— DPO externalisé pour les MSP —
Votre Maison de Santé Pluriprofessionnelle traite des données de santé — celles de vos patients, de vos professionnels membres, de vos salariés. La désignation d'un DPO est fortement recommandée dès lors que vous disposez d'un logiciel commun. Nous intervenons comme DPO externalisé certifié, spécialisé données de santé.
Cadre légal
La MSP (qu'elle soit constituée en SISA ou en association) est un responsable de traitement à part entière. Elle traite des données de santé via son logiciel de coordination, ses outils de messagerie, ses dossiers RH et son site internet. Cette position expose la MSP aux obligations du RGPD — et notamment à la recommandation de désigner un DPO dès lors qu'elle traite des données de santé à échelle significative.
LGC partagé
Le logiciel de gestion de cabinet (LGC) partagé entre les membres de la MSP constitue un traitement de données de santé à risque. Son déploiement implique une responsabilité conjointe entre la MSP et les professionnels membres — qu'il faut formaliser.
Multi-statuts
Libéraux, salariés, remplaçants, stagiaires — votre MSP réunit des professionnels aux statuts très différents. Les habilitations d'accès aux données doivent être définies et documentées pour chaque profil.
Sous-traitants
L'éditeur de votre LGC, votre hébergeur de données de santé, votre prestataire de messagerie sécurisée : ces acteurs sont des sous-traitants au sens du RGPD. Des contrats conformes doivent être conclus avec chacun.
Risque AIPD
Le partage de dossiers médicaux entre plusieurs professionnels via un outil numérique commun est un traitement à risque élevé. Une Analyse d'Impact sur la Protection des Données (AIPD) peut être obligatoire avant le déploiement.
À noter : les membres de la SISA (président, gérant, trésorier) ne peuvent pas être désignés DPO — ils sont en situation de conflit d'intérêts au sens de l'article 38.3 du RGPD. La désignation d'un DPO externalisé est la solution naturelle pour une MSP.
Missions
Au-delà de l'obligation légale, le DPO est un atout opérationnel pour votre MSP. Il sécurise vos pratiques, évite les erreurs coûteuses et vous permet de répondre sereinement à une demande de patient ou à un contrôle de la CNIL.
Cartographie de tous les traitements de la MSP : LGC partagé, messagerie sécurisée, gestion RH des salariés, site internet, vidéosurveillance éventuelle.
Définition et documentation des droits d'accès par statut et par profession : qui peut accéder à quoi, dans quelles conditions, avec quelles traçabilités.
Réalisation des AIPD nécessaires avant la mise en production des outils les plus sensibles — en particulier le LGC partagé et les outils de coordination pluriprofessionnelle.
Vérification et mise en conformité des contrats avec l'éditeur du LGC, l'hébergeur HDS, le prestataire de messagerie. Intégration des clauses RGPD obligatoires (Art. 28).
Sensibilisation des professionnels de santé membres de la MSP et des personnels administratifs aux bonnes pratiques de protection des données.
Point de contact officiel avec la CNIL. Traitement des demandes d'exercice de droits des patients (accès, rectification, opposition) dans les délais légaux.
Pourquoi externaliser
Une MSP ne dispose généralement pas d'une ressource interne capable d'assumer la fonction de DPO. La loi l'interdit d'ailleurs aux dirigeants de la structure (Art. 38.3 RGPD). Le DPO externalisé est la réponse pragmatique et conforme à cette situation.
Comprendre la spécificité d'une MSP — libéraux, salariés, remplaçants, LGC partagé — requiert une expertise sectorielle que seul un DPO spécialisé santé peut apporter.
Le DPO doit agir en toute indépendance (Art. 38.3). Un DPO externalisé n'a aucun lien avec la gouvernance de votre MSP — il peut conseiller librement, même sur des décisions sensibles.
Un DPO interne représente un coût salarial significatif. L'externalisation permet d'accéder à une expertise de haut niveau pour un budget proportionné à la taille de votre structure.
Nous enregistrons votre MSP sur le portail de notification de la CNIL et y figurons comme DPO désigné. La désignation est immédiate, traçable et opposable.
Pour aller plus loin : consultez notre page dédiée aux obligations RGPD spécifiques aux MSP — registre, AIPD, responsabilité conjointe et habilitations.
Obligations RGPD des MSPPrenez rendez-vous pour un audit gratuit de votre situation RGPD. Nous vous présentons notre offre DPO externalisé adaptée aux Maisons de Santé Pluriprofessionnelles.