Le 25 mai 2018, soit dans un an, quasiment jour pour jour, le Règlement général sur la protection des données (Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ci-après « RGPD ») entrera en vigueur.
Parmi les nouveau éléments du cadre juridique créé par ce règlement, se trouve le délégué à la protection des données (ci-après « DPO »).
Si au premier abord il apparaît comme le simple successeur du correspondant informatique et liberté (ci-après « CIL »), ses fonctions sont plus étendues et les conditions de sa désignation diffèrent : alors que la désignation du CIL était toujours optionnelle, la désignation du DPO est, dans certains cas, obligatoire. Une des questions qui se pose aujourd’hui est donc de déterminer à qui le RGPD impose l’accompagnement par un DPO.
L’article 37 du RGPD prévoit trois hypothèses dans lesquelles la désignation d’un DPO est obligatoire. Il s’agit des hypothèses suivantes :
« a) le traitement est effectué par une autorité publique ou un organisme public, […] ;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».
Si le premier cas de figure ne pose pas de difficultés, la parfaite appréhension des deux situations suivantes appelle l’éclaircissement des notions d’ « activité de base du responsable de traitement » et de « traitement à grande échelle ».
Les lignes directrices adoptées par le groupe de travail européen sur la protection des données (ci-après le « G29 ») donnent quelques indications sur ces notions. Elles indiquent que les « activités de base » peuvent être comprises comme les opérations clés nécessaires au but poursuivi par le responsable de traitement ou le sous-traitant.
L’activité de base des entreprises en santé implique nécessairement le traitement de données à caractère personnel relatives à la santé des personnes concernées, c’est-à-dire des données visées à l’article 9 du RGPD. Ces traitements interviennent dans le cadre des activités d’investigations cliniques, de vigilances, d’information médicale, etc.
Reste à savoir si ces traitements sont réalisés « à grande échelle ».
Pour la définition du « traitement à grande échelle », les lignes directrices se contentent de donner une liste de facteurs à prendre en compte. Parmi ces facteurs se trouvent :
- Le volume de données traitées (qui doit être « considérable »)
- L’étendue géographique du traitement (qui peut être « régional, national ou supranational »)
- Le nombre de personnes concernées (qui doit être « un nombre important »)
Il n’existe pas de seuil relatif au nombre de personnes concernées ou au volume de données traitées. De même, si cette question a été évoquée lors de son élaboration, les rédacteurs du RGPD ont finalement préféré ne pas imposer de taille à partir de laquelle une entreprise devrait avoir recours à un DPO.
Le G29 recommande que, en complément des éléments susmentionnés, les éléments suivants soient pris en compte :
- Le nombre de catégories de données différentes traitées
- La durée ou la permanence de l’activité de traitement
A travers l’ensemble de ces éléments c’est l’étendue du risque potentiel en cas de faille de sécurité qui est à déterminer. Ainsi, le faible préjudice encouru par la personne concernée en cas de fuite de données pourra être compensé par un grand nombre de personnes concernées, et vice versa. Même s’il est d’ores et déjà permis d’anticiper le fait que la sensibilité des données sera un élément prédominant.
S’il n’est pas possible, de façon générale, à travers ces premiers éléments, de prédire si une entreprise en santé aura ou non besoin d’un DPO, il est déjà possible d’anticiper que des prestataires de services, intervenant comme sous-traitant, tels que les CRO, ayant comme activité de base la réalisation d’essais cliniques, seront nombreux à être soumis à cette obligation. De même, il sera très probable que le fait de procéder à des traitements de pharmacovigilance ou de matériovigilance qui impliquent une durée non définie, potentiellement longue voire permanente exige l’accompagnement par un DPO.
En outre, pour les entreprises en santé, traitant par définition des données dites « sensibles », l’aide d’un expert, même dans les cas où elle n’est pas strictement obligatoire, ne peut être qu’encouragée, tant le risque peut être important.