Pierre angulaire incontournable de la protection des données personnelles, le délégué à la protection des données (DPO) occupe une place singulière au sein du groupement hospitalier de territoire (GHT), par l’histoire, la culture et le langage qui caractérisent chacun des établissements qui le composent, sans parler des coopérations et des équilibres ni des compétences qui y sont présentes.
Il était déjà rare, en pratique, que les correspondants Informatique et Libertés (CIL) soient rattachés au directeur général. Il n’est pas certain, compte tenu de la faible maturité des établissements en la matière, que la situation change avec l’arrivée du DPO, même s’il y a fort à parier qu’il sera généralement affecté à l’établissement support.
La presse a pu évoquer « l’oiseau rare » capable de cumuler des compétences extrêmement variées, à la fois organisationnelles, techniques et juridiques, sans oublier son talent
de pédagogue et de communicant.
Les présentes lignes entendent plus modestement tracer à grands traits le portrait du DPO
de GHT, à la fois sur la forme et sur le fond.
Profil et compétences attendues
Outre des compétences juridiques, il doit posséder des connaissances techniques, organisationnelles et transverses en termes de gestion de projet, de système d’information et de gestion des risques ainsi qu’une pratique de la protection des données. Une connaissance approfondie des processus métiers mis en oeuvre à l’échelle du GHT lui sera également indispensable.
Doté de qualités personnelles d’intégrité et d’éthique, il témoignera d’une capacité à communiquer et à se montrer pédagogue pour diffuser la culture « Informatique et Libertés » auprès de son entourage professionnel. Dans la pratique, mieux vaut ne pas « parachuter » quelqu’un d’extérieur au monde hospitalier sans l’aider à s’intégrer dans le tissu de l’organisme. Cette mission peut également être confiée à une personne morale « sur la base d’un contrat de service » (article 37 § 6 du règlement sur la protection des données).
Positionnement
Le RGPD a bien évidemment envisagé les risques de conflits d’intérêts (article 38 § 6), raison pour laquelle sont exclus, selon le G29 (groupe de travail « Article 29 » sur la protection des données), les postes de cadres supérieurs ou de direction (comme celui de directeur général, de DAF ou le directeur des affaires médicales, le DRH, des DSIO, etc.), mais aussi des rôles moins importants dans la structure organisationnelle si ces postes ou rôles conduisent à la détermination des objectifs et des moyens de traitement de données personnelles.
Dans le cas d’un RSSI « opérationnel » chargé de la mise en oeuvre d’outils tels que firewalls, le conflit d’intérêts est avéré en raison de la détermination des moyens de traitement. Ce n’est pas le cas lorsque le RSSI poursuit une mission de gouvernance de la sécurité, en agissant comme organisateur et contrôleur des mesures de sécurité.
Cela étant précisé, au moment de sa désignation, les « coordonnées » du DPO doivent, d’une part, être notifiées à l’autorité de contrôle et, d’autre part, être publiées. Aucune précision n’est donnée sur les modalités exactes de cette double obligation de notification et de publication. Selon le G29, les coordonnées doivent être suffisamment complètes pour permettre de joindre le DPO et, à ce titre, doivent
contenir son adresse postale, son téléphone, son adresse électronique et tout autre moyen de communication éventuellement utilisé au sein de l’organisme concerné (formulé en ligne, par exemple).
Cela suppose aussi une communication officielle sur la désignation du DPO à tous les membres du personnel pour s’assurer que son existence et sa fonction connues au sein de l’organisation. Certains témoignages font pourtant état de désignations plutôt discrètes. Il dispose de ressources matérielles (formation continue, bureau, garantie sur la confidentialité, bénéficie du soutien actif de la direction générale dans l’accomplissement de ses missions et du temps suffisant pour remplir ses fonctions.
Tous les membres du personnel doivent connaître son existence et, dans un souci d’efficacité, il doit avoir accès à tous les services (RH, juridique, SI, sécurité, etc.) afin de recueillir les informations essentielles dont il a besoin. Dans la pratique, l’affectation de moyens se fera sans doute au fur et à mesure de la prise de conscience des enjeux par la direction générale.
