Publicité en cours de chargement...
Du CIL au DPO : anticiper le règlement européen sur les données personnelles
Avec l’application du règlement européen concernant la protection des données, le Correspondant Informatique et Libertés (CIL) va devenir le Délégué de protection des données (DPO, équivalent de Data Protection Officer). Plus qu’un changement d’habillage, cette évolution marque un pas dans la stratégie de protection des données personnelles. « Le CIL remplit une fonction. Le DPO exercera un vrai métier », explique Frédéric Connes, directeur juridique chez HSC by Deloitte. En effet, la complexité des contraintes légales et administratives nécessitera l’appui d’un professionnel dédié, au plus près du terrain.
Ce qui va changer
Au regard des critères du texte, le DPO sera de facto obligatoire pour les établissements de soins, sachant qu’un seul DPO pourra être mutualisé dans un groupe, du moment qu’il est facilement joignable par chaque établissement. Il sera également possible de désigner un délégué externe.
La confiance numériquepassera donc par le DPO, un garant de la conformité du traitement des données personnelles. Il devra agir dans le respect des principes d’absence de conflit d’intérêts, de confidentialité, d’indépendance et de secret professionnel, pour assister les organismes et faire appliquer le traitement des données conformément au règlement européen.
Plus de responsabilités
Le DPO veillera à la réalisation des analyses de risques et des études d’impact. Il sera l’interlocuteur privilégié en cas de violation de données personnelles et devra veiller à ce que les demandes de droit d’accès soient satisfaites en un mois (au lieu de deux actuellement).
En contrepartie de ces nouvelles responsabilités, de nouveaux moyens seront mis à sa disposition, notamment l’accès direct aux données, sans demande préalable auprès du responsable de leur traitement. « Cette responsabilité devrait à elle seule justifier une augmentation de la rémunération du DPO par rapport à celle du CIL », précise Frédéric Connes.
Comment anticiper ?
Les établissements seront tenus d’être en mesure d’appliquer ce nouveau règlement dans les deux ans. Pour anticiper cette évolution, les CIL qui le souhaitent et qui répondent aux nouvelles exigences pourront être confirmés dans leur fonction en tant que DPO. Il s’agit là de capitaliser sur les travaux déjà réalisés, de permettre à l’organisme de mieux se préparer au nouveau cadre juridique, et au futur DPO de se prépositionner en acquérant l’expérience pratique nécessaire.
Par ailleurs, une série de formations permettront de prendre les devants sur les futures obligations réglementaires :
- Évolution des formalités préalables ;
- Gestion des sous-traitants et des contrats ;
- Sécurité des données personnelles (prévenir en particulier leur violation) ;
- Analyses d’impact ;
- Portabilité ;
- Gestion et communication de crise…
Il sera également nécessaire de développer des équipements et des outils pratiques (documentaires, registre des activités et suivi du traitement des données, inventaire des violations répertoriées, preuves de conformité…). Des mécanismes de veille pour se préparer à candidater à des labels (informatique et libertés…) ainsi que des procédures d’analyse d’impact et de notification de violation de données personnelles, accompagnées d’audits techniques et juridiques du traitement des données devront parallèlement être prévus.
« Il sera également intéressant de participer aux travaux des associations », ajoute Frédéric Connes. Il en existe principalement trois, qui organisent des groupes de travail DPO :
- L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) ;
- L’ADPO (Association des Data Protection Officers) ;
- La CEDPO (Confederation of European Data Protection Organisations).
Avez-vous apprécié ce contenu ?
A lire également.

MedGPT : le premier assistant IA médical français, alternative à ChatGPT
17 sept. 2025 - 08:48,
Actualité
- DSIHLa startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.
Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte
15 sept. 2025 - 22:20,
Tribune
-Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...