— DPO externalisé pour les établissements de santé —
Cliniques, SSR, hôpitaux privés, établissements médico-sociaux : la désignation d'un DPO est une obligation légale pour les structures traitant des données de santé à grande échelle. Si votre DPO interne est absent, insuffisamment qualifié ou en situation de conflit d'intérêts, l'externalisation est la solution.
Obligation légale
L'article 37 du RGPD impose la désignation d'un DPO à tout organisme traitant, à grande échelle, des données de santé — ce qui est par définition le cas de tout établissement de santé. Cette obligation est absolue : il n'existe pas de seuil de taille ou de volume en dessous duquel un établissement de santé serait dispensé.
Art. 37.1.c du RGPD : « Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque [...] les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données [...] ». Les données de santé constituent une catégorie particulière au sens de l'article 9 du RGPD. Tous les établissements de santé sont concernés.
Sanction CNIL
L'absence de désignation d'un DPO peut faire l'objet d'une mise en demeure de la CNIL, voire d'une sanction. Le guide CNIL pour les professionnels de santé rappelle cette obligation comme un prérequis non négociable.
Conflit d'intérêts
La direction, le DSI, le directeur médical ou le responsable des ressources humaines ne peuvent pas être DPO (Art. 38.3). Ils sont en situation de conflit d'intérêts. Un DPO interne doit disposer d'une indépendance réelle — ce qui est difficile dans un établissement de taille réduite.
Compétence requise
Le RGPD exige que le DPO dispose de « connaissances spécialisées du droit et des pratiques en matière de protection des données » (Art. 37.5). Une désignation formelle sans compétence réelle ne protège pas l'établissement en cas de contrôle.
Missions
La conformité RGPD d'un établissement de santé est complexe : nombreux traitements, multiples sous-traitants (éditeurs de DPI, hébergeurs HDS, prestataires RH), personnel soignant et administratif à sensibiliser, droits des patients à gérer. Le DPO supervise l'ensemble de cette conformité au quotidien.
Cartographie et documentation de l'ensemble des traitements de l'établissement : dossier patient informatisé, imagerie, bloc opératoire, RH, vidéosurveillance, site internet, données de recherche.
Réalisation des AIPD obligatoires pour les traitements à risque élevé : DPI, imagerie médicale, biométrie, accès à distance aux données de santé, outils d'aide à la décision clinique.
Vérification des certifications HDS de vos hébergeurs, contrôle des contrats avec les éditeurs de logiciels de santé, les prestataires de maintenance, les laboratoires et prestataires externes.
Définition de la politique d'habilitations par profil (médecin, infirmier, secrétaire, administration, DSI) et vérification de sa mise en œuvre dans les systèmes d'information de l'établissement.
Formation du personnel soignant, administratif et technique aux bonnes pratiques de protection des données : confidentialité, gestion des accès, signalement des incidents, droits des patients.
Procédure de détection et notification des incidents (délai légal 72h). Traitement des demandes d'accès, rectification, opposition et portabilité des données des patients dans les délais réglementaires.
Rappel : le DPO doit être désigné sur le portail de notification de la CNIL (notifications.cnil.fr). Cette désignation est obligatoire et vérifiable par l'autorité de contrôle lors d'un contrôle sur place ou en ligne.
Pourquoi externaliser
Un établissement de santé peut désigner un DPO interne ou un DPO externalisé (Art. 37.6 RGPD). L'externalisation est particulièrement adaptée lorsque l'établissement ne dispose pas d'une personne qualifiée en interne, que le DPO interne est en situation de conflit d'intérêts, ou que le volume de traitements ne justifie pas un poste à temps plein.
La réglementation évolue : nouvelles lignes directrices CNIL, jurisprudence CEPD, référentiels ANS. Un DPO externalisé spécialisé santé suit ces évolutions en permanence — un DPO interne généraliste, moins.
Le DPO externalisé n'a aucun lien hiérarchique avec votre direction. Il peut s'opposer à une décision risquée sans craindre pour son poste — ce que le RGPD impose mais que peu de DPO internes peuvent réellement faire.
Une violation de données, un contrôle CNIL, une demande urgente d'un patient : le DPO externalisé est joignable et réactif, sans contrainte de planning ou d'absence pour congé.
Pour un établissement de taille intermédiaire, le coût d'un DPO interne à temps plein (salaire + formation + veille) est disproportionné. L'externalisation donne accès à la même expertise pour un budget adapté.
Pour aller plus loin : consultez notre page dédiée aux obligations RGPD spécifiques aux établissements de santé — DPO obligatoire, registre, AIPD et sécurité HDS.
Obligations RGPD des établissementsPrenez rendez-vous pour un audit gratuit de votre situation RGPD. Nous vous proposons une offre DPO externalisé adaptée à la taille et aux spécificités de votre établissement de santé.