POLYCLINIQUE DU PARC RAMBOT, AIX-EN-PROVENCE (13)
L e nouveau Règlement général sur la protection des données personnelles (RGPD) entrera en application le 25 mai 2018. Il prévoit, pour les établissements de santé notamment, la nomination d’un DPO (Data Protection Officer ou Délégué à la protection des données).
Successeur du « Correspondant informatique et libertés », le DPO aura des responsabilités renforcées. Il sera l’interlocuteur de référence pour la CNIL, orchestrera la conformité dans l’établissement et sera consulté pour le traitement et la valorisation de ces données à caractère personnel, mais aussi pour la sécurité informatique et juridique.
Garant de la confiance autour du traitement des données entre l’entreprise et ses parties prenantes, le DPO doit donc être choisi avec soin. Mme Claire Ravier, directeur général de la polyclinique du Parc Rambot (Aix-en-Provence), analyse ses critères de choix.
« Quand j’ai découvert que nous étions soumis à cette nouvelle règlementation, je me suis rendu compte qu’elle servait surtout à renforcer l’existant quant au traitement et à la sécurisation des données de santé. Par ailleurs, elle se rapprochait de ce qui nous avait été demandé dans le cadre du programme ‘ Hôpital numérique ’ , particulièrement pour le dossier patient : garantie de confidentialité, charte pour les utilisateurs des Systèmes d’Information, politique d’habilitation, gestion des mots de passe et des incidents, etc. La différence avec le RGPD, et elle est de taille, est que l’enjeu d’ ‘ Hôpital numérique ’ était l’obtention de subventions. Alors que là, nous pouvons être sanctionnés. À l’époque, nous avions confié le suivi de ce programme à une cadre, ancienne Responsable d’assurance qualité gestion des risques, chargée de missions transversales.
Elle avait piloté auparavant le changement de notre logiciel patient, et était habituée à travailler en fort lien avec notre responsable informatique. C’est à elle que j’ai demandée d’assurer la fonction de DPO. Le DPO doit avoir des compétences techniques, juridiques, organisationnelles, mais également relationnelles. Or la fonction d’origine des futurs DPO est très hétérogène, puisque les organigrammes des établissements sont liés à leurs historiques. Certains sont directeurs administratifs, d’autres sont médecins DIM ou encore responsables informatiques.
Ce qui compte à mes yeux, c’est d’abord la capacité de rigueur de la personne. Une ancienne responsable qualité, soucieuse des procédures, est un bon profil. Mais il faut que cette personne dispose aussi de fortes capacités relationnelles. Pour appliquer des règles dans un établissement où se côtoient des salariés et des libéraux, il faut faire preuve d’un certain savoir-être, ou plutôt d’un savoir-être certain ! Au retour des vacances scolaires, les utilisateurs de notre logiciel médical ont eu quelques jours pour modifier leur mot de passe. Nous sommes vigilants sur ce point, et avons rédigé une charte d’utilisation des Systèmes d’Information. Mais nul doute que quelques médecins ou salariés « négligents » se verront l’accès refusé. Autant dire que leur interlocuteur devra faire preuve d’une patience angélique.
En l’occurrence, sa casquette d’ancienne Responsable qualité lui permet d’être identifiée, reconnue et écoutée par tous les acteurs de l’établissement. CAHPP met en place une formation adaptée. Notre objectif, est d’avoir pour le mois de mai démarré la démarche, nommé un DPO, et de pouvoir montrer tout ce que nous avons déjà mis en place. En appui, notre DPO aura besoin d’acquérir certaines bases juridiques et techniques, et d’avoir des pistes sur les actions à mener. Les formations devraient porter sur l’informatique, sur le droit des patients, mais être aussi réellement transversales. »