L’AFCDP partage les défis de DPO pendant le confinement

À quelle(s) difficulté(s) votre organisation a-t-elle été confrontée ?

Avec plus de 3 000 lits et places, près de 14 000 employés et plus d’une centaine de services, le CHU de Bordeaux constitue le principal complexe hospitalier de l'agglomération bordelaise et de la région Nouvelle-Aquitaine. Il joue bien entendu un rôle majeur dans la lutte contre la pandémie de Covid-19, avec ses capacités d’accueil en soins aigus et comme structure de répit pour des régions en saturation.

Les difficultés ont été et sont multiples : contribuer à la coordination régionale avec les outils du bord, calculer et suivre le nombre de malades atteints mais aussi les membres du personnel concernés, assurer la veille scientifique et l’adaptation des messages, organiser et mettre en œuvre des unités de dépistage y compris hors établissement,…

C’est un climat particulier, avec une cellule de crise. Toute l’institution est tendue vers ces objectifs, laissant peu de place finalement aux autres activités et domaines d’intérêt.

Dans ce contexte, la problématique de la protection des données à caractère personnel affleure partout, y compris hors Covid-19 quand la distanciation et la réorganisation des tâches amène à communiquer des informations parfois sensibles à travers des canaux non adaptés comme le mail, ou à faire un usage abusif des adresses génériques. Ou bien des données de déclaration épidémique qui passent, par décret, d’une pseudonymisation partielle à un caractère nominatif complet… 

Plus spécifiquement, c’est dans la circulation absolument nécessaire des tableaux de bord et de leurs contenus qu’il a fallu intervenir et demander d’appliquer des mesures de minimisation pour faire en sorte de ne délivrer les informations qu’à ceux qui ont besoin d’en connaître.

Comment avez-vous réussi à gérer ces défis ?

Moufid Hajjar bénéficie de moyens limités pour réaliser sa mission, avec un détachement théorique de 50% de son temps pour ses missions de DPO.

Le DPO est souvent averti par des contacts internes sentinelles, mais quasiment jamais en amont du projet ou de l’initiative. « Il s’est très tôt créé une cellule de crise COVID en début d’année, mais le temps a sans doute souvent manqué en amont pour intégrer en préalable les questions liées à la protection des données. Ce sont des membres de cette cellule qui m’alertaient en marge, afin que j’intervienne et j’alerte sur les risques ; la cible « Privacy by design » n’est pas encore atteinte. »

Le rôle du DPO est aussi d’être un « garde-fou », selon Moufid Hajjar.
« C’est sans doute mon profil de médecin DIM, ma connaissance transversale du système d’information, et tous les liens que j’ai pu tisser auparavant avec nombre d’acteurs de notre établissement qui m’ont probablement le plus servis ici. Ce qui a fonctionné et fonctionne encore, en dehors de la nécessaire sensibilisation du plus grand nombre aux questions de la protection des données, c’est la possibilité de s’appuyer sur un réseau de personnes, pivots de leur domaine, et sensibilisées à ces questions. »

Moufid Hajjar a donc continué chaque fois qu’il a été sollicité ou qu’il a pu détecter une problématique sa mission de préconisations et de sensibilisation. Et malgré tout, il dit reconnaître au contexte du Covid-19 un effet d’accélération sur la maturité et la sensibilisation au RGPD, que ce soit à travers le régime des actions imposées par l’épidémie ou les très nombreux et variés projets de recherche et d’études sur le virus et ses conséquences. « Ça démultiplie les expériences et les sensibilisations sur un temps court, et renforce le rôle de relais pivots. L’expérience, le rôle et la légitimité du DPO également ! ».

Pour le reste, le travail de mise en conformité se poursuit progressivement.

Quels sont, selon vous, les prochains challenges à venir ?

Le niveau de sensibilité des acteurs dans les établissements de santé sur la protection des données lui paraît en nette amélioration. « C’est de plus en plus un sujet dans la conversation et dans les esprits, comme pour la sécurité des systèmes d’information ». Il y a encore du chemin pour une intégration « par défaut » dans les dispositifs opérationnels, surtout avec un contexte d’urgence sanitaire qui dure.

Plus avant, il faut aussi qu’émerge une dynamique Top-Down dans les établissements de santé sur le sujet de la protection des données et qu’il prenne la place qui lui revient. « J’ai initié avec ma collègue Armande François, à l’époque DPO de l’AP-HP, le groupe de DPO de CHU pour pouvoir échanger sur les problématiques rencontrées et solliciter l’implication politique de ce que la CNIL a appelé nos « têtes de réseaux », avec un succès très mitigé pour le moment. Le groupe fonctionne toujours et fonctionnera encore de mieux en mieux, mais on ne peut que constater la très grande hétérogénéité des ressources engagées et des positionnements des DPO au sein des hôpitaux. »

Et d’appeler à une plus grande prise de conscience des « têtes de réseaux ».

À propos de l’AFCDP - www.afcdp.net

L’AFCDP, créée dès 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).

Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.