La Cnil c'est 200 personnes, elle ne peut pas tout faire", a insisté Thomas Dautieu.

La commission souhaite ainsi obtenir un appui opérationnel et constituer un écosystème de la régulation de la protection des données. "Les délégués vont devoir porter la bonne parole", a-t-il fait remarquer.

Ces futurs délégués auront pour mission de "constituer une communauté de délégués", "qu'ils puissent se fédérer, travailler ensemble", pour "développer une vision commune et favoriser ainsi les échanges d'expérience".

Quelles sont les qualités du "bon DPD" ?

Thomas Dautieu a rappelé que deux articles du règlement européen (RGPD) se réfèrent directement à la fonction de délégué de la protection des données.

Le DPD devra "connaître le métier, ça ne peut pas être un pur technicien". Il doit "avoir des qualifications juridiques sur la protection des données" mais aussi "avoir une certaine autorité, hiérarchique et naturelle, pour lui permettre de porter ses sujets", a-t-il précisé. Il doit également "avoir des moyens d'agir: du temps et des personnels à sa disposition".

Mais attention aux conflits d'intérêts. "Il va devoir donner des conseils sur les traitements mais ne devra pas être associé aux responsables de traitements. Il doit bénéficier d'une certaine indépendance pour alerter le responsable de traitement". La mission de contrôle des conflits d'intérêts est "une mission que la Cnil ne remplira plus", a-t-il d'ailleurs annoncé.

Le délégué devra également fournir des conseils en cas d'analyse d'impact, contrôler le respect du règlement général sur la protection des données. "Il doit être capable de mener des audits externes ou internes." En d'autres termes "il doit avoir les mains dans le cambouis". Et enfin "être connu et reconnu au sein de l'établissement".

A noter que le RGDP prévoit la possibilité d'externaliser ou de mutualiser ce délégué.