— DPO externalisé pour les CPTS —
En tant que Communauté Professionnelle Territoriale de Santé, vous coordonnez des parcours de soins et traitez des données de santé à grande échelle. La désignation d'un DPO est fortement recommandée — voire obligatoire. Nous intervenons comme DPO externalisé certifié, spécialisé données de santé.
Cadre légal
L'article 37 du RGPD impose la désignation d'un DPO aux organismes qui traitent, à grande échelle, des données de santé. Une CPTS coordonne des parcours de soins pour plusieurs milliers de patients, utilise des messageries sécurisées, déploie des protocoles pluriprofessionnels et gère des plateformes territoriales d'appui (PTA). Ces traitements entrent pleinement dans le champ de l'obligation.
Art. 37 RGPD
Une CPTS traite les données de santé d'un territoire — potentiellement des dizaines de milliers de patients. Ce critère de volume suffit à déclencher l'obligation de désignation d'un DPO.
Complexité des flux
Médecins libéraux, hôpital, pharmaciens, kinésithérapeutes, PMI, structures médico-sociales… La CPTS coordonne des flux de données entre des dizaines d'organisations, chacune avec son propre statut juridique.
Outils numériques
Les outils déployés par la CPTS (plateforme territoriale d'appui, MSSanté, outils de coordination) sont des traitements de données de santé à part entière, soumis aux obligations du RGPD et aux référentiels de la CNIL.
Sous-traitance
Hébergeurs de données de santé (HDS), éditeurs de logiciels, prestataires de coordination : chaque contrat doit être vérifié et des clauses de sous-traitance conformes doivent être mises en place.
Position de la CNIL : les structures de santé qui traitent des données de santé à grande échelle sont tenues de désigner un DPO. La CNIL recommande aux CPTS de procéder à cette désignation et de l'enregistrer sur son portail de notification.
Missions
Le DPO n'est pas un simple conseil juridique. Il est l'interlocuteur officiel de la CNIL, le garant de la conformité au quotidien et le relais de confiance entre votre structure et les professionnels membres. Voici ses missions concrètes au sein d'une CPTS.
Recensement et documentation de tous les traitements de données de la CPTS : coordination de parcours, PTA, messagerie, RH, site web, outils de communication.
Réalisation des AIPD obligatoires pour les traitements à risque élevé — notamment les plateformes de coordination de parcours et les outils de partage de données entre professionnels.
Vérification et mise en conformité des contrats avec vos prestataires (hébergeurs HDS, éditeurs, prestataires de services). Intégration des clauses RGPD obligatoires.
Formation et sensibilisation des professionnels de santé membres de la CPTS, du personnel administratif et des intervenants aux bonnes pratiques RGPD.
Mise en place d'une procédure de détection et de notification des incidents. Le DPO coordonne la réponse et, si nécessaire, notifie la CNIL dans le délai légal de 72 heures.
Point de contact unique avec l'autorité de contrôle. Désignation officielle sur le portail CNIL, réponse aux contrôles, gestion des demandes d'exercice de droits des personnes concernées.
Pourquoi externaliser
La plupart des CPTS ne disposent pas d'une ressource interne pouvant assumer la fonction de DPO : le président, le coordinateur ou le trésorier ne peuvent pas être DPO (conflit d'intérêts, Art. 38.3 RGPD). L'externalisation est non seulement permise par le RGPD (Art. 37.6), elle est souvent la seule option réaliste.
Un DPO généraliste ne connaît pas les spécificités du secteur santé : référentiels CNIL, hébergement HDS, MSSanté, obligations ANS. Notre expertise est exclusivement centrée sur la santé.
Le DPO doit agir en toute indépendance. Un DPO externalisé n'a aucun lien hiérarchique avec votre CPTS — son objectif est la conformité, pas la défense de décisions internes.
Pas de recrutement, pas de formation, pas de gestion RH. Le DPO externalisé est disponible en cas de besoin — incident, contrôle CNIL, question d'un membre — sans coût fixe disproportionné.
Nous enregistrons votre CPTS sur le portail de notification de la CNIL et y figurons comme DPO désigné. La conformité administrative est immédiate et vérifiable.
Pour aller plus loin : consultez notre page dédiée aux obligations RGPD spécifiques aux CPTS — registre, AIPD, partenariats et sécurité des données.
Obligations RGPD des CPTSPrenez rendez-vous pour un audit gratuit de votre situation RGPD. Nous vous présentons notre offre DPO externalisé adaptée à la taille et aux besoins de votre CPTS.