DELEGUE A LA PROTECTION DES DONNEES (DPO) DU CHU DE BORDEAUX - H/F

DELEGUE A LA PROTECTION DES DONNEES (DPO) DU CHU DE BORDEAUX - H/F

CDI

Descriptif du poste :

Le DPO a pour mission principale d'assurer et d'organiser la conformité en matière de protection des données pour le compte du responsable de traitement, sur tout le périmètre des activités du CHU de Bordeaux.
Il veille à la sécurité et à la protection des données personnelles des personnes physiques concernées par tout traitement de ces données, dans le respect de leurs droits et libertés tel que défini par la réglementation, et doit en particulier :
 
S'assurer de la conformité du CHU de Bordeaux avec le cadre législatif et règlementaire.
Coordonner l'inscription au Registre général du CHU de Bordeaux des traitements mis en uvre.
Contribuer à élaborer et déployer des outils de conformité à destination des agents.
Être le support pour toutes questions relatives à mise en uvre du cadre règlementaire applicable aux traitements de données à caractère personnel.
Coordonner les réponses aux demandes d'exercice de droits des patients concernés.
Accompagner et suivre les études d'impact sur la protection des données.
Participer, notamment avec le RSSI et l'autorité d'homologation, aux dossiers d'homologation de sécurité.
Contribuer à la négociation des clauses contractuelles RGPD avec les partenaires impliqués dans les recherches avec le CHU de Bordeaux.
Être le point de contact de la CNIL sur l'ensemble des problématiques liées à l'utilisation des données au CHU de Bordeaux.
Participer aux groupes de travail nationaux sur la réutilisation des données de santé.
Le DPO du CHU de Bordeaux est assisté par un DPO adjoint (en cours de recrutement) en charge de la protection des données relatives au domaine de la recherche et de l'innovation
Principales activités
La mission principale du DPO est de participer à la mise en conformité du CHU de Bordeaux avec le cadre légal relatif aux données personnelles. Cet objectif est atteint au travers des missions décrites ci-après qui sont celles du DPO.
Activité 1 : Informer, sensibiliser, conseiller et former
Le DPO participe aux actions visant à sensibiliser, et le cas échéant à former, la direction et les agents aux règles à respecter en matière de protection des données à caractère personnel ;
Il contribue à l'élaboration des documents et supports d'information à destination des personnes concernées en ce qui concerne les traitements relevant du domaine recherche/innovation (actions de formation et d'information, brochures explicatives, communiqués diffusés sur Intranet, etc.) ;
Il s'assure que les personnes concernées sont informées des traitements opérés impliquant leurs données personnelles, ainsi que de leurs droits ;
Il apporte des réponses et prodigue des conseils, sur toutes questions des personnels en ce qui concerne le respect de la protection des données à caractère personnel et de la législation y afférente ;
Il participe, aux réunions, dont les comités de pilotage en lien avec des sujets traitant de la protection des données à caractère personnel et de la législation y afférente ;
Il élabore et donne des guidelines sur une politique contractuelle acceptable et non-acceptable pour le CHU de Bordeaux en matière de protection des données à caractère personnel;
Activité 2 : Tenue du registre des traitements
Le DPO est en charge de la tenue du registre de l'ensemble des traitements mis en uvre relevant de la réglementation en matière de protection des données et du respect des droits et libertés des personnes physiques ;
Il coordonne et veille à l'alimentation et à l'inscription dans le Registre des traitements de l'ensemble des traitements, quel qu'en soit les moyens, le cadre et les sources. Il apporte notamment conseil et assistance aux formalités préalables pour l'ensemble des traitements qui nécessitent une déclaration auprès de l'Autorité de contrôle (CNIL) et en assure le suivi (dispense de déclaration, autorisation ou avis préalable) ;
Activité 3 : Contrôle de l'application de la loi en matière de protection des données
Le DPO apporte assistance et conseil à la Direction générale ; il propose des actions nécessaires pour l'application des évolutions légales et assure leur suivi en lien étroit avec les Directions concernées;
Il veille au respect de la réglementation et des règles internes en matière de protection des données (répartition des responsabilités, sensibilisation et formation du personnel participant aux opérations de traitement, audits), et notamment lors de la mise en uvre de nouveaux traitements (sous-traitance, conventions, partenariats, projets), pour lesquels il doit être consulté préalablement (principes de protection des données personnelles « par défaut » et « dès la conception ») [1];
Il émet à cette occasion toute recommandation, réalise toute étude nécessaire, valide les clauses correspondantes.
Il élabore la politique de protection des données à caractère personnel élaborée, et en informe les responsables de traitements et Directions concernées ;
Il veille et contrôle l'identification, l'analyse et l'évaluation des risques, notamment par l'accompagnement et la réalisation d'analyses d'impact (PIA AIPD[1]), des traitements, ainsi que leur réactualisation ;
Il assiste le responsable des traitements dans la mise en uvre du recueil et de la preuve de l'expression du consentement ou de la non opposition des personnes concernées ;
Il veille à l'effectivité d'une démarche responsable en matière de protection des données personnelles (« Redevabilité » ou « Engagement responsable »[1]) ;
Il aide, conseille et fournit des recommandations/guidelines aux responsables de traitements, en cas de transferts de données hors UE sur la mise en place de règles d'entreprises contraignantes ou de clauses contractuelles types approuvées par les autorités de contrôle ;


Activité 4 : Traitement des demandes externes
Le DPO fait office de point de contact pour l'autorité de contrôle , y compris la consultation préalable en cas d'analyse d'impact indiquant un risque élevé pour les droits et libertés des personnes physiques[1], et mène des consultations, le cas échéant, sur tout autre sujet du domaine d'intérêt ;
Il veille au dispositif d'expressions des demandes et réclamations adressées par les personnes concernées par les traitements, ainsi qu'à leur traçabilité, et selon leur nature les instruit ou les transmet aux services compétents (notamment dans le cadre du droit d'accès, de rectification et d'opposition). Il apporte aide et conseil aux Directions pour les réponses à apporter concernant notamment les droits à l'oubli (effacement)[1] et à la portabilité ;
Il élabore une politique d'établissement en ce qui concerne le traitement des violations de données à caractère personnel, ainsi que pour sa diffusion auprès des Directions concernées et en assure le suivi et le respect ;
Activité 5 : Documentation de l'activité
Le DPO assure la rédaction du bilan annuel des actions menées au titre de ses fonctions avec l'aide du DPO adjoint pour l'activité de recherche/innovation;
Il réalise une veille juridique permanente sur les questions liées à la protection des données personnelles;
Il contribue à la diffusion de l'information correspondante au sein du CHU ;
Il veille à documenter l'ensemble des caractéristiques des traitements mis en uvre, notamment les traitements à risque nécessitant de conduire une analyse d'impact (caractériser les traitements, identifier les risques pour les droits et libertés des personnes, évaluer leur probabilité de survenue et leur gravité, prendre les mesures appropriées) ;
Activité 6 : Alerte du responsable de traitement
Le DPO alerte le responsable de traitement et la Direction Générale le cas échéant de l'existence de manquements à la réglementation ;
Il assure la notification des failles et des violations de sécurité aux autorités et personnes concernées.
Mission(s) spécifique(s) / Particularités du poste


Pour une période transitoire au moment de la prise de poste, il est prévu d'organiser un tuilage avec le DPO actuellement en poste jusqu'au départ en retraite de ce dernier.
Le poste de DPO est placé sous la responsabilité hiérarchique de la Directrice Qualité Gestion ds Risques.
Le DPO ne reçoit aucune instruction en ce qui concerne l'exercice de ses missions conformément à la réglementation qui encadre les activités d'un délégué à la protection des données.
Le DPO est soumis au secret professionnel et à une obligation de confidentialité en ce qui concerne l'exercice de ses missions, conformément à la réglementation.
Les fonctions ou activités exercées concurremment par le DPO ne doivent pas être susceptibles de provoquer un conflit d'intérêts avec l'exercice de sa mission.
Le DPO encadre les activités du DPO adjoint en charge des données de recherche/innovation avec lequel il doit se coordonner et assurer une continuité d'activité.
Il participe aux groupes représentants les DPO au niveau local ou national (Réseau des DPO Hospitaliers CHU et GHT, AFCDP), ou tout groupe d'intérêt relatif à la sécurité et à la protection
des données à caractère personnel.
Par ailleurs, au regard des exigences RGPD, il est le correspondant pour toutes les questions relatives à la protection des données des partenaires internes ou externes du CHU.
Toujours au regard des exigences du RGPD, il contribue à définir l'encadrement des activités de soins, de gestion, de recherches et d'utilisation secondaire des données en lien avec les partenaires internes et externes du CHU de Bordeaux.

Profil recherché :

Poste ouvert aux titulaires et aux contractuels, en contrat à durée indéterminée.
Juriste, responsable sécurité du système d'information, médecin ... ayant au moins cinq ans d'expérience dans le domaine de la protection des données et/ou de la sécurité des systèmes d'information et familier du milieu hospitalier.
Formation initiale Bac + 5, de niveau ingénieur, ou son équivalent universitaire dans