L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Acteurs

    La Cnil adopte deux référentiels précisant les compétences du délégué à la protection des données (DPO)

    PARIS (TICpharma) - Le Journal officiel du 11 octobre a publié deux nouveaux référentiels de la Commission nationale de l'informatique et des libertés (Cnil) précisant les compétences du délégué à la protection des données (DPO).

    La loi relative à la protection des données personnelles promulguée le 20 juin dernier (voir dépêche du 25 juin 2018) a donné à la Cnil une nouvelle compétence en matière de certification. Elle peut désormais adopter des référentiels de certification et agréer les organismes chargés de délivrer cette certification.

    Dans ce cadre et "afin de permettre l’identification des compétences et savoir-faire du DPO", la Cnil a adopté deux référentiels en la matière.

    • Un référentiel de certification

    Celui-ci fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO.

    La Cnil rappelle notamment que la certification n’est pas obligatoire pour exercer les fonctions de DPO, pas plus qu'un "préalable nécessaire" à la désignation auprès de la commission. Toutefois, le certificat constitue un "vecteur de confiance" pour une structure faisant appel à un DPO.

    Pour la Cnil, la certification est "un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO". "Le DPO doit en effet disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données", commente la commission.

    Les conditions préalables pour accéder à la certification sont précisées à l’exigence 1 du référentiel de certification.

    "La Cnil ne délivrera pas elle-même de certification DPO. Ce sont les organismes certificateurs agréés qui délivreront la certification aux personnes remplissant les conditions préalables et ayant réussi l’épreuve écrite", précise la commission.

    • Un référentiel d’agrément

    Il fixe les critères applicables aux organismes qui souhaitent être habilités par la Cnil à certifier les compétences du DPO sur la base du référentiel de certification.

    "Les organismes certificateurs qui souhaitent délivrer une certification de compétences sur la base du référentiel d’agrément de la Cnil peuvent déposer une demande d’agrément auprès de la Cnil", indique la commission.

    L'ensemble de ce dispositif fera l'objet, "au plus tard dans un délai de deux ans à compter de son entrée en vigueur", d’une évaluation en vue d’adapter les exigences des référentiels mais cela n'aura "aucune incidence sur les certifications ou les agréments qui auront déjà été délivrés".

    La Cnil note que l'agrément "n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré [par la commission]".

    Cela signifie donc que tout organisme peut certifier des DPO sur la base de son propre référentiel, non approuvé par la Cnil, comme c’est déjà le cas aujourd’hui.

    Deux référentiels enrichis par une consultation publique

    Ces deux référentiels ont été adoptés à la suite d’une consultation publique menée par la Cnil entre le 23 mai et le 22 juin.

    L'instance a récolté près de 200 contributions provenant de DPO ou de futurs DPO, de responsables de traitement et de sous-traitants (entreprises, fédérations professionnelles, organismes de formation, associations, cabinets d’avocats et cabinets de conseil), et d’organismes de certification.

    "Des réunions de travail ont également été organisées avec les trois associations professionnelles françaises de délégués (ADPO, AFCDP et UDPO) et une dizaine d’organismes de certification", fait valoir la commission.

    Chargés de veiller à l'application du règlement général européen relatif à la protection des données (RGPD), applicable dans le droit français depuis le 25 mai dernier, les DPO sont les interlocuteurs directs de la Cnil (voir dépêche du 28 mai 2018).

    Tout établissement public et toute structure traitant à grande échelle des données sensibles, dont font partie les données de santé, doivent désigner un DPO à la place des correspondants informatique et libertés (CIL), dont la nomination était jusqu'ici facultative.

    (Journal officiel, jeudi 11 octobre, textes 50 et 51)

    Wassinia Zirar
    Wassinia.Zirar@apmnews.com

    À suivre

    Health Data Hub: une première version attendue pour juin 2019

    Solutions

    L'Ariis et l'Inca s’allient pour créer une plateforme de données en oncologie

    PARIS (TICpharma) - Dans le cadre du nouveau contrat stratégique de filière industries et technologies de santé signé le 4 février, l'Alliance pour la recherche et l’innovation des industries de la santé (Ariis) et l'Institut national du cancer (Inca) mènent conjointement un projet visant à créer une plateforme de données en oncologie, "futur outil de recherche publique et privée, compatible avec le Health Data Hub (HDH)", a expliqué à TICpharma Marco Fiorini, porteur du projet et secrétaire général de l’Ariis.

    0 875

    Politique

    Avant-projet de loi de santé: l'INDS va céder la place au Health Data Hub

    PARIS (TICpharma) - L'avant-projet de loi "relatif à l'organisation et à la transformation du système de santé", actuellement soumis à consultation, prévoit la transformation de l'Institut national des données de santé (INDS) en "Plateforme des données de santé" dont les missions seraient élargies, traduisant ainsi la mise en place du Health Data Hub.

    0 523

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    6 + 8 =