L’indépendance professionnelle, que le RGPD lui confère, s’oppose à ce qu’il puisse être dirigé sur la manière de traiter une question dans l’accomplissement de ses missions (article 38 § 3). Il n’a aucun compte à rendre à un supérieur hiérarchique et dispose d’une liberté tant organisationnelle que décisionnelle dans le cadre de sa mission. Cette liberté ne signifie pas pour autant qu’il agit seul et sans aucune concertation puisqu’il demeure libre de consulter la Cnil ou tout autre sachant, dans la limite du cadre de sa fonction et de l’exercice de ses missions.
Rôle et missions
Son périmètre est formalisé par une fiche de poste qui énumère les principales missions suivantes :
- Informer et conseiller le responsable de traitement ou le sous-traitant ainsi que les employés qui procèdent à des traitements sur les obligations qui leur incombent en vertu du RGPD et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;
- Contrôler le respect du RGPD et des règles internes du responsable du traitement y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement ainsi que les audits ;
- Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 du RGPD ;
- Coopérer avec l’autorité de contrôle ;
- Faire office de point de contact avec l’autorité de contrôle sur les questions relatives aux traitements et mener, le cas échéant, des consultations sur tout autre sujet.
Concrètement, la plupart des GHT ont procédé ou commencent à procéder à une refonte de leur politique générale de sécurité des systèmes d’information, notamment sur la matrice des habilitations et les droits des utilisateurs.
Un intérêt tout particulier devra être porté au renforcement de la validité du consentement pour les traitements qui le nécessitent. Cette gestion se révélera sans doute assez lourde à mettre en oeuvre. L’achat mutualisé de logiciels et la fixation d’exigences équivalentes à tous les fournisseurs représentent également un chantier important.
Le G29 recommande, par ailleurs, que le responsable du traitement demande l’avis du DPO notamment sur les problèmes suivants :
- Effectuer ou non une analyse d’impact ;
- La méthodologie à suivre lors de la réalisation d’une analyse d’impact ;
- S’il s’agit d’effectuer une analyse d’impact en interne ou externalisée ;
- Les garanties appliquées pour atténuer tout risque pour les droits et intérêts des personnes concernées ;
- Si l’analyse d’impact relative à la protection des données a été correctement effectuée ou non et si ses conclusions sont au RGPD.
Le responsable de traitement et le sous-traitant veillent à ce qu’il soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (article 38 § 1). Il est injustifié que le DPO soit par exemple exclu de certaines réunions au cours desquelles il pourrait échanger et faire connaître son point de vue.
Il participera à toutes les questions relatives à la protection des données, dès le premier stade possible, ce que le RGPD prévoit explicitement s’agissant de la réalisation des analyses d’impact. En outre, le by design sera probablement mieux respecté si le DPO est associé dès le début. Il importe de lui fournir les ressources nécessaires pour exercer ses missions, de lui donner l’accès aux données à caractère personnel et aux opérations de traitement et, enfin, de lui permettre d’entretenir ses connaissances spécialisées, ce qui implique une obligation de se former.
Enfin, le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant, tant et si bien que si le responsable du traitement ou le sous-traitant prennent des décisions incompatibles avec le RGPD et les conseils du DPO, ce dernier doit avoir la possibilité de rendre une opinion dissidente directement au niveau le plus élevé de la direction.
S’il n’est pas un « salarié protégé » au sens du Code du travail, il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement pour l’exercice de sa mission. À titre d’exemple, on ne saurait lui reprocher d’avoir émis une recommandation qui n’a pas été suivie d’effets. Cette exigence renforce l’autonomie des DPO selon le G29, les pénalités pouvant prendre diverses formes, directes ou indirectes. Elles peuvent, par exemple, consister dans l’absence ou le retard de promotion et dans le refus d’avantages que d’autres employés. Il n’est pas nécessaire que ces pénalités se réalisent. Une simple menace suffit, tant qu’elle est liée à l’activité de DPO (G29, Lignes directrices concernant les délégués à la protection des données, 13 décembre 2016, 3.4).
Le respect des obligations imposées par le RGPD incombe au responsable du traitement (et non au DPO). Lui seul engage sa responsabilité en cas de non-conformité. Enfin, le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.
Telles sont les grandes lignes qui caractérisent (ou plutôt devraient caractériser) la fonction de DPO au sein des GHT, en général, et des établissements en particulier.
Des lignes issues d’une géométrie variable
L’auteur
Me Omar YAHIA
SELARL YAHIA Avocats
Barreau de Paris