La désignation d'un Délégué à la Protection des Données (DPO) (interne ou externe) au sein d'un établissement médico-social est obligatoire car les ESSMS traitent des données sensibles (données de santé ou données personnes vulnérables) dans le temps

Avez-vous besoin d’un DPO externe ?

Donnez votre réponse en complétant ce rapide questionnaire

RAPPEL :

Le DPO a un rôle de conseil et d’accompagnement à plusieurs niveaux :

• il apporte son expertise auprès de la direction afin que celle-ci puisse assurer la conformité des traitements ;

• il diffuse la culture et les règles de la protection des données auprès de toutes les personnes qui traitent des données personnelles au sein de l’organisme.

Le DPO peut ainsi identifier et formaliser les moments clefs à l’occasion desquels il souhaite que son intervention ou sa présence soit systématique, par exemple pour chaque :

• projet de décision de création ou d’évolution d’un traitement existant (afin notamment de veiller au respect des principes de protection des données dès la conception et par défaut) ;

• examen de la nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD) et réalisation effective de celle-ci ;

• rédaction ou tenue du registre des activités de traitement ;

• rédaction et mise à jour des règles ou politiques internes en matière de protection des données ;

• violation de données personnelles, afin de conseiller sur les mesures à prendre ainsi que sur la notification à l’autorité et aux personnes concernées.

Le DPO sensibilise et accompagne les acteurs impliqués au sein de chaque service traitant des données :

• en veillant à l’adoption par tous d’une culture « protection des données personnelles » (par exemple via des formations internes sur les grands principes de la protection des données) ;

• en procédant à des actions de communication et de sensibilisation sur des sujets pertinents pour l’organisme (utilisation d’affiches et guides pratiques accessibles depuis l’intranet, rappel des règles de sécurité à l’occasion d’une sanction ou d’une violation de données citée dans les médias, fausses campagnes de « phishing » à but éducatif, etc.) ;

• en se présentant comme l’interlocuteur interne référent pour toute question en matière de protection des données, et si nécessaire au moyen de personnes relais.

Le DPO a donc avant tout une mission d’information, de conseil et de contrôle. Il n’est pas responsable de la conformité de l’organisme, de la tenue du registre, de la réalisation des analyses d’impacts ou des notifications de violations de données. Il est cependant en position d’en être un acteur clef dont les compétences seront très utiles au responsable de l’organisme pour l’aider à se conformer à ses obligations.