Publicité en cours de chargement...

Publicité en cours de chargement...

DPO : Quel profil pour quel positionnement ?

28 nov. 2017 - 09:52,
Tribune - Par Me Omar Yahia
On me pose souvent la question de savoir quel doit être le profil et le positionnement du DPO dans les établissements de santé. Mon premier réflexe consiste à réaliser une sorte de benchmarking entre les différentes formations « offertes » pour construire le futur DPO. Ainsi et par exemple, le CNAM propose un certificat de spécialisation Délégué à la protection des données. Les facultés ne sont en reste, avec un diplôme d’université DPO (Paris II Panthéon Assas, Paris Nanterre, etc.).

On pourrait ainsi multiplier les offres actuellement présentes sur le marché. Mais l’essentiel n’est pas là, à mon sens. Que le DPO soit mutualisé, interne (c’est-à-dire ancien CIL, par exemple) ou externe, c’est au recruteur qu’il appartient de choisir le profil qu’il estime le plus apte pour remplir cette mission.

Quel profil retenir ?

Il n’est pas absolument indispensable, et l’AFCDP ne s’y trompe pas, que le DPO soit juriste ou avocat. L’hétérogénéité des profils représente tout au contraire une richesse, même si le profil retenu ne peut faire l’économie de connaissances de base en droit. Si le niveau d’expertise requis n’est pas strictement défini, il doit être adapté à la sensibilité, la complexité et la quantité de données traitées par le GHT, sans doute future personne morale.

Il doit par ailleurs bénéficier du soutien actif de la direction générale, dans l’accomplissement de ses missions et disposer du temps suffisant pour remplir ses fonctions. Tous les membres du personnel doivent connaître son existence et, dans un souci d’efficacité, il doit avoir accès à tous le services (RH, juridique, SI, sécurité, etc.) afin de recueillir les informations essentielles dont il a besoin.

Quel positionnement adopter ?

L’indépendance professionnelle du DPO s’oppose à ce qu’il puisse être dirigé sur la manière de traiter une question dans l’accomplissement de ses missions. Il n’a aucun compte à rendre à un supérieur hiérarchique et il dispose d’une liberté organisationnelle et décisionnelle dans le cadre de sa mission. Cette liberté ne signifie pas pour autant qu’il agit seul et sans aucune concertation puisqu’il demeure libre de consulter la CNIL ou tout autre sachant, dans la limite du cadre de sa fonction et de l’exercice de ses missions.

Enfin, le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant tant et si bien que si le responsable du traitement ou le sous-traitant prennent des décisions incompatibles avec le RGPD et les conseils du DPO, ce dernier doit avoir la possibilité de rendre une opinion dissidente directement au niveau le plus élevé de la direction.

Le RGPD a bien évidemment envisagé les risques de conflits d’intérêts (art. 38 § 6), raison pour laquelle sont exclus, selon le G29, les postes de cadres supérieurs ou de direction (comme le directeur général, le DAF, le directeur des affaires médicales, le DRH, le DSIO, etc.) mais aussi des rôles moins importants dans la structure organisationnelle si ces postes ou rôles conduisent à la détermination des objectifs et moyens de traitements de données personnelles.

Dans le cas d’un RSSI « opérationnel », chargé de la mise en œuvre d’outils tels que firewall, proxy… le conflit d’intérêts est avéré en raison de la détermination des moyens de traitement. Ce n’est pas le cas lorsque le RSSI poursuit une mission de gouvernance de la sécurité, et agit comme organisateur et contrôleur des mesures de sécurité.

Ainsi, le profil et le positionnement du DPO est affaire de casuistique.

omar_yahiaPar Me Omar Yahia

Avocat à la Cour
[email protected]

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.