Parmi les obligations issues du RGPD, la désignation d’un délégué à la protection des données s’impose comme un outil de sécurisation et d’animation de la politique de protection des données.
Ce délégué à la protection des données a pris la suite du correspondant informatique et libertés (CIL), qui a existé jusqu’en mai 2018 sous l’empire de la loi Cnil.
La désignation, la fonction et les missions du délégué sont prévues par les articles 37 à 39 du RGPD .
On retiendra qu’un délégué à la protection des données est désigné lorsque :
- le traitement est effectué par une autorité publique ou un organisme public ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 du RGPD (dont les données de santé, point h).
Non, et pour deux raisons : d’une part, selon le principe de proportionnalité et, d’autre part, selon celui de pertinence. En effet, le RGPD impose la minimisation de la collecte et/ou conservation des données, ce qui signifie que les informations collectées enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier.
Le profilage est le fait d’utiliser des traitements notamment pour analyser ou prédire des éléments concernant la santé, les préférences personnelles, les intérêts, le comportement, la localisation ou les déplacements de cette personne physique. Le RGPD prévoit le profilage dans son article 22, mais y apporte des limites. En effet, le profilage ne peut être utilisé que si le traitement est fondé sur le consentement explicite de la personne, que la décision automatisée est nécessaire à la conclusion ou l’exécution d’un contrat, ou que ces décisions automatisées sont encadrées par des dispositions légales spécifiques. De plus, toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
Pour ce qui concerne les données de santé, aucune disposition ne le permet. Aussi, le profilage est interdit dans le domaine de la santé.
