DPO – Etat des lieux sur leur positionnement

240402-DPO-Bilan-EDPB

Dans le cadre de son action coordonnée débutée en 2020, le Comité Européen de la Protection des Données a établi le bilan de l’enquête concernant le rôle et le positionnement des DPO. Deux des constats émis dans ce cadre sont d’une part leur mauvais positionnement hiérarchique ne leur permettant pas un reporting efficace, et d’autre part un manque de ressources les empêchant d’effectuer à bien leur mission.

Le registre de traitement

QU’EST-CE QU’UN REGISTRE DE TRAITEMENTS ?

Véritable outil de pilotage de la conformité de son organisme, chaque responsable de traitement doit mettre en place un registre des activités de traitement effectuées sous sa responsabilité.
Il est également exigé de tenir un registre des catégories d’activités de traitement si le responsable de traitement réalise des activités mais en tant que sous-traitant cette fois.

Le registre de traitement n’est pas obligatoire pour les entreprises de moins de 250 salariés sauf si :

  • Les traitements effectués sont susceptibles de comporter un risque pour les personnes concernées
  • Les traitements effectués ne sont pas occasionnels
  • Les traitements effectués portent sur des catégories particulières de données, dont les données de santé

Obligatoire ou non, il est recommandé d’en tenir un dans tous les cas : cela permet d’avoir une vision d’ensemble des traitements menés par l’organisme, et de mieux piloter sa conformité.
A noter que les traitements non occasionnels recouvrent des cas très particuliers : il doit s’agir de traitements non routiniers, qui interviennent de manière épisodique, de façon très limitée.  

Bonne pratique : en cas de recours à un registre de traitement commun à plusieurs organismes, il faut veiller à bien identifier qui est le responsable de chaque traitement. La CNIL a récemment retenu un manquement à l’obligation de tenir un registre pour une société qui tenait un registre commun avec une société rachetée, au motif qu’il n’était pas possible d’identifier clairement les traitements effectués par l’une ou l’autre des sociétés.

Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données. Aucune forme précise n’est imposée par la règlementation, le tout est d’avoir un registre écrit (papier ou électronique) reprenant les mentions obligatoires, telles que prévues à l’article 30 du Règlement général sur la protection des données.  

Le nom et les coordonnées du responsable du traitement, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données :

  1. Les finalités du traitement 
  2. Une description des catégories de personnes concernées et des catégories de données à caractère personnel 
  3. Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales 
  4. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers le cas échéant les documents attestant de l’existence de garanties appropriées 
  5. Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données 
  6. Une description générale des mesures de sécurité techniques et organisationnelles mises en place
  • Article 30 Règlement général sur la protection des données – RGPD
  • Modèle de registre de traitements de la CNIL
  • Délibération SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA

Les droits des personnes : Le droit d’accès

Le RGPD a renforcé le droit d’accès qui permet aux personnes concernées de connaître les données que le responsable de traitement détient sur elles. A réception d’une demande de droit d’accès, le responsable de traitement dispose d’un mois pour y répondre, et transmettre dans un format lisible, et aisément compréhensible les données concernées.

Attention, à ne pas confondre le droit d’accès au titre du RGPD avec le droit d’accès au dossier médical !

Prévu par le code de la santé publique, il est également possible de demander à accéder à son dossier médical. Dans ce cas, le médecin, ou l’établissement concerné, dispose d’un délai plus court : la transmission du dossier médical doit intervenir entre 48h et 8 jours après la réception de la demande concernant les informations datant de moins de cinq ans, et dans les deux mois pour les informations ayant plus de cinq ans.

 

Droit d’accès RGPD

Droit d’accès au dossier médical

Source

Article 15 RGPD

Article L1111-7 code santé publique (CSP)

Délai

1 mois maximum après la demande

Entre 48h et 8 jours maximum pour les informations datant de moins de 5 ans

Jusqu’à 2 mois pour les informations datant de plus de 5 ans

Contenu

Toutes les données traitées sur la personne concernée ainsi que les informations relatives au traitement tel que prévu à l’article 15 du RGPD (finalité, destinataire….)

Transmission du dossier médical : contenu défini par le code

(les notes du médecin ne sont pas transmissibles)

Pour 2024, la CNIL et ses homologues européens ont décidé, au titre de la troisième action du cadre d’application coordonné, de procéder à des vérifications des conditions de mise en œuvre du droit d’accès.

  • Article 12 du RGPD – Transparence et modalités d’exercice des droits
  • Article 15 du RGPD – Droit d’accès
  • Article L1111-7 du CSP – Accès aux dossiers médicaux

Date : 09/02/2024