— Articles 37 à 39 du RGPD —
Le Délégué à la Protection des Données n'est pas le responsable légal de votre structure. Il ne peut pas l'être. Son rôle exige une indépendance totale, une expertise juridique certifiée — et une nomination déclarée à la CNIL. Pour les petites structures de santé, l'externalisation n'est pas un luxe : c'est la seule voie viable.
Le rôle légal
Le DPO est l'interlocuteur unique de votre structure vis-à-vis de la CNIL et des personnes concernées. Il n'est pas là pour "faire à votre place" — il conseille, contrôle, forme et alerte. Mais son avis doit être suivi, et sa nomination doit être réelle.
Art. 39.1(a)
Le DPO informe la direction et les membres de l'organisation de leurs obligations RGPD. Il conseille sur les traitements envisagés, les contrats de sous-traitance, les nouvelles fonctionnalités applicatives.
Art. 39.1(b)
Le DPO vérifie que la structure respecte effectivement le RGPD : registre tenu à jour, AIPD réalisées, supports d'information conformes, formation des équipes assurée, violations correctement gérées.
Art. 39.1(b)
La formation des équipes est une mission légale du DPO. Il conçoit et anime les sessions de sensibilisation, produit les preuves d'accountability, et met à jour les contenus à chaque évolution réglementaire.
Art. 39.1(c)
Le DPO doit être consulté avant toute AIPD et en supervise la conduite. Si les risques résiduels sont élevés et que la structure passe outre son avis, le DPO en consigne le désaccord par écrit.
Art. 39.1(e)
Le DPO est l'interlocuteur officiel de la CNIL. En cas de contrôle, de demande d'information ou de violation déclarée, c'est lui qui répond. Les personnes concernées peuvent aussi le contacter directement pour exercer leurs droits.
Pratique
Chaque violation déclarée, chaque demande d'accès ou d'effacement passe par le DPO. Il évalue, documente, répond dans les délais légaux et, si nécessaire, déclenche la notification à la CNIL dans les 72h.
Les 3 options
Le RGPD autorise trois formes de DPO. Le choix dépend de la taille de la structure, des ressources disponibles et — surtout — des exigences d'indépendance et de compétence que chaque option permet réellement de satisfaire.
Ce que le DPO ne peut pas être
Dans la quasi-totalité des CPTS, MSP, réseaux et petites structures de santé, aucun membre de l'équipe ne peut légalement et valablement exercer la fonction de DPO. Pas le président, pas le directeur, pas le responsable informatique. Ce n'est pas une question de volonté — c'est une question de droit.
Interdit
Le DPO est distinct du responsable de traitement (RT). Le RT est celui qui décide des finalités et des moyens du traitement — il ne peut pas contrôler ses propres décisions en qualité de DPO. La CNIL considère ce cumul comme un conflit d'intérêts structurel invalidant la nomination.
Interdit
Toute personne qui prend des décisions sur les traitements de données — budget SI, choix des prestataires, politique RH — est en situation de conflit d'intérêts (Art. 38.6 RGPD). Le CEPD cite explicitement les DG, DAF et DSI comme profils incompatibles.
Interdit
Le DSI ou le référent informatique définit les systèmes qui traitent des données. Être DPO supposerait qu'il contrôle ses propres choix techniques. C'est le cas de conflit d'intérêts le plus fréquent — et le plus souvent sanctionné.
Condition
L'article 37.5 du RGPD exige que le DPO soit désigné sur la base de "qualités professionnelles et, en particulier, de connaissances spécialisées du droit et des pratiques en matière de protection des données". Une nomination sans formation validée expose à une invalidation de la désignation lors d'un contrôle.
Interdit
L'article 38.3 garantit l'indépendance du DPO : il "ne reçoit aucune instruction" et "ne peut être relevé de ses fonctions pour avoir exercé ses missions". Dans une petite structure, un DPO salarié subordonné à la direction est structurellement dépendant — et donc invalide.
Interdit
Même un membre de l'équipe sans fonction décisionnelle peut être en situation de conflit s'il traite lui-même des données dans le cadre de ses missions. Un secrétaire médical ne peut pas être DPO tout en gérant les dossiers patients au quotidien.
La CNIL a sanctionné des structures pour nomination de DPO non conforme — notamment lorsque le DPO désigné était aussi le responsable SI ou la directrice administrative. Une mauvaise nomination est pire que l'absence de nomination : elle crée une apparence de conformité qui aggrave la sanction en cas de contrôle.
La nomination
La désignation d'un DPO est une décision formelle qui doit faire l'objet d'une décision de l'organe délibérant de la structure, puis d'une déclaration sur le portail officiel de la CNIL. Ce n'est pas une simple désignation interne.
La nomination du DPO doit faire l'objet d'une décision formelle — délibération du conseil d'administration, décision du président ou du directeur selon la forme juridique. Elle doit préciser l'identité du DPO et le périmètre de sa mission.
Pour un DPO externe, un contrat de prestation est obligatoire. Il définit les missions, le périmètre d'intervention, les modalités de disponibilité et les clauses de confidentialité. Le contrat fonde la relation contractuelle et la responsabilité des parties.
La nomination doit être déclarée à la CNIL via le portail officiel de notification. La CNIL attribue un numéro de référencement au DPO. Les coordonnées du DPO doivent ensuite figurer dans le registre des activités de traitement et dans tous les supports d'information.
La déclaration du DPO s'effectue directement sur le portail de notification en ligne de la CNIL. La démarche est gratuite. Une fois validée, la CNIL confirme la prise en compte et le DPO est référencé comme interlocuteur officiel de votre structure.
Accéder au portail CNIL de déclaration du DPONotre offre
Inès Monti, DPO certifiée et déclarée à la CNIL, peut être désignée DPO de votre structure. Elle dispose de l'expertise en droit de la santé, des certifications requises et de l'indépendance totale que la fonction exige.
Une mission de DPO externalisé n'est pas une prestation ponctuelle — c'est un accompagnement dans la durée, qui couvre l'ensemble des obligations légales de la fonction et s'adapte aux évolutions de votre structure.
Par type de structure
Chaque structure de santé a ses propres traitements, ses propres risques RGPD et ses propres interlocuteurs. Découvrez comment nous intervenons concrètement pour votre type d'organisation.
Coordination territoriale, PTA, messageries sécurisées, pluralité d'acteurs de santé. DPO fortement recommandé, voire obligatoire selon le volume de données traitées.
DPO pour CPTSLGC partagé, habilitations par statut, responsabilité conjointe entre membres. Le DPO clarifie les rôles et sécurise les échanges entre professionnels.
DPO pour MSPDonnées de grossesse et néonatologie parmi les plus sensibles. AIPD obligatoire, conventions partenariales, vérification HDS.
DPO pour réseau périnatalDPO obligatoire (Art. 37). Cliniques, SSR, établissements médico-sociaux : la désignation n'est pas une option. Nous la prenons en charge.
DPO pour établissement— Passez à l'action —
RGPD Santé prend en charge la désignation, la déclaration et l'ensemble des missions légales du DPO — pour que vous puissiez vous concentrer sur votre cœur de métier, avec la certitude d'être en conformité.