« RGPD : les ESMS ne partent pas de zéro »

Odynéo est une association de familles dédiée à la prise en charge du handicap neuromoteur, implantée dans l’Ain, le Jura et le Rhône. Ses 1100 salariés accompagnent plus de 1000 enfants, adolescents et adultes au sein de 35 établissements. La structure a conçu dès 2018 sa mise en conformité avec le Règlement européen de protection des données (RGPD) comme un projet d’amélioration de la qualité. C’est d’ailleurs sa chargée de mission « Qualité et risques », Marie Hortala, qui pilote celui-ci avec la casquette de déléguée à la protection des données (ou DPO – Data protection officer).

Comment Odynéo a-t-elle abordé l’arrivée du RGPD ?

Nous l’avons anticipé avant son entrée en vigueur, en nous interrogeant sur ses effets pour notre structure. Nous croulions sous une avalanche de propositions de prestations et d’outils pour nous accompagner et il était difficile d’y voir clair. J’ai été désignée comme DPO dès mars 2018, ce dossier s’ajoutant à ceux que je pilote comme chargée de mission « Qualité et risques ». Je ne suis pas juriste, mais spécialisée en gestion de projets. Nous avons donc envisagé cette obligation règlementaire comme un projet qualité, et je m’y suis plongée avec l’aide des outils de la Cnil.

Par quoi avez-vous commencé ?

Nous avons défini un plan d’action avec la direction générale et la direction des systèmes d’information (DSI), en suivant les étapes indiquées par la Cnil. La première étant le recensement de nos traitements de données. Avec plus de 1000 bénéficiaires accompagnés dans 35 établissements, 1100 salariés, 550 adhérents, les bénévoles, donateurs et fournisseurs, on imagine le volume de données et de traitements. Nous avons choisi d’agir en priorité sur les traitements les plus sensibles, concernant les données médicales et les habitudes de vie des personnes accompagnées, qui relèvent de leur vie privée.

C’est déjà un chantier énorme…

Les grandes lois concernant le secteur médico-social, comme les pratiques des professionnels, intègrent déjà la protection des données personnelles. Nous ne partons pas de zéro. Le RGPD est l’occasion de valoriser ces pratiques. N’en faisons pas une contrainte, mais un levier de qualité intéressant, même si, bien sûr, documenter et formaliser ces pratiques au sein 

du registre des traitements est long et compliqué. C’est surtout un processus continu, évolutif, au fil de la vie des structures. Mais l’esprit du RGPD est de ne pas figer les pratiques, de rester vivant, comme dans les démarches d’amélioration continue.

Comment exercez-vous votre mission de DPO ?

Mon rôle est de piloter la mise en conformité de façon transversale, en lien avec les services. J’ai commencé par le périmètre proche –DSI, DRH, DAF – et je procède par cercles concentriques. On a ainsi mis à jour la charte informatique pour préciser la gestion des accès. Les prochaines étapes se feront avec les équipes de terrain dans les structures.

Les outils de la Cnil et de l’Anap sont fiables et utiles, et je suis également des webinaires pour me former, avec l’Anssi  par exemple, sur la sécurité informatique. Ce n’est pas mon métier, mais c’est l’intérêt du poste que de découvrir de nouveaux domaines.

Où en êtes-vous après trois ans ?

Nous sommes toujours au milieu du gué ! Ainsi les collaborateurs de nos établissements ne me connaissent pas comme DPO, mais la direction commence à m’interpeller sur des questions précises, comme la conformité d’un sous-traitant : signe que le sujet existe et que je suis repérée. Dans nos structures, je vais surtout sensibiliser et « chercher la petite bête » : toutes ces habitudes auxquelles on ne fait plus attention, notamment en prenant des notes manuscrites. On pense à l’informatique – qui représente 80 % des données – mais on oublie souvent les carnets qui traînent, les listes imprimées, etc. Certains professionnels pourraient éventuellement être formés pour devenir relais de la démarche sur le terrain.

Quel conseil donneriez-vous à un ESMS qui se lance dans le chantier « RGPD » ?

Je trouve intéressant de commencer par recenser les bonnes pratiques dans sa structure. Ça fait du bien de constater qu’on a déjà mis en place de bonnes habitudes, et s’appuyer sur l’existant rassure. Le RGPD est une l’occasion de mener une sorte d’audit interne, de découvrir le fonctionnement de son établissement ou de son service, mais aussi le travail et les contraintes qui pèsent sur les collègues. Il faut discuter avec eux et renforcer l’articulation entre direction et établissements. Finalement, c’est un bon processus d’amélioration de la qualité.