Publicité en cours de chargement...
Du CIL au DPO : anticiper le règlement européen sur les données personnelles
Avec l’application du règlement européen concernant la protection des données, le Correspondant Informatique et Libertés (CIL) va devenir le Délégué de protection des données (DPO, équivalent de Data Protection Officer). Plus qu’un changement d’habillage, cette évolution marque un pas dans la stratégie de protection des données personnelles. « Le CIL remplit une fonction. Le DPO exercera un vrai métier », explique Frédéric Connes, directeur juridique chez HSC by Deloitte. En effet, la complexité des contraintes légales et administratives nécessitera l’appui d’un professionnel dédié, au plus près du terrain.
Ce qui va changer
Au regard des critères du texte, le DPO sera de facto obligatoire pour les établissements de soins, sachant qu’un seul DPO pourra être mutualisé dans un groupe, du moment qu’il est facilement joignable par chaque établissement. Il sera également possible de désigner un délégué externe.
La confiance numériquepassera donc par le DPO, un garant de la conformité du traitement des données personnelles. Il devra agir dans le respect des principes d’absence de conflit d’intérêts, de confidentialité, d’indépendance et de secret professionnel, pour assister les organismes et faire appliquer le traitement des données conformément au règlement européen.
Plus de responsabilités
Le DPO veillera à la réalisation des analyses de risques et des études d’impact. Il sera l’interlocuteur privilégié en cas de violation de données personnelles et devra veiller à ce que les demandes de droit d’accès soient satisfaites en un mois (au lieu de deux actuellement).
En contrepartie de ces nouvelles responsabilités, de nouveaux moyens seront mis à sa disposition, notamment l’accès direct aux données, sans demande préalable auprès du responsable de leur traitement. « Cette responsabilité devrait à elle seule justifier une augmentation de la rémunération du DPO par rapport à celle du CIL », précise Frédéric Connes.
Comment anticiper ?
Les établissements seront tenus d’être en mesure d’appliquer ce nouveau règlement dans les deux ans. Pour anticiper cette évolution, les CIL qui le souhaitent et qui répondent aux nouvelles exigences pourront être confirmés dans leur fonction en tant que DPO. Il s’agit là de capitaliser sur les travaux déjà réalisés, de permettre à l’organisme de mieux se préparer au nouveau cadre juridique, et au futur DPO de se prépositionner en acquérant l’expérience pratique nécessaire.
Par ailleurs, une série de formations permettront de prendre les devants sur les futures obligations réglementaires :
- Évolution des formalités préalables ;
- Gestion des sous-traitants et des contrats ;
- Sécurité des données personnelles (prévenir en particulier leur violation) ;
- Analyses d’impact ;
- Portabilité ;
- Gestion et communication de crise…
Il sera également nécessaire de développer des équipements et des outils pratiques (documentaires, registre des activités et suivi du traitement des données, inventaire des violations répertoriées, preuves de conformité…). Des mécanismes de veille pour se préparer à candidater à des labels (informatique et libertés…) ainsi que des procédures d’analyse d’impact et de notification de violation de données personnelles, accompagnées d’audits techniques et juridiques du traitement des données devront parallèlement être prévus.
« Il sera également intéressant de participer aux travaux des associations », ajoute Frédéric Connes. Il en existe principalement trois, qui organisent des groupes de travail DPO :
- L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) ;
- L’ADPO (Association des Data Protection Officers) ;
- La CEDPO (Confederation of European Data Protection Organisations).
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.