Vous êtes dans : Accueil > Tribunes libres >

DPO : Quel profil pour quel positionnement ?

Par Me Omar Yahia, MARDI 28 NOVEMBRE 2017 Soyez le premier à réagirSoyez le premier à réagir

On me pose souvent la question de savoir quel doit être le profil et le positionnement du DPO dans les établissements de santé. Mon premier réflexe consiste à réaliser une sorte de benchmarking entre les différentes formations « offertes » pour construire le futur DPO. Ainsi et par exemple, le CNAM propose un certificat de spécialisation Délégué à la protection des données. Les facultés ne sont en reste, avec un diplôme d’université DPO (Paris II Panthéon Assas, Paris Nanterre, etc.).

On pourrait ainsi multiplier les offres actuellement présentes sur le marché. Mais l’essentiel n’est pas là, à mon sens. Que le DPO soit mutualisé, interne (c’est-à-dire ancien CIL, par exemple) ou externe, c’est au recruteur qu’il appartient de choisir le profil qu’il estime le plus apte pour remplir cette mission.

Quel profil retenir ?

Il n’est pas absolument indispensable, et l’AFCDP ne s’y trompe pas, que le DPO soit juriste ou avocat. L’hétérogénéité des profils représente tout au contraire une richesse, même si le profil retenu ne peut faire l’économie de connaissances de base en droit. Si le niveau d’expertise requis n’est pas strictement défini, il doit être adapté à la sensibilité, la complexité et la quantité de données traitées par le GHT, sans doute future personne morale.

Il doit par ailleurs bénéficier du soutien actif de la direction générale, dans l’accomplissement de ses missions et disposer du temps suffisant pour remplir ses fonctions. Tous les membres du personnel doivent connaître son existence et, dans un souci d’efficacité, il doit avoir accès à tous le services (RH, juridique, SI, sécurité, etc.) afin de recueillir les informations essentielles dont il a besoin.

Quel positionnement adopter ?

L’indépendance professionnelle du DPO s’oppose à ce qu’il puisse être dirigé sur la manière de traiter une question dans l’accomplissement de ses missions. Il n’a aucun compte à rendre à un supérieur hiérarchique et il dispose d’une liberté organisationnelle et décisionnelle dans le cadre de sa mission. Cette liberté ne signifie pas pour autant qu’il agit seul et sans aucune concertation puisqu’il demeure libre de consulter la CNIL ou tout autre sachant, dans la limite du cadre de sa fonction et de l’exercice de ses missions.

Enfin, le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant tant et si bien que si le responsable du traitement ou le sous-traitant prennent des décisions incompatibles avec le RGPD et les conseils du DPO, ce dernier doit avoir la possibilité de rendre une opinion dissidente directement au niveau le plus élevé de la direction.

Le RGPD a bien évidemment envisagé les risques de conflits d’intérêts (art. 38 § 6), raison pour laquelle sont exclus, selon le G29, les postes de cadres supérieurs ou de direction (comme le directeur général, le DAF, le directeur des affaires médicales, le DRH, le DSIO, etc.) mais aussi des rôles moins importants dans la structure organisationnelle si ces postes ou rôles conduisent à la détermination des objectifs et moyens de traitements de données personnelles.

Dans le cas d’un RSSI « opérationnel », chargé de la mise en œuvre d’outils tels que firewall, proxy… le conflit d’intérêts est avéré en raison de la détermination des moyens de traitement. Ce n’est pas le cas lorsque le RSSI poursuit une mission de gouvernance de la sécurité, et agit comme organisateur et contrôleur des mesures de sécurité.

Ainsi, le profil et le positionnement du DPO est affaire de casuistique.

omar_yahiaPar Me Omar Yahia

Avocat à la Cour
contact@yahia-avocats.fr

cnam, protection des données, établissements de santé, RGPD, sécurité, rssi