Actualité du RGPD dans le secteur social et médico-social

Vous êtes nombreux à nous solliciter sur l’obligation de désigner un Délégué à la Protection des Données, également appelé DPO.

En effet, dans le cadre de questionnaires qui vous sont transmis par les administrations compétentes, il vous est demandé si vous avez mis en place un DPO.

Certains d’entre vous considèrent qu’il n’est pas obligatoire de désigner un tel intervenant, qu’il soit interne ou externe (mutualisé).

Il convient d’avoir à l’esprit que le RGPD prévoit la présence obligatoire d’un délégué à la protection des données pour :

  • Les autorités et organismes publics ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.

Les établissements et services sociaux et médico-sociaux gèrent pour la plupart et par nature des données sensibles.

Se pose dès lors la question de la notion de grande échelle. Sur ce point aucune définition n’est communiquée en l’état. Les exemples donnés autour du RGPD concernent soit des micro-structures, soit des méga-structures.

Aussi, pour les plus petites structures, une telle désignation ne nous semble pas obligatoire.

Pour autant, faut-il ne pas désigner de DPO si le volume de données est faible ?

Ce n’est pas la position de la CNIL qui encourage dans tous les cas la désignation d’un Délégué à la protection des données.

En effet, le DPO va apporter au service. Il s’intègre dans la logique de protection des droits des usagers. En effet, sa mission consiste à accompagner le responsable du traitement dans la mise en conformité au RGPD, notamment dans le cadre des analyses d’impacts. Il va aider l’ESMS à respecter les principes du RGPD (minimisation des données, proportionnalité, sécurité, durée de conservation).

A ce titre, le cabinet ACCENS Avocats propose une prestation de DPO externalisée qui donne satisfaction à ses clients, grâce la fine de leurs problématiques.