Une désignation obligatoire à l’Inserm
La désignation d’un DPO est obligatoire à l’Inserm.
- en sa qualité d’organisme public,
- doté d’un accès permanant à certaines données du Système National des Données de Santé (SNDS) pour ses propres équipes de recherche,
- il entre dans ses activités principales d’effectuer des traitements à grande échelle de données personnelles de santé (par le nombre de personnes concernées, le volume de données et l’étendue géographique), qui supposent dans le cadre des cohortes par exemple, un suivi à intervalles périodiques des personnes concernées.)
La désignation du DPO est valable pour l’ensemble des traitements mis en œuvre.
Il est placé près de la direction générale et rend compte régulièrement au niveau le plus élevé de la hiérarchie qui a appuyé sa démarche par une lettre de mission (pdf).
C’est un représentant de l’établissement tant à l’intérieur qu’à l’extérieur sur les questions relatives à la protection des données personnelles.
Les missions du DPO
Le DPO est chargé, notamment, (RGPD, art. 39) :
- d’informer et de conseiller le responsable de traitements ou le sous-traitant, ainsi que ses employés sur les obligations qui leur incomberont en vertu du RGPD et d’autres dispositions de l’Union ou du droit national ;
- de contrôler le respect du règlement européen et du droit national, ainsi que des règles internes en matière de protection des données (par la sensibilisation et la formation du personnel participant aux opérations de traitement et par l’organisation d’audits) ;
- de dispenser des conseils, sur demande, sur la réalisation d’une analyse d’impact pour les traitements les plus sensibles et d’en vérifier l’exécution ;
- d’être l’interlocuteur privilégié et de faire office de point de contact de la Cnil (notamment en cas de contrôle ou de faille de sécurité).
Il veille à la bonne tenue de la documentation et à l’existence et l’utilisation d’outils et de procédures adaptées à l’établissement.
Le DPO dispose d’une expertise juridique spécialisée du droit et des pratiques en matière de protection des données.
Il est soumis au secret professionnel ou à une obligation de confidentialité.
Il est associé en temps utile et de façon appropriée à toutes les questions relatives à la protection des données et agit pour ce faire de manière indépendante.
La conformité au RGPD implique une étroite imbrication entre le juridique, le technique et les métiers. Il travaille en étroite et permanente concertation avec les experts des différentes directions participant à la protection des données et notamment : la direction des systèmes d’information (DSI), la direction des affaires juridiques (DAJ), le responsable de sécurité du système d’information (RSSI), le fonctionnaire défense et sécurité (FSD), le responsable des archives, les directions métiers, les services d’appui et d’accompagnement des chercheurs de l’Inserm, le réseau Qualité, le comité d’évaluation éthique, la mission associations recherche et société.
Il développe un réseau de référents à la protection des données au sein des entités de l’établissement en cohérence avec l’organisation existante qui seront autant de « relais » de proximité qu’il devra animer et sur lequel il pourra s’appuyer.
Cette organisation vise à faciliter l’appropriation par chacun d’une culture de la gestion des données personnelles afin de rendre opérante la protection des données personnelles.
Une coordination avec les partenaires de mixité est également essentielle et des réseaux de DPO garantissent la mise en cohérence des procédures et des outils au sein des unités mixtes et permettent d’irriguer les pratiques dans un contexte partenarial.
- Pour en savoir plus : Le Délégué à la protection des donnée (Dossier Cnil)
