Droit et Santé

L’actualité juridique et réglementaire en Sciences de la Vie

Le blog du cabinet Dechert

Désigner un délégué à la protection des données personnelles

Publié le

Désigner un délégué à la protection des données personnelles

Un an après l'entrée en vigueur du RGPD, un certain nombre de mesures posent encore question quant à leur mise en œuvre pratique.

C'est notamment le cas de la désignation d'un délégué à la protection des données personnelles (DPO) dans le domaine de l'industrie pharmaceutique et des biotechnologies.

En effet, dans le secteur privé, un DPO est en principe obligatoire dans les entreprises dont les activités principales consistent en :
- des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes ; ou
- un traitement à grande échelle de données sensibles (notamment données de santé), ce qui peut être le cas de nombreuses biotechs ou medtechs.

En outre, même si elle n'y est pas légalement tenue, une entreprise peut décider de désigner un DPO sur une base volontaire.

Que cette désignation résulte d'une obligation légale ou d'une volonté de la société, le choix du DPO n'est pas forcément aisé. Ce dernier doit en effet :

- Posséder des connaissances en matière de protection des données (i.e. compétences juridiques et techniques et connaissance des systèmes d’information de la société et des opérations de traitement réalisées) ;

- Être associé à toutes les questions relatives à la protection des données au sein de la société (ex. traitement des données des salariés, des patients, etc.) et avoir accès aux données et traitements ; 

- Avoir la possibilité de rendre compte au niveau le plus élevé de la société ;

- Ne pas recevoir d’instructions dans le cadre de l’exercice de ses fonctions de DPO ;

- Bénéficier des ressources nécessaires pour effectuer sa mission (i.e. moyens matériels et humains mais également temps suffisant) ;

- Et surtout, ne pas être en situation de conflit d'intérêts par rapport à ses autres fonctions. Le DPO ne peut en effet cumuler son rôle avec des fonctions qui impliquent la détermination des finalités et des moyens de traitements de données. A titre d'exemple, il n’est pas possible d’être DPO lorsque l’on occupe le poste de directeur général, de DRH, de pharmacien responsable ou de directeur financier.

C'est ce dernier critère qui pose le plus de difficultés en pratique, le DPO cumulant souvent son rôle avec une autre fonction.

Ainsi, dans le domaine de l'industrie pharmaceutique et des biotechnologies, tous les professionnels qui seront associés à la détermination des finalités et des moyens de traitement des données de santé, dans le cadre par exemple d'essais cliniques, sont susceptibles d'être dans une situation de conflit d'intérêts. Une analyse au cas par cas permettra par conséquent de déterminer si le salarié impliqué dans la recherche pourra avoir la qualité de DPO.

A défaut, il faudra rechercher si une autre personne au sein de l'entreprise peut endosser cette casquette.

Enfin, si personne ne peut exercer la fonction de DPO, ce qui est souvent le cas dans les start-ups dont les effectifs sont réduits, il est possible de l'externaliser. De même si l'entreprise appartient à un groupe, il est possible de désigner un seul DPO pour l'ensemble des sociétés du groupe.


Philippe Thomas, associé et Sophie Montagne, collaboratrice, chez Dechert

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte