Guillaume Deraedt (CHRU Lille) "Les chercheurs sont acteurs de la démarche de protection des données personnelles"

Alors que la Nuit du Data Protection Officer se rapproche, le DPO du Centre hospitalier régional universitaire de Lille dresse la liste de ses chantiers.

JDN. Rappelez-nous votre fonction, votre parcours et le rôle que vous jouez au sein du Centre hospitalier régional universitaire (CHRU) de Lille.

Guillaume Deraedt (CHRU Lille). Historiquement, je suis un responsable de la sécurité des systèmes d'information (RSSI) devenu également  correspondant Informatique et Libertés (CIL) dès 2006 car le CHRU a très tôt développé une forte sensibilité à la question de la confidentialité des données du patient. Ma fonction de CIL a évolué vers celle de data protection officer (DPO) début 2017 pour préparer la mise en conformité au Règlement général pour la protection des données (RGPD).

Je porte la double casquette RSSI/DPO car nous lions intimement la notion de confidentialité des données du patient à celle de sûreté du système d'information. La donnée personnelle du patient est sensible. Elle contient des informations médicales. Sa préservation conditionne autant les aspects de confidentialité que la qualité des soins prodigués. 

Fonctionnellement, je dépends de la direction générale. Mais je travaille en étroite collaboration avec le département des ressources numériques. Mon rôle est de faire le lien entre les professionnels de santé, qui ont des impératifs métiers mais que je dois sensibiliser aux questions de protection des données, et les équipes en charge des ressources numériques, qui vont mettre en place des solutions de sécurité à la fois acceptables du point de vue du risque patient, raisonnables sur le plan économique et souples face aux impératifs métier.

Quels sont les principaux enjeux de votre action au sein du CHR ?

Je suis le garant d'une organisation qui assure confidentialité des données et sûreté du SI. Mes actions se mesurent à l'aune de quatre enjeux : la disponibilité du SI, pour assurer la prise en charge rapide des patients ; l'intégrité des données, qui doit être totale pour une qualité des soins maximale ; les éléments de preuve, en cas de litige et, enfin, la confidentialité des données patients. Celle-ci doit être garantie dans les conditions usuelles de prise en charge comme dans les conditions particulières telles que le dispositif "bris de glace" (dispositif d'urgence selon lequel toute équipe soignante peut accéder aux données du patient pour assurer les soins nécessaires, ndlr).

Quelles sont les implications du règlement pour votre organisation ?

Le règlement n'affecte pas réellement nos méthodes et nos pratiques actuelles sur le périmètre régalien de l'établissement, à savoir la gestion de la prise en charge du patient. Nos procédures d'analyse de risques, d'accès à l'information et de traçabilité répondent aux nouvelles exigences. Je travaille à cet effet avec la commission de la confidentialité des informations médicales, l'instance dédiée au sein du CHRU, à laquelle j'apporte mon expertise de DPO.

En revanche, le règlement nous amène à intégrer dans notre champ d'action un ensemble d'outils informatiques périphériques au SI régalien, utilisés par les maisons de recherche clinique et par les sur-spécialistes. Ces praticiens manipulent en effet des données médicales de patients pour leurs besoins de recherche, hors du cadre de prise en charge. Leurs outils sont donc concernés par le Règlement.

Quelles actions concrètes avez-vous menées et quelles mesures avez-vous prises pour intégrer ces outils dans le processus de conformité ?

"Nous avons développé un site intranet dédié à la protection des données personnelles" 

Notre approche a été de rendre ces chercheurs acteurs de la démarche de protection des données à caractère personnel. Début 2017, nous avons co-construit avec eux une boîte à outils de procédures, de méthodes et de solutions techniques leur permettant de s'impliquer réellement dans la sécurisation des données. Notre démarche a nécessité beaucoup de pédagogie et un important travail de sensibilisation à l'impact, sur le patient en tant que citoyen, d'une divulgation éventuelle de ses données personnelles.

Aujourd'hui, les assistants de recherche clinique sont formés à l'utilisation de cette boîte à outils. Concrètement, il s'agit pour eux de renseigner des formulaires sur l'utilisation des données dans le cadre d'un projet - leur nature, la durée de conservation, les partages éventuels avec des tiers, le niveau d'anonymisation nécessaire, etc. - et sur le niveau de sécurité des outils informatiques qui seront utilisés. De notre côté, nous procédons à l'analyse des résultats, avec les juristes et les équipes IT. Nous restituons les conclusions de l'étude aux équipes concernées. Et nous établissons ensemble les mesures éventuelles à prendre et les réponses techniques à apporter (chiffrement, pseudo-anonymisation, etc.) pour réduire le risque et maintenir la conformité au Règlement. Les promoteurs de recherche sont ensuite tenus de s'engager officiellement sur le respect de la méthodologie et de la mise en œuvre des mesures décidées. Aujourd'hui, nous comptons plus de 1 750 traitements de données à caractère personnel au registre. Il arrive une vingtaine de nouvelles déclarations par semaine.

Un comité CNIL mensuel qui réunit les assistants de recherche clinique, des médecins, des juristes et des soignants nous permet de faire évoluer la boîte à outils en fonction des besoins et d'instruire les points particuliers qui nécessitent une expertise de la part de la CNIL. En parallèle, nous mettons à jour l'ensemble des supports d'information à destination du patient sur l'utilisation que nous pouvons faire de ses données et sur ses droits par rapport à cela : affiches, livret d'accueil des patients, etc.

Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?

Notre travail de communication en interne est facilité par la sensibilité de notre direction générale au sujet. Elle est convaincue de l'importance de la sûreté de la confidentialité pour l'image de marque du centre. Elle a conscience de la nécessité d'une gouvernance efficace.

Nous avons développé un site intranet dédié à la protection des données personnelles. Les collaborateurs, IT et utilisateurs, y trouvent des memos pratiques. Nous proposons aussi des modules d'e-learning de sensibilisation et de présentation des bonnes pratiques à travers des mises en situation concrètes. Enfin, nous participons à notre événement annuel : la Semaine de la Sécurité du Patient. Historiquement dédiées à la sécurité de la prise en charge du patient, ces journées comportent désormais un volet consacré à la confidentialité des données.

Quels chantiers sont à venir ?

Nous travaillons, à l'échelle du groupement hospitalier de territoire Lille métropole-Flandres intérieur, qui regroupe dix hôpitaux en plus du CHRU de Lille, à la définition d'un niveau d'exigence sur la sûreté de la confidentialité des données, commun et partagé par tous les hôpitaux du groupement. Là encore, il s'agit d'un travail de concertation et de co-construction que je mène avec les DSI du groupement. Une approche clé pour s'assurer de l'implication des acteurs aux dimensions, historiques et sensibilités pluriels. 

Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.