Arnaud Vandesmet (Ramsay Générale de santé) "Il faudra doter les établissements d'outils qui leur permettront d'être autonomes sur le RGPD"

A l'approche de la Nuit du Data Protection Officer, le DPO du groupe de cliniques et d'hôpitaux privés revient sur sa réponse au RGPD.

Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.

JDN. Qu'a véritablement changé pour Ramsay Générale de Santé le RGPD alors que les pratiques relatives aux données de santé étaient déjà très réglementées ?

Arnaud Vandesmet. Même si la donnée n'est pas notre cœur de métier, comme elle peut l'être dans le marketing numérique par exemple, les volumes et la nature de celles que nous traitons du fait de notre activité nécessitent une vigilance particulière. En effet, nous comptons près de 23 000 collaborateurs mais aussi 6 000 praticiens libéraux qui ne sont pas salariés et nous traitons près de 2 millions de patients chaque année, avec, vous l'imaginez, un historique conséquent.

Le groupe, qui compte aujourd'hui 120 établissements, s'est constitué par acquisitions successives, le système d'information est donc complexe et conserve parfois certains particularismes. Ceci nécessite un important travail de cartographie et d'inventaire.

Pour donner un exemple de votre action, quelle fut votre dernière initiative dans cette mise en conformité RGPD ?

Nous avons dernièrement mis en place au sein du groupe une nouvelle procédure transverse baptisée FAST, pour "Fiche d'Analyse et de Suivi des Traitements". Chaque initiative, qu'elle émane d'une direction centrale ou d'un établissement, doit désormais faire l'objet d'une instruction en trois temps. Le métier doit tout d'abord valider l'initiative décrite en détail, confirmer le besoin et son alignement stratégique. Dans un deuxième temps, le DPO mène sur la base des informations fournies une analyse de premier niveau de la conformité du traitement proposé vis-à-vis du RGPD. Ce n'est qu'après que la demande est transmise à la DSI pour s'assurer que ces prérequis en termes de sécurité et techniques seront observés. Le projet entre ensuite dans le cycle classique de la gestion de projet. Il est ensuite prévu que le DPO ré-intervienne notamment pour mener une analyse d'impact détaillée puis s'assurer au moment de la mise en production que les principes édictés initialement sont bien respectés. Il s'agit de s'assurer que les grands principes du privacy by default et privacy by design seront bien respectés.

S'agit-il d'un workflow automatisé ?

Pour l'instant cette fiche n'est pas intégrée à une application, mais nous prévoyons de l'automatiser rapidement afin qu'elle soit accessible via un portail. Jusqu'à présent nous avons créé un site interne dédié au RGPD sur lequel sont disponibles les textes, de l'information et des ressources ainsi que prochainement un "kit de généralisation" destiné à soulager les établissements en leur fournissant les politiques mises à jour, les procédures types à appliquer dans toutes les situations couvertes par le RGPD et un registre quasi-complet avec un maximum de fiches de traitement détaillées pour que les établissements n'aient plus qu'à faire une analyse d'écart avec notre kit et compléter celui-ci avec leurs spécificités.

Résumé du projet :

En quoi est-il fédérateur pour l'entreprise ?

"Chaque établissement du groupe a désigné un correspondant RGPD qui a vocation à devenir un relais et le garant de la conformité à l'échelle locale. Nous avons souhaité que ces correspondants ne soient pas des informaticiens - quelques-uns le sont - mais surtout des gens qui maîtrisent parfaitement l'organisation de l'établissement sur le plan fonctionnel et des personnes avec suffisamment de crédit pour pouvoir échanger directement avec les praticiens, l'encadrement et les collaborateurs de l'établissement."

En quoi est-il innovant ?

"Un autre aspect que nous cherchons à diffuser auprès des établissements, c'est que la maîtrise de la donnée, de notre patrimoine applicatif et contractuel sera, à terme, un moyen de déterminer des pistes d'amélioration de notre performance opérationnelle et des sources d'économies d'échelle, par exemple sur le stockage des données ou la rationalisation des applications et systèmes."

En quoi est-il ambitieux ?  

"Il faudra à terme doter les établissements d'outils qui leur permettront d'être autonomes sur la vie au quotidien du RGPD, pour exporter facilement les données, des outils pour gérer le registre des traitements et ses révisions dans la durée, gérer les évolutions des traitements, etc. Dans cette phase future lorsqu'une certaine maturité sera atteinte, la question des outils deviendra fondamentale."