L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Acteurs

    Les CIL/DPO entre gendarmes et coach de la protection des données

    PARIS (TICpharma) - Assurer la conformité des traitements de données personnelles, sensibiliser les collaborateurs, préparer l'entrée en vigueur du règlement général européen tout en faisant le lien entre impératifs techniques et juridiques: trois correspondants informatique et liberté (CIL) d'industries de santé ont fait part à TICpharma des défis rencontrés au quotidien dans cette fonction en pleine évolution.

    Adieu les CIL, vive les DPO (Data Protection Officer)! Ou DPD, pour "délégué à la protection des données" en bon français.

    Créé par la réforme de la loi Informatique et libertés en 2004, le poste de CIL, référent de la protection des données personnelles dans les entreprises, est en pleine (r)évolution sous l'effet du règlement général européen relatif à la protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai 2018 et rendra notamment obligatoire la nomination d'un DPO (voir dépêche TICsanté du 13 mai 2016).

    Le terme de DPO est déjà bien connu au niveau international. "Un Américain ne comprend pas ce qu'est un CIL. Chez eux, et dans beaucoup de pays en Europe, on parle de DPO depuis plusieurs années", a relevé Frédéric Varnieu, CIL du fabricant de dispositifs médicaux Resmed France.

    Arrivé chez Resmed en 2009 à la direction des infrastructures pour l'Europe, Frédéric Varnieu a été nommé CIL en 2012 alors qu'il travaillait aux modalités de télésuivi des appareils à pression positive continue (PPC). "On est venu me chercher car il y avait besoin de connaissances techniques et informatiques, notamment sur l'hébergement des données", a-t-il expliqué.

    A l'heure actuelle, celui qui suit un master spécialisé sur la protection des données à l'Institut supérieur d'électronique de Paris (Isep) dans la perspective éventuelle de devenir DPO, exerce la fonction de CIL en parallèle de celle de directeur du service informatique de santé en Europe. C'est d'ailleurs l'une des limites rencontrées aujourd'hui par les CIL, qui, pour la plupart, n'exercent pas leur mission à temps plein.

    "Beaucoup de personnes font ça en plus de leur travail alors que la question de la protection des données prend de plus en plus de place. J'ai nommé il y a un an un responsable pour s'occuper de la gestion du support informatique et me libérer du temps pour préparer le RGPD", a témoigné Frédéric Varnieu.

    C'est bien le sujet réglementaire brûlant auquel s'attellent les industriels: en plus de prévoir une augmentation des sanctions encourues en cas de non-respect de la protection des données personnelles, le RGPD responsabilise les opérateurs de traitements et leurs sous-traitants en leur fixant de nouvelles exigences, et en privilégiant les contrôle a posteriori, plutôt qu'a priori, de leurs procédures.

    "Il y a clairement une montée en charge de la fonction de CIL/DPO avec le règlement européen", a confirmé Mireille Violleau, CIL dans la filiale française du laboratoire Roche, qui participe aux travaux du Leem (Les entreprises du médicament) et de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP) sur l'application du règlement dans le secteur de la santé (voir dépêche du 9 juin 2017).

    Faisant partie des rares CIL à exercer leurs missions à plein temps, elle a insisté sur le fait qu'"une personne qui anime la conformité à 100% de son temps est aussi importante qu'un outil informatique qui aide à tracer cette conformité".

    Le défi du RGPD

    Car les travaux à mener de front d'ici mai 2018 sont aussi nombreux que les concepts introduits par le RGPD comme le "privacy by design", l'"accountability" et l'impératif de mettre en place des études d'impact des traitements de données sur la vie privée.

    "Le plus important jusque-là a été de mesurer le chemin à accomplir en faisant une analyse de la maturité de l'entreprise par rapport au règlement, et en codifiant toutes les pratiques qui existaient et qui impliquaient un nouveau mode opératoire sur la protection des données", a témoigné Nicolas Bertrand, CIL de l'éditeur Voluntis, spécialisé dans le développement de logiciels d'accompagnement thérapeutique (voir dépêche du 27 janvier 2017).

    Formé à la gestion des risques à l'institut lillois d'ingénierie de la santé, Nicolas Bertrand a intégré Voluntis en 2014 en tant que chef de projet qualité, et a été nommé CIL en février 2017.

    Parmi les défis posés par le RGPD, il a souligné la difficulté à trouver des référentiels sur les nouvelles modalités de protection des données. "En développant des logiciels d'accompagnement pour les maladies chroniques, nous sommes sur un positionnement assez novateur et souvent, quand je me pose une question sur le traitement des données, la réponse n'existe pas encore", a-t-il souligné.

    Contre certaines idées reçues, c'est du côté des Etats-Unis que Frédéric Varnieu trouve des solutions pour Resmed France, dans le cadre d'un groupe de travail international mis en place par la société pour préparer le RGPD. "Beaucoup de choses ont déjà été faites aux Etats-Unis et les équipes américaines sont très à l'écoute afin d'adapter et d'aligner les procédures des différents pays concernant la gestion des données personnelles", a-t-il expliqué.

    Selon lui, "le plus important est de créer la gouvernance des données qui n'existait pas jusqu'ici dans les entreprises".

    Du côté du laboratoire pharmaceutique Roche, Mireille Violleau a mis en avant l'accompagnement des CIL réalisé par la Commission nationale informatique et libertés (Cnil) depuis plusieurs années, qui s'est accentué avec l'arrivée du RGPD et la publication de plusieurs "lignes directrices" sur le site de l'autorité de régulation.

    Prenant l'exemple du concept de "privacy by design", elle a expliqué que "ce n'est pas le mot qui compte" mais "le fait de se dire que les collaborateurs doivent venir nous voir au tout départ de leur projet, pour qu'on leur donne nos recommandations". "On l'a parfois même déjà fait sans s'en rendre vraiment compte!", a-t-elle remarqué.

    La sensibilisation de l'ensemble des salariés des industriels est un autre défi posé aux CIL, pris en tenailles entre les rôles d'accompagnateur et de gendarme des projets portés par les différents services des industries de santé, qu'ils peuvent arrêter net s'ils estiment qu'ils ne respectent pas la réglementation sur les données personnelles.

    Un "facilitateur" en quête de visibilité

    Pour Nicolas Bertrand chez Voluntis, le fait de travailler dans la santé, secteur particulièrement réglementé, permet de profiter d'une "culture de la conformité déjà existante". "Un changement s'opère chez les clients comme en interne sur l'intérêt porté à la donnée et à sa sécurité", a-t-il également observé.

    Mireille Violleau a pour sa part estimé que cette culture du réglementaire est à double-tranchant. "Les gens ont l'habitude de s'entendre dire: 'attention il y a une réglementation', mais moi j'arrive avec une couche supplémentaire de contraintes, et une autorité de contrôle, la Cnil, dont on parlait encore peu auparavant", a-t-elle mis en avant.

    D'où la nécessité pour le CIL/DPO de se présenter comme un "coach" de la protection de la donnée, "capable d'emmener les collaborateurs sur le sujet pour qu'ils aient envie de l'intégrer à leurs projets", a-t-elle poursuivi.

    "Il faut être là pour apporter des solutions et réfléchir ensemble à la conduite des projets. Si l'on prend la posture du juriste qui est simplement là pour dire la loi, ça ne fonctionnera pas très longtemps", a-t-elle ajouté.

    Même son de cloche chez Resmed France, où Frédéric Varnieu a estimé qu'"il faut basculer d'un rôle de gendarme à celui de partenaire et de facilitateur des projets". "Avoir un même CIL au fil des années aide à faire changer les pratiques", a-t-il relevé en ce sens.

    C'est aussi l'impératif de "visibilité" et de "légitimité" qui amènera les DPO, contrairement à certains CIL, à reporter directement à la direction générale de l'entreprise, ou du site concerné. C'est déjà le cas pour Frédéric Varnieu chez Resmed France et pour Nicolas Bertrand chez Voluntis.

    Chez Roche, Mireille Violleau est pour l'instant toujours rattachée au pôle "risques et compliance" du laboratoire, mais des réflexions sont en cours pour réorganiser la structure. "Roche est en train de mettre en place une organisation chapeau au niveau monde sur la protection des données. Ce qui est sûr, c'est que les services informatiques seront bien séparés du DPO", a-t-elle relayé.

    "Période instable"

    Autre obstacle dans le parcours du combattant des CIL/DPO: la discussion cette année d'un projet de loi relatif à la protection des données personnelles, qui doit adapter le droit français au RGPD et qui va parfois plus loin que le règlement, par exemple sur l'utilisation du NIR (numéro de sécurité sociale) dans les traitements de données (voir dépêche du 4 janvier 2017).

    Les CIL interrogés par TICpharma ont fait part de leurs interrogations sur ce projet, pointant un manque de cohérence entre les différents textes, alors que le RGPD a laissé des marges de manœuvre aux Etats-membres.

    Frédéric Varnieu a épinglé "une nouvelle loi bizarre qui n'a pas suivi la structure du règlement", tandis que Mireille Violleau a jugé que le texte "embrouille un peu l'esprit" et fait entrer les entreprises "dans une période instable".

    Pour rester au fait des dernières évolutions législatives, et peser dans le débat, la CIL de Roche a conseillé à ses homologues d'intégrer les organisations comme le Leem ou l'AFCDP. "Finalement quand on est DPO, on est un peu seul dans sa structure. L'apport des pairs est primordial. Il faut avoir un réseau de personnes sur qui on peut compter, avec qui on peut échanger", a-t-elle appuyé.

    Chaque année, l'AFCDP organise une "Université des CIL", devenue en 2018 "Université des DPO", afin d'animer ce réseau et partager les dernières actualités autour du métier. La prochaine édition aura lieu le mercredi 24 janvier, à la Maison de la Chimie à Paris.

    En attendant, les CIL et futurs DPO ont encore du pain sur la planche d'ici mai pour consolider leur position dans les entreprises, préparer l'entrée en vigueur du RGPD et porter la bonne parole sur les règles de traitement des données personnelles.

    Raphael Moreaux
    raphael.moreaux@apmnews.com

    À suivre

    Les GAFAM, nouveaux partenaires des industriels pour l’accès aux données de santé

    Politique

    Avant-projet de loi de santé: l'INDS va céder la place au Health Data Hub

    PARIS (TICpharma) - L'avant-projet de loi "relatif à l'organisation et à la transformation du système de santé", actuellement soumis à consultation, prévoit la transformation de l'Institut national des données de santé (INDS) en "Plateforme des données de santé" dont les missions seraient élargies, traduisant ainsi la mise en place du Health Data Hub.

    0 631

    Acteurs

    CES: un an après, trois start-up d'e-santé témoignent

    PARIS (TICpharma) - Alors que le Consumer Electronics Show (CES) 2019 bat son plein, TICpharma vous propose de revenir sur les actualités de MirambeauAppCare, Team8 et Koovea, trois start-up d'e-santé que nous vous présentions à l'occasion de l'édition 2018 de la grand-messe de la tech.

    0 621

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    5 + 9 =