Profil de DPO : Alexandra Turbellier – DPO au sein de la Fondation Santé Service

Nous avons eu le privilège d’interviewer Alexandra Turbellier qui s’est confiée sur son parcours et sur sa vision du métier de DPO au sein de la Fondation Santé Service.

– Comment sensibiliser les personnes au RGPD au sein du principal opérateur d’hospitalisation à domicile en France et en Europe ?

– En quoi la double fonction d’attachée à la Direction Générale et de DPO est-elle un atout ?

– Quels sont les enjeux liés à la conformité des données à caractère personnel dans une organisation qui gère des données sensibles ?

Parce que l’expérience d’un Délégué à la Protection des Données peut en inspirer d’autres, parce que nous croyons que le partage des bonnes pratiques permet aux organisations de gagner du temps et à la conformité de gagner du terrain, chaque mois, nous donnons la parole à l’un d’entre eux.

Pouvez-vous revenir sur votre parcours qui vous a amenée à être DPO de votre organisation ? 

J’ai fait toute ma carrière dans le domaine de la Santé, que ce soit dans de grands groupes hospitaliers ou encore à l’Agence Régionale de Santé. J’ai rejoint la Fondation Santé Service il y a maintenant bientôt 4 ans en tant qu’attachée à la Direction Générale.

De par mon expérience dans ce secteur d’activité et ma vision transversale de l’organisation de la Fondation, le Directeur Général m’a naturellement sollicitée pour occuper le poste de DPO en 2018. Je partage depuis mon temps de travail entre mes fonctions au sein de la Direction Générale et celles de DPO dans une structure de 1 200 collaborateurs.

En termes d’organisation : comment avez-vous pu identifier et mobiliser des relais en interne ? 

Notre structure est particulière avec notamment des entités géographiquement éloignées dans toute l’Ile-de-France. Nous disposons d’antennes hospitalières situées dans 27 établissements de la région, avec des infirmières coordinatrices qui recueillent toutes les informations administratives et médicales nécessaires à la prise en charge de nos patients à leur domicile, de trois pôles de soins qui couvrent chacun une zone géographique de la région et qui prend en charge les patients qui y sont domiciliés, sans oublier notre propre pharmacie à Villeneuve-la-Garenne et notre siège à Levallois-Perret. Au vu du temps alloué à mes fonctions de DPO, et de l’éparpillement géographique de notre structure, il m’est vite apparu nécessaire de mettre en place une gouvernance en structurant un réseau de référents opérationnels par métier au sein de chaque site. Pour ce faire, j’ai monté de nombreux ateliers avec chacune des directions fonctionnelles, qui ont eu pour objectif de m’aider à construire notre registre de traitement. Très naturellement, au travers de ces ateliers, des référents opérationnels ont été identifiés dans chaque domaine d’activité. Sur les sites de soins, par exemple, j’ai sollicité en parallèle des personnes de la Direction, des soins et de la qualité ainsi que des responsables administratives. Cette collaboration n’a été possible que parce que chacun de ces relais a choisi d’accepter de travailler à mes côtés. Nous réussissons à mener un vrai travail d’équipe avec ces 23 personnes qui sont nos interlocuteurs privilégiés sur le terrain. Je réunis tous ces référents deux fois par an. Leur mission consiste à remonter l’information sur la mise en place d’un nouvel outil ou d’un nouveau traitement de données sur leur site, d’identifier et localiser les données à caractère personnel au sein de leur direction, s’assurer que seules les données strictement nécessaires sont collectées et traitées…  Ils doivent aussi s’assurer de la mise en œuvre des durées de conservation et d’archivage et de la sécurisation des informations recueillies auprès des patients mais aussi auprès de nos collaborateurs.  

Je collabore également de façon étroite avec le RSSI et le DSI et cette collaboration a été renforcée avec la mise en place des analyses d’impact (AIPD). Nous avons d’ailleurs décidé de les associer à mon Copil (composé des représentants de chaque direction) et ainsi créé une instance appelée « Copil protection et sécurisation des données », qui se réunit deux fois par an, et m’aide à définir la stratégie. Enfin, je travaille beaucoup avec notre responsable juridique, afin notamment de s’assurer que les contrats/conventions passés avec nos prestataires extérieurs respectent bien les normes requises en matière de sécurité, de confidentialité et de protection des données personnelles traitées.

Quels sont les freins que vous avez pu rencontrer et comment les avez-vous surmontés ?

Dès lors que nous avons une certification en tant qu’établissement de santé, avec la Haute Autorité de Santé, les équipes soignantes sont bien sensibilisées, depuis toujours, sur la confidentialité et la protection des données. Je n’ai rencontré que peu de freins dans cette démarche. Toutefois, le RGPD était initialement ressenti comme une réglementation contraignante et un frein dans la réalisation de futurs projets au sein de la Fondation. J’ai compris immédiatement qu’il fallait que j’aie le support des directions fonctionnelles pour que le message puisse être relayé ensuite sur le terrain au sein des équipes. J’ai donc très rapidement monté mon comité de pilotage qui réunissait l’ensemble des directions pour leur montrer que j’étais à leurs côtés afin de les aider dans la mise en œuvre de cette conformité. Il fallait que je démontre à mes interlocuteurs qu’ils avaient, en face d’eux, quelqu’un qui disposait d’une solide expertise et qu’ils auraient donc peu de surcharge de travail.

Le fait que je sois rattachée à la direction générale a joué un rôle primordial. Cela me permet d’avoir une parfaite connaissance des projets, de pouvoir intégrer plus facilement le privacy by design et apporter des préconisations en amont, d’avoir ce lien privilégié avec toutes les directions et de m’être fait accepter.

L’argument financier et la réputation de notre établissement en cas de non-conformité ont

été également deux arguments qui ont eu un fort impact sur eux surtout pour une Fondation qui traite des données sensibles comme les données de santé.

Pour être crédible, j’ai souhaité leur montrer que le DPO faisait fonction de pilier, de chef d’orchestre, était là, présent pour les aider. J’ai donc formalisé moi-même, à travers la mise en place des ateliers, chaque fiche de traitement. Alors que la fondation connaît une forte activité, les sujets de préoccupation sont multiples et le temps manquait à mes interlocuteurs pour s’occuper du RGPD. Ainsi, j’arrivais auprès d’eux avec un travail abouti, qu’il ne leur restait qu’à valider. Cela m’a permis d’obtenir leur confiance et leur collaboration par la suite, notamment dans la mise en œuvre des AIPD. Aujourd’hui, je dirais que le RGPD est rentré dans les mœurs, l’organisation est plus fluide et on me sollicite en amont des projets. 

« Le pari est gagné et je suis convaincue qu’une des clés de cette réussite tient au fort investissement du DPO au début du projet, avec un grand soutien de la direction générale. »

Pourquoi avez-vous choisi la solution Adequacy ?

 Nous disposions au départ d’un outil qui ne répondait pas suffisamment aux exigences requises pour mener à bien notre conformité. J’ai donc sollicité plusieurs prestataires pour changer d’outil. Infhotep m’avait accompagnée dans la mise en œuvre initiale du RGDP et m’avait aidée à construire mon registre de traitement à travers l’organisation des ateliers dont j’ai déjà parlé. Quand j’ai voulu changer d’outil, la solution Adequacy m’est apparue comme étant celle qui correspondait le plus à nos attentes. L’outil est clair, très intuitif et surtout très complet. Il regroupe en un seul et même endroit tableau de bord, plan d’action et AIPD. Enfin, il me permet de faire un état des lieux complet de l’avancée de notre mise en conformité. La solution Adequacy est également très appréciée par l’ensemble de nos collaborateurs pour sa facilité d’utilisation.

L’équipe d’Infhotep propose un vrai service d’accompagnement et dispose de compétences spécifiques et pointues, notamment dans le domaine de la santé. Elle s’est toujours montrée à l’écoute et a su faire évoluer l’outil et s’adapter à nos besoins spécifiques.

Quelle est votre vision du métier de DPO et les enjeux à venir concernant la conformité des données à caractère personnel dans une organisation comme la vôtre ? 

Le RGPD a été une réelle opportunité pour les organisations. Il a permis d’uniformiser les principes de protection des données, de renforcer le droit des personnes, et pour notre domaine, celui des patients. Il a aussi permis de responsabiliser nos responsables de traitement qui n’avaient pas forcément conscience de l’importance de protéger nos données plus qu’elles ne l’étaient précédemment. Le DPO occupe donc une place primordiale dans une structure comme la nôtre, qui gère des données sensibles.

A terme, je vois le DPO travailler conjointement avec le RSSI et le juriste en formant un véritable trio indissociable. Je suis convaincue que son rôle va prendre de l’ampleur, et il le faut ! 

« Les organisations vont de plus en plus avoir besoin de son expérience, de sa connaissance des dossiers, du lien qu’il permet de faire avec l’ensemble des directions. »

Il me semble que la fonction de DPO, tout comme celle de Responsable de la Sécurité des Systèmes d’Information, sera de plus en plus au cœur de l’entreprise et de son management. Que ce soit pour de nouvelles applications ou de nouveaux services, tout, peu ou prou, va tourner autour des systèmes d’information et des nouvelles technologies.

Le rôle du DPO va se renforcer, pour cadrer l’utilisation des données personnelles dès les premières réflexions engagées autour d’un projet ou d’une évolution de service, mais aussi, de plus en plus, pour challenger le RSSI.

« Plus la relation de confiance créée dès le départ sera solide, mieux nous pourrons faire face en cas de crise. »

Nous remercions Alexandra Turbellier pour l’entretien qu’elle nous a accordé. Vous pouvez suivre et contacter Alexandra directement via son profil Linkedin.