Blandine Bellon (SIB) "Outre le RGPD et la loi de santé, nous attendons aussi la loi Informatique et Liberté II"
Alors que la Nuit du Data Protection Officer se rapproche, la DPO du groupement d'intérêt public SIB à Rennes évoque les contours de son métier et ses tâches au quotidien.
Spécialisé dans les prestations informatiques auprès des établissements de santé, le GIP SIB est un établissement public de coopération hospitalière basé à Rennes et qui compte 230 employés. Il s'agit de la première structure publique a avoir été agréée pour l'hébergement de données de santé à caractère personnel. Le GIP SIB est également tiers-archiveur agréé et certifié ISO9001 pour l'ensemble de ses services.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation du SIB et de quelle direction dépendez-vous ?
Blandine Bellon (SIB). Mon parcours débute par des études en droit privé. J'ai très vite souhaité acquérir une double compétence droit public/droit privé, si bien qu'après un DEA de droit des affaires, j'ai suivi un Master de droit public. J'aime avoir une approche pratique et tirer profit de cette double compétence, notamment dans un GIP tel que le SIB. J'y ai pris les fonctions de juriste en 2012, assumant également les responsabilités du CIL, rattaché à la direction générale. Puis ma veille réglementaire m'a très tôt poussée à m'intéresser à la fonction de DPO. C'est la raison pour laquelle j'ai rejoint en janvier dernier la première promotion du diplôme universitaire de DPO délivrée par l'Université d'Assas. Les échanges avec les étudiants et l'interactivité avec les intervenants sont passionnants, j'y apprends beaucoup.
Quels sont les principaux enjeux de votre action au sein du SIB ?
En tant qu'hébergeur de données de santé à caractère personnel, nous sommes déjà très avancés sur le plan de la protection des données. Le SIB a été la première structure publique à être agréée par le ministère de la Santé. Un travail conjoint avec notre médecin hébergeur et notre RSSI facilite cette mission, la protection des données personnelles fait partie intégrante de l'ADN du SIB.
Pour résumer, nous menons deux types d'actions. Il y a d'une part des actions de mise en conformité interne qui découlent de notre cartographie des traitements. En parallèle, il faut souligner qu'en notre qualité de sous-traitant, le respect de la réglementation vis-à-vis des données qui nous sont confiées par nos clients est une priorité absolue. Nous avons un double enjeu de mise en conformité des données en tant que responsable de traitement, mais aussi en notre qualité de sous-traitant.
Quelles premières mesures avez-vous prises à votre arrivée ?
Outre la documentation juridique relative au respect des grands principes de la protection des données qui découle de la cartographie des traitements, j'ai organisé des ateliers de sensibilisation auprès des 240 salariés. Il s'agissait pour moi de les sensibiliser sur le sujet et d'expliquer l'impact du règlement européen sur la protection des données (GRPD) sur leur façon de travailler. Ces ateliers pédagogiques sont notamment relayés sur Twitter. L'objectif est qu'ils adoptent les bons réflexes dans leur métier de développeur ou d'exploitant et qu'ils pensent naturellement à appeler le DPO lors de la modification ou la création d'un traitement. Le DPO doit montrer qu'il est présent auprès des équipes et leur apporter un soutien vis-à-vis de la problématique réglementaire. Une approche pragmatique est essentielle.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Des textes importants sont publiés à un rythme élevé ce qui oblige à mener une veille quotidienne"
Je compte poursuivre les ateliers pédagogiques et d'échanges organisés pour les salariés. En outre, une série d'articles est en préparation pour notre intranet avec comme projet de mettre en ligne à chaque début de semaine un billet relatif à la protection des données, qu'il s'agisse d'expliquer et détailler les grands principes du RGPD, d'illustrer le avant/après sur des cas concrets de nos traitements de données. J'apprécie de multiplier les médias (vidéos, podcats, …) pour faciliter l'appréhension et la compréhension de ces sujets. Plusieurs articles ont déjà été publiés sur cet intranet mais désormais c'est un rythme hebdomadaire que je compte tenir à partir du mois de novembre. Par ailleurs, des affichages et des flyers ciblés en salles de pause sont également de bons moyens de transmettre des messages.
L'impact règlementaire sera-t-il majeur dans le domaine de la donnée de santé déjà très régulé ?
Outre le RGPD, la "loi de santé" et ses décrets d'application, nous sommes encore dans l'attente de la "loi Informatique et Liberté II". Il y a 56 renvois aux législations nationales dans le règlement dont plusieurs qui concernent la santé ou le secteur public. Le SIB sera donc concerné très directement et nous attendons la publication de cette loi pour connaître plus précisément notre périmètre d'action. Entre les guidelines du G29, les recommandations de la CNIL et cette future "LIL II", des textes importants sont publiés à un rythme élevé ce qui oblige à mener une veille quotidienne. Le droit est en construction, c'est un sujet passionnant.
Quels sont vos principaux chantiers à venir ?
Des projets vont devoir être lancés successivement afin de rester en conformité vis-à-vis de ces changements réglementaires, notamment pour nous préparer à l'échéance du mois de mai 2018. Les projets actuellement à l'étude implémentent d'ores et déjà ces changements réglementaires. Mon principal chantier reste de poursuivre et amplifier cette tâche de pédagogie au sein de l'entreprise afin que chacun connaisse les enjeux de la nouvelle réglementation et l'applique au quotidien en particulier pour l'ensemble des traitements à venir.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.