Jacques Rachet (GHT) "Le secret médical fait partie de la protection des données personnelles"
Alors que la Nuit du data protection officer approche, le DPO du GHT 21-52 raconte son chantier.
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Vous avez été nommé, en juillet dernier, DPO d'un Groupement hospitalier de territoire qui fédère 9 établissements de santé de la Côte-d'Or et du sud de la Haute-Marne. Quel est votre chantier prioritaire ?
Jacques Rachet. Selon moi, une meilleure protection des données personnelles passe par l'optimisation des pratiques quotidiennes des collaborateurs. Sensibilisation, formation initiale et continue… Je souhaite agir à plusieurs niveaux de temporalité. Il y a tout d'abord la formation des collaborateurs sur les changements introduits par le RGPD. Pour m'aider à concevoir les contenus pédagogiques, je me suis rapproché de l'organisme de formation de la fonction publique hospitalière (ANFH). Un enjeu d'autant plus important que le milieu hospitalier de Bourgogne-Franche-Comté veut être un pionnier dans le domaine de la santé numérique.
Comment sensibiliser au RGPD les 10 000 employés du GHT ?
Il s'agit d'utiliser les moyens de communication les plus efficients : le journal interne, l'e-mailing, l'affichage et pourquoi pas l'e-learning et la vidéo. Je me suis rapproché des autres DPO hospitaliers de la région qui viennent également d'être nommés. Ayant la même cible et le même message à porter, nous pouvons mutualiser nos efforts et échanger des bonnes pratiques. D'autant que nous avons des profils différents. Je suis juriste en droit public, d'autres DPO sont informaticiens, qualiticiens ou médecins.
En interne, je travaille beaucoup avec le RSSI en jouant également sur nos complémentarités. A lui, la partie technique, à moi le volet juridique. J'ai aussi des interlocuteurs "data privacy" dans les différents établissements. Les responsables des systèmes d'information sont un autre point d'entrée. La plupart du temps, ce sont eux qui officiaient comme correspondant informatique & libertés. Le territoire à couvrir est vaste. Si le CHU Dijon Bourgogne est mon établissement support, il n'y a pas une semaine sans que je ne fasse un déplacement.
Que prévoyez-vous en termes de formation initiale ?
La formation doit aussi concerner les futurs collaborateurs. Au-delà de la fac de médecine, le GHT comprend différentes écoles d'infirmières, de sages-femmes ou de brancardiers. Il faut travailler en intelligence avec son territoire, le CHU jouxte le pôle universitaire.
Les étudiants sont en phase d'apprentissage donc plus faciles à toucher. Ils ont déjà des cours sur l'éthique ou le secret médical, la protection des données personnelles pourrait être intégrée à ces modules. La Cnil a mis aussi en ligne beaucoup de fiches et d'infographies qui peuvent servir de supports. Il s'agit de prendre son temps et de faire des contenus de formation pérennes. Le RGPD est là et il est appelé à durer.
Et les patients ?
Les patients doivent effectivement connaître leurs droits. Ils sont rappelés dans le livret d'accueil qui leur est remis. Les sites des différents établissements sont actuellement refondus pour mentionner ces droits des patients mais aussi le rôle du DPO et ses missions. Un e-mail spécifique permet de me contacter directement.
Quel est le niveau de maturité sur le RGPD des différentes populations ?
Je ne pars pas de zéro. Il y a une prise de conscience générale sur les enjeux de la confidentialité des données patients. Le secret médical et le secret professionnel font partie de la protection des données personnelles. Si la population hospitalière est sensibilisée au sujet, elle n'a pas forcément les connaissances juridiques derrière. D'autant que le cadre réglementaire a beaucoup évolué ces derniers temps avec l'entrée en vigueur du RGPD et les modifications de la loi informatique & libertés qui s'en sont suivies.
Nous attendons pour la fin d'année l'ordonnance qui encadrera l'harmonisation du droit français par rapport au RGPD. La France applique déjà des exceptions au règlement en matière de recherche dans le domaine de la santé. Ces projets sont soumis à l'application de méthodologie de référence ou à une demande d'autorisation préalable auprès de la Cnil.
Résumé du projet :
En quoi est-il fédérateur pour l'entreprise ?
Le plan de sensibilisation au RGPD concerne l'ensemble des 9 établissements de santé qui composent le GHT. Il prévoit de toucher l'ensemble de la population hospitalière mais aussi d'informer les patients sur leurs droits.
En quoi est-il innovant ?
Sensibilisation, formation initiale et continue… Le DPO entend agir à plusieurs niveaux. En choisissant différents modes de communication et de supports pédagogiques, il adapte son message à ses différents publics incluant même les étudiants, futurs médecins ou infirmières.
En quoi est-il ambitieux ?
Le chantier est ambitieux par l'ampleur de la tâche. Créé en juillet 2016, le GHT 21-52 emploie 10 000 employés dont 8 000 pour le seul CHU de Dijon Bourgogne. Du côté des patients, le groupe hospitalier dispense des soins à 530 000 habitants.