• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Parcours de soins > Organisation > Comment les DPO hospitaliers prennent-ils leurs marques ?

Comment les DPO hospitaliers prennent-ils leurs marques ?

Un an et demi après l'entrée en application du RGPD, mind Health esquisse un portrait du DPO hospitalier. Cinq d'entre eux ont accepté de partager leur parcours et l'état de la mise en conformité de leur(s) établissement(s). DPO de CH, de GHT ou de groupe d'hospitalisation privée, tous décrivent une tâche d'ampleur et un processus d'amélioration continue.

Par . Publié le 18 novembre 2019 à 17h20 - Mis à jour le 18 novembre 2019 à 17h20
  • Ressources

Les établissements de santé sont soumis comme toute entreprise au règlement général sur la protection des données, entré en application le 25 mai 2018, pour les données personnelles qu’ils traitent, comme les données de ressources humaines, et pour les données de santé qu’ils génèrent et traitent également. Mais ils ont ceci de particulier qu’ils ont pour obligation de nommer un délégué à la protection des données ou data protection officer (DPO), justement parce qu’ils traitent de données de santé, considérées comme des données sensibles. Les établissements publics de santé sont tous concernés par cette obligation ; les établissements privés le sont aussi parce qu’ils mettent en œuvre un traitement de données sensibles “à grande échelle”. La Commission nationale de l’informatique et des libertés (Cnil), auprès de qui doivent être déclarés les DPO, comptabilise ainsi, à mi-novembre, 3 858 établissements hospitaliers, publics et privés, ayant désigné un DPO, sachant que cette fonction peut être mutualisée, au sein par exemple d’un groupement hospitalier de territoire (GHT) ou d’un groupement d’intérêt économique (GIE), ou qu’un même DPO travaille parfois pour plusieurs centres hospitaliers. Qui sont-ils ? Disposent-ils des moyens nécessaires à leur mission ? 

La fonction de DPO a pour particularité de devoir maîtriser autant l’IT que les sujets juridiques tout en ayant des capacités organisationnelles au vu de la charge de travail et de communication, que ce soit auprès d’un réseau de relais, auprès des métiers ou des décideurs. Les DPO du centre hospitalier d’Aix-en-Provence et des GHT 44, Lille Métropole Flandre Intérieure et d’Armor, interrogés par mind Health, occupaient tous la fonction de responsable de la sécurité des systèmes d’information (RSSI) avant d’hériter du poste de DPO. Celui du groupe privé Ramsay Santé vient de la direction des systèmes d’information (DSI), où il officiait comme directeur projets et méthodes. “Le DPO travaille au croisement des fonctions technique, juridique et organisationnelle. J’appartiens à la première catégorie, ayant un background d’ingénierie informatique”, indique Arnaud Vandesmet qui a intégré la Générale de Santé en 2010, laquelle a fusionné avec Ramsay Santé en 2015. Il a été nommé DPO en mars 2018, soit “assez tardivement par rapport aux échéances du RGPD. Pour autant, un comité de pilotage avait déjà été constitué sur le sujet qui n’attendait plus que la nomination d’un DPO pour piloter l’ensemble”. Le plus souvent, les DPO ont été nommés à la date désormais symbolique du 25 mai 2018. Guillaume Deraedt, DPO du GHT Lille Métropole Flandre Intérieure, a une formation “d’ingénieur pure souche” et officiait comme RSSI et correspondant Informatique et libertés (CIL) pour le CHU de Lille depuis quatorze ans. Cédric Cartau, DPO du GHT 44, est un informaticien, soit “le plus mauvais profil qui existe pour un DPO, avait-il déclaré sur le 7e congrès national de la sécurité des systèmes d’information de santé, en mai 2019. Le DPO est une démarche qualité, pas technique”. Il met donc en oeuvre quand il le peut des qualiticiens. Yohann Fourchon, DPO du GHT d’Armor, a intégré la fonction publique il y a dix-huit ans avec une fonction de qualité et de gestion des risques. Puis il a intégré il y a huit ans la DSI sur une fonction de sécurité des SI, “par une approche non pas technique mais de gestion des risques”. Enfin, Pascal Sabatier, DPO du CH d’Aix-en-Provence, a un cursus d’ingénieur informatique et un master en management de l’IAE. Selon lui, “le RSSI répond au profil recherché, technique mais pas que, qui sait gérer un projet, qui sait parler et écrire. Le DPO aurait pu être le directeur de l’information médicale (DIM), nous en avons débattu”.

Entre quelques jours par semaine et un plein temps

Si tous les DPO sont internes, et rattachés à l’établissement support du GHT le cas échéant, ils n’occupent pas forcément le poste à temps plein. Cédric Cartau (GHT 44) se partage entre sa fonction de DPO et de RSSI, Guillaume Deraedt (GHT Lille Métropole Flandre Intérieure) occupe le poste de DPO à 60 % de son temps, Pascal Sabatier partage son temps auprès de plusieurs établissements hospitaliers et officie en tant que DPO au CH d’Aix-en-Provence trois jours par semaine : “j’essaie de faire du RGPD quand je ne fais pas de sécurité. Je suis DPO autour de 10 % du temps in fine”. En revanche, Yohann Fourchon (GHT d’Armor) et Arnaud Vandesmet (Ramsay Santé) occupent bien un plein temps. Car le DPO est censé, selon le RGPD, disposer de moyens suffisants pour accomplir sa mission, à savoir de temps, de moyens matériels et humains adéquats. Mais sur le terrain, tout dépend des moyens financiers des établissements. “Le temps que j’y consacre n’est pas suffisant, confirme Pascal Sabatier (CH d’Aix-en-Provence) qui impute son temps partiel au “nouveau métier” qu’est celui de DPO : “nous ne savions pas quelle serait la charge de travail. Mais une prise de conscience a opéré progressivement et le CH a décidé en juillet dernier de passer le DPO à mi-temps en 2020. Je travaillerai alors à 100 % sur Aix-en-Provence, moitié DPO, moitié RSSI”. Arnaud Vandesmet (Ramsay Santé) a la chance de pouvoir s’appuyer sur une juriste à plein temps, “qui complète mon profil plus technique” : “la mise en conformité au RGPD représente un travail colossal, qui tient déjà à la simple taille du groupe mais aussi à son activité, son organisation et ses outils, qui sont tous complexes. Cela prendra encore beaucoup de temps”. Yohann Fourchon considère aussi que “la tâche est immense. Il ne serait pas loyal de dire que nous sommes conformes à 100 %”. Chaque établissement du groupe Ramsay Santé a également désigné un correspondant RGPD, “dont ce n’est pas le métier principal et qui n’exerce pas cette mission à temps plein. Connaissant parfaitement leurs établissements, ces correspondants relaient le DPO dans la mise en application des principes et des outils”. Guillaume Deraedt (GHT Lille Métropole Flandre Intérieure), se repose également sur un adjoint à plein temps, au profil juridique, et des correspondants locaux dans chaque établissement.

Côté budget, tous les DPO ne bénéficient pas d’une enveloppe ad hoc. Toutefois, Yohann Fourchon peut soumettre l’intégration de projets et prestations dans le budget de la DSI pour ce qui concerne ses missions. S’il était jusqu’à présent rattaché hiérarchiquement au directeur général du GHT d’Armor, avec un rattachement fonctionnel au DSI, “il a été acté mon rattachement fonctionnel à la direction des affaires juridiques. Cette évolution n’affectera pas la possibilité de réaliser des prestations relatives à la protection des données”. Pour Guillaume Deraedt (GHT Lille Métropole Flandre Intérieure), “le budget d’accompagnement et d’audit s’est transformé en poste pérenne avec l’embauche d’un adjoint”. Seul Pascal Sabatier précise que le CH d’Aix-en-Provence lui a accordé 10 000 € en 2019, qui s’ajoutent au budget fléché sur la sécurité du SI, autour de 40 000 € cette année. Ramsay Santé ne souhaite pas communiquer son budget DPO mais Arnaud Vandesmet souligne qu’il “est parfaitement à l’aise avec les moyens de fonctionnement et d’investissement qui lui sont alloués et, s’il a des besoins complémentaires, n’a aucun doute sur le fait qu’on les lui fournisse. Il y a une réelle implication du groupe en la matière”.

Le RGPD prévoit enfin l’indépendance du DPO, qui n’est pas censé recevoir d’instruction, ne doit pas être sanctionné pour l’exercice de ses missions et doit pouvoir rendre compte de son action au plus haut niveau de la direction. Guillaume Deraedt (GHT Lille Métropole Flandre Intérieure) se dit “libre d’organiser ses missions, ce qui ne me dédouane pas de travailler en concertation. Un DPO qui ne s’appuie pas sur son réseau n’y arrivera pas. Être indépendant ne signifie pas être un électron libre : je travaille en bonne entente avec la DSI, les métiers et je m’adresse aux directions en cas d’arbitrage budgétaire ou d’éventuelle gestion de crise”. Arnaud Vandesmet (Ramsay Santé), rattaché à la direction du risque, de l’audit et de l’investissement au siège, se considère également “complètement indépendant : j’ai une autonomie totale et je ne pourrais pas le concevoir autrement. C’est un prérequis à la fonction”. Yohann Fourchon “travaillera dans les murs de la DSI, tout en conservant l’indépendance que requiert sa fonction”. 

D’une centaine à 2 000 traitements identifiés

Quel bilan les DPO dressent-ils de leur mission, un an et demi au moins après avoir été désignés ? Ramsay Santé a développé des outils internes pour se mettre en conformité au RGPD : “un ‘kit RGPD’ a été fourni aux établissements au printemps dernier, contenant des modèles de procédures, des fiches de traitement, les registres, etc.” et les correspondants ont été formés en parallèle. Ce kit est disponible sur un site interne dédié à l’information sur le RGPD. Une procédure interne groupe, appelée FAST (pour fiche d’analyse et de suivi des traitements), a également été définie puis conçue sous la forme d’une application web : Arnaud Vandesmet explique qu’“elle vise à s’assurer qu’une initiative ou un projet lancé au niveau d’un établissement ou d’une direction centrale passe par une double instruction DSI et RGPD. Aujourd’hui, tous les projets du groupe passent par cette d’instruction et de validation. On respecte de fait les principes de privacy by design et by default puisque nous obligeons le porter de l’initiative à formaliser son analyse de risque. C’est l’embryon de ce que sera demain le PIA systématique” (privacy impact assessment ou analyse d’impact relative à la protection des données). Des analyses d’impact ont d’ailleurs déjà été réalisées, notamment sur le dossier patient informatisé et la vidéosurveillance. “Nous réalisons les PIA au fur et à mesure des besoins, de façon pragmatique. Il faut trouver le temps nécessaire.” Il a par ailleurs identifié environ 140 traitements-types de données et se situe “toujours au milieu du gué” pour ce qui est de la mise à jour des contrats avec les sous-traitants : “cela prend un temps considérable : nous avons environ 130-140 contrats fournisseurs et nous en découvrons régulièrement des nouveaux, qu’il s’agisse de contrats cadre au niveau du groupe ou de contrats passés au niveau des établissements. Nous proposons nos modèles d’avenant ou utilisons ceux du fournisseur puis nous échangeons sur la rédaction. Cela se passe généralement bien, c’est d’autres fois plus compliqué”. 

Le GHT d’Armor a cartographié environ 200 applicatifs métiers : patient, administratif (ressources humaines, gestion des affaires financières, achats…), télémédecine, dispositifs connectés, etc. Le RGPD a également été “l’opportunité d’établir une cartographie unique pour l’ensemble des établissements, grâce à une grande phase de sensibilisation des équipes de direction”. Pour la contractualisation avec les prestataires, “il a fallu co-construire une nouvelle approche partenariale avec la direction des achats, en s’appuyant sur de la sensibilisation et de la pédagogie. Les premiers dossiers traités ont pu être perfectibles, notamment pour ce qui concerne la coordination avec le DPO”. Yohann Fourchon cite pour exemple la mise en place d’un outil de reconnaissance vocale d’appel au standard, visant à réduire le délai d’attente. “20 % d’échec était constaté. Le prestataire a alors souhaité conserver les données pour améliorer le dispositif. Or, la voix est une donnée à caractère personnel. L’éditeur, n’en ayant pas connaissance, n’avait pas pris en considération les obligations associées. Il a fallu les rappeler et évaluer conjointement les risques d’une violation ou d’une fuite de données. À l’issue de cette évaluation, l’éditeur n’a plus souhaité conserver les données. Nous essuyons souvent les plâtres et sensibilisons nos partenaires. D’après ces derniers, tous les responsables de traitement ne sont pas aussi vigilants”. 

Guillaume Deraedt (GHT Lille Métropole Flandre Intérieure) a, lui, déclaré environ 2 000 traitements, “dont 400 gérés directement par la DSI, le reste étant spécifique à des spécialités”. Une convention de coresponsabilité de traitement a été signée par les établissements du GHT, “dans laquelle se retrouvent les fonctions mutualisées obligatoires et la convergence des SI”. C’est d’abord l’entrepôt de données de santé du CHU de Lille qui a fait l’objet d’une analyse d’impact, puis le dossier médical partagé par établissement. “Tout dépend ensuite de l’actualité : nous en avons par exemple effectué une sur le vote électronique pour l’élection des délégués du personnel.”

Le CH d’Aix-en-Provence n’a pour le moment effectué d’analyse d’impact que sur le dossier patient informatisé et a identifié 104 traitements, organisés en 15 familles (ressources humaines, gestion économique, DPI…) : “seuls 30 % des traitements sont vraiment décrits de manière précise et fine, ce qui donne déjà une feuille de route”. Des campagnes de sensibilisation sont mises en oeuvre et une formation mensuelle sur la sécurité du SI se tiendra en 2020, qui ciblera en premier lieu les infirmiers : “ils représentent la plus grosse population à l’hôpital en volume”. Des avenants RGPD ont été envoyés aux prestataires : “ce n’est pas simple. Dans le meilleur des cas, le prestataire est français et a entendu parler du RGPD. Dans les cas les plus courants, avec un prestataire comme IBM qui a son propre service juridique, ça prend plus difficilement. J’ai un tableau de suivi des avenants à envoyer, des avenants réellement envoyés et des avenants revenus signés : à chaque fois, ce nombre va en diminuant… Mais au moins, on le suit”.

Cédric Cartau, qui s’était aventuré au mois d’avril à un bilan de sa mission un an après, avait alors identifié 450 applications métiers et concluait que le RGPD “est un processus que l’on met en place, pas un état : il faut des sensibilisations régulières et courtes, poser des alarmes dans les processus métier et tout miser sur le triptyque indicateur-incident-audit”. Parmi les difficultés rencontrées par le GHT 44, “je pensais que tout traitement passait par la DSI or une grosse partie passe par les services techniques, ou biomédicaux et un paquet par la direction des achats. J’ai eu besoin de mettre en place différents filtres à plusieurs endroits de la gouvernance”. Au niveau des avenants fournisseurs, “le pire côtoie le pire… Des fournisseurs tentent de nous imposer leur modèle d’avenant alors que la Cnil en propose un sur son site”. Il rencontre aussi des difficultés face à des projets régionaux : “il est alors complexe de définir qui est responsable de traitement et qui ne l’est pas”. Et, “paradoxalement, je constate quelques fois des surréactions à des craintes de non conformité alors que, dans quatre cas sur cinq, le traitement ne nécessite pas de mise en conformité particulière”.

Statuer “entre l’optimal et l’acceptable”

À ce jour, tous restent très modestes face à l’ampleur de la tâche qui leur incombe. “Nous sommes encore au pied de la montagne”, selon Arnaud Vandesmet (Ramsay Santé). La sensibilisation des équipes constitue un travail quotidien et chacun doit faire avec les moyens qui lui sont assignés et la maturité de l’établissement à accompagner. “C’est une quadrature, résume Guillaume Deraedt, entre l’optimal et l’acceptable. Il faut parfois trancher, selon des arbitrages humains, financiers et de temps. Et aller au rythme des établissements, à leur capacité à intégrer dans leur charge de travail quotidienne les actions nécessaires au RGPD.” Cédric Cartau “voyait au début son poste comme Conan le barbare. Quand on m’a expliqué que j’allais être DPO, j’ai entendu plein de trucs sympathiques sur l’indépendance du métier, le pouvoir de sanction de la Cnil. En réalité, nous avons juste du mal à concilier tout le monde. Le DPO est perçu comme un chef d’orchestre qui doit tout connaître, de la technique de bas niveaux aux métiers. C’est impossible. Il doit selon moi quitter le mode ‘je fais’ pour ‘je mets en place des processus qui font et je contrôle’”.

 

Cybersécurité : “c’est un sujet quotidien” 
La sécurité du système d’information fait bien sûr partie des premières préoccupations des DPO. Tous ont mis en place les règles d’hygiène de base : firewalls, filtres antispam, antivirus sur les postes de travail… Des mesures organisationnelles peuvent aussi être mises en oeuvre : information du personnel, gestion des profils (entrées et sorties)… “On peut mettre tous les moyens techniques ou organisationnels que l’on veut pour limiter les risques, et il faut absolument le faire, nous restons in fine à la merci d’une malveillance ou d’une erreur humaine, rappelle Arnaud Vandesmet, DPO de Ramsay Santé. C’est un sujet quotidien.” Le CH d’Aix-en-Provence a pensé un plan d’action de sécurisation du SI détaillé prévoyant notamment des audits d’intrusion. “C’est un sujet brûlant chez nous : un audit d’intrusion interne et externe sur des missions de deux fois une semaine a été organisé cet été qui a mis en évidence beaucoup de failles exploitables. L’information sécurité a grossi à la suite de ces audits.” Le GHT d’Armor a initié au sein du CH de Saint Brieuc des sessions de sensibilisation d’une durée de deux heures, accessibles à tout professionnel qui le souhaite, qu’il couplera en 2020 avec du e-learning. Il a surtout contracté auprès d’AXA une assurance cyberrisque pour les cinq établissements qui le composent.

 

L’information du patient et le recueil du consentement ne sont pas toujours acquis
Comme prévu par le RGPD, tous les établissements ont mis en place une adresse mail DPO à disposition des patients qui souhaiteraient exercer leurs droits sur leurs données, indiquée sur les sites internet et les livrets d’accueil. Une mention précisant ces droits et la possibilité d’interpeller le DPO est également indiquée. Ramsay Santé informe aussi le patient par voie d’affichage dans les services d’admission. En cas d’utilisation de la donnée pour la recherche, le recueil du consentement est systématique, assurent les DPO contactés. “C’est le médecin qui porte l’étude qui relaie la demande auprès du patient concerné” au GHT d’Armor. Le GHT de Lille Métropole Flandre Intérieure dit également appliquer le recueil du consentement “pour tous les usages annexes, comme l’utilisation du mail ou du SMS pour un rappel de rendez-vous”. Cédric Cartau, DPO du GHT 44, soulève pour sa part quelques questions : “dans les études de santé publique post-mortem, pour évaluer le processus de don d’organe il y a besoin d’accéder aux données médicales pour améliorer le processus du prélèvement. Or, par définition, le patient ne peut pas donner son accord. Et quand la cellule veut réaliser une étude sur l’ensemble du GHT, cela concerne des patients que mon CHU n’a même pas pris en charge. Ou quand nos services de pédopsychiatrie transmettent des signalements de maltraitance de mineurs à la justice, c’est tout le dossier médical qui est envoyé en PDF non crypté. Et lorsque je demande aux services de justice comment il est possible de procéder, ils ne répondent pas. Dans certains cas il existe un texte, dans d’autres non”.

 


Cliquer ci-dessus pour télécharger le tableau dans son intégralité.

 

 

 

  • CNIL
  • Données de santé
  • GHT
  • Hôpital
  • RGPD

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email