Gwendoline Simon (Almaviva Santé) "Pour intéresser au RGPD, nous avons développé un serious game"

Alors que la Nuit du data protection officer approche, l'une des deux DPO d'Almaviva Santé, quatrième groupe hospitalier en France, explique comment ils ont réussi à sensibiliser leurs directeurs d'établissement à la question des données personnelles.

Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.

JDN. Vous avez développé un projet original pour sensibiliser au RGPD...

Gwendoline Simon est DPO d'Almaviva Santé. © Almaviva Santé

Gwendoline Simon. Effectivement puisqu'il 'agit d'un serious game. Nous l'avons mis en pratique lors d'un séminaire annuel de direction qui regroupait une cinquantaine de personnes : direction du groupe, directions régionales, responsables des fonctions support, et directions des établissements. Nous disposions de trente minutes d'intervention, parmi la dizaine d'interventions prévues, pour parler de la protection des données. Nous avons réparti les participants en plusieurs groupes de six, autour d'un plateau de jeu qui comportait des données à caractère personnel figurant sur le modèle de registre des activités de traitement de la Cnil  (connections, informations économiques et financières, localisation, données sensibles, etc), plus une case supplémentaire : "Ce n'est pas une donnée à caractère personnel". Puis nous avons distribué 24 cartes comportant différentes données personnelles, en leur laissant dix minutes de réflexion pour replacer les bonnes cartes dans les bonnes thématiques. L'objectif était d'aborder le RGPD de façon ludique, en fédérant le groupe. Les thèmes des cartes ont été choisis en fonction des débats qu'ils ont suscités dans l'opinion publique et dans le milieu de la santé. Le but était de faire prendre conscience aux participants qu'ils récoltaient quotidiennement de nombreuses données personnelles, pour se poser ensuite les bonnes questions sur les collectes qu'ils opèrent, tant du côté ressources humaines que du côté patients.

Quel était le niveau d'information des participants ?

Il était très disparate. Beaucoup manquaient d'informations et c'était la première intervention que nous faisions sur le nouveau règlement auprès des directeurs de tous les établissements du groupe. Tous étaient très intéressés, c'était donc l'occasion de les fédérer autour du projet. Nous voulions leur permettre d'avoir une réflexion sur les projets comportant des données personnelles qu'ils mettent régulièrement en place dans leurs établissements.

Comment avez-vous réussi à les fédérer autour du projet ?

Les faire travailler en groupe a été très bénéfique : ils ont pu aborder ensemble certaines problématiques et partager leurs réflexions. Lorsque nous avons donné les solutions à certaines questions, ils ont débattu de leurs propres choix et les ont expliqués aux autres participants.

Quel a été le résultat de ce serious game ?

Cela nous a permis de les sensibiliser à la question des données personnelles, à la transparence de l'information et aux droits des personnes. Ils ont pris conscience qu'ils traitaient couramment de nombreuses données à caractère personnel. Nous avons eu ensuite beaucoup de retours par emails. Nous avons ensuite développé ce jeu dans nos formations internes, dispensées auprès d'équipes pluridisciplinaires travaillant dans les cliniques.

En quoi le projet est ambitieux ?

Il a fallu regrouper 50 fonctions dirigeantes, exerçant dans plusieurs départements en France, avec des spécialités différentes et des connaissances disparates sur la problématique de la protection des données, sur un laps de temps très court. L'objectif était de les intéresser activement au sujet !

En quoi le projet est-il innovant ?

C'était la première fois que le format serious game était utilisé dans un séminaire de direction, afin de transformer leur appréhension du sujet en plaisir.

En quoi est-il fédérateur ?

Le but était de développer une démarche synergique, en créant comme premier axe de travail une réflexion collégiale sur la protection des données et en rendant les participants acteurs de leur apprentissage.