Par Stéphane ASTIER et David GRANEL
Plus de vingt ans après la Directive sur la Protection des Données, l’Union Européenne s’est dotée d’un nouveau règlement le 14 avril 2016.
Ce règlement rend le DPO ou « data protection officer » obligatoire dans les entreprises du secteur public, « si leur activité les amène à réaliser du profiling à grande échelle, ou si leur activité les amène à traiter, toujours à grande échelle, des données dites sensibles ou relatives à des condamnations », précise l’AFDCP (Association Française des Correspondants à la Protection des Données à Caractère Personnel).
Compte tenu de la nature des traitements opérés au sein des hôpitaux, les Directions des Systèmes d’Information des hôpitaux (DSIH) devront impérativement se doter d’un DPO. Elles disposent de deux ans pour organiser la transition, le cas échéant avec leur CIL existant.
Le DPO est en effet responsable de la protection et de la conformité des données étant précisé que si le CIL remplit jusqu’alors une fonction, le DPO exercera pour sa part et compte tenu de l’élargissement de ses compétences un métier spécifique totalement dédié.
Les futurs DPO auront des responsabilités plus étendues que les CIL même si ces deux terminologies devraient être amenées à fusionner dans un avenir proche.
- Les missions du CIL / DPO
Le DPO devra tout comme le CIL :
- mettre en œuvre les dispositifs informatiques de protection des données et des applications,
- mettre en œuvre des mécanismes de veille pour se préparer à candidater à des labels (informatique et libertés…)
- mettre en œuvre l’organisation de la sécurité.
- veiller à la réalisation des analyses de risques et des études d’impact
- être l’interlocuteur privilégié en cas de violation de données personnelles
- veiller à ce que les demandes de droit d’accès soient satisfaites en un mois (au lieu de deux actuellement).
Le DPO se devra en plus de notifier et enregistrer les violations de données personnelles, ainsi que les analyses d’impact de ces violations.
Pour assister les organismes et faire appliquer le traitement des données conformément au règlement européen, le DPO devra veiller à l’absence de conflit d’intérêts, être indépendant, être soumis à une obligation de confidentialité et au secret professionnel pour assister les organismes et faire appliquer le traitement des données conformément au règlement européen.
Notons que son identité devra également être rendue publique.
- Le choix du CIL / DPO
Compte tenu du renforcement drastique de la réglementation relative à la protection des données à caractère personnel au niveau européen, les organismes et entreprises publiques ou privées qui n’ont pas déjà désigné un CIL devront s’engager sur cette voie, pour être prêts à faire face aux nouvelles exigences.
La complexité des contraintes légales et administratives impliquera l’appui d’un professionnel dédié, au plus près du terrain.
Le règlement prévoit pour faciliter cette mise en place qu’ « un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement ». Il sera également possible de désigner un délégué externe comme cela se fait avec les CIL.
Les enjeux sont importants, puisque la CNIL, comme tous ses équivalents européens, pourra selon le nouveau règlement, imposer des sanctions financières jusqu’à 4 % du chiffre d’affaires annuel mondial.
Ces nouvelles règles, appelées à remplacer celles de notre actuelle loi Informatique et Libertés, seront applicables mi-2018.
La protection des données personnelles est plus que jamais une préoccupation et une priorité pour les responsables d’organismes privés comme publics.
Pour tout renseignement, contactez le cabinet Haas-avocats ici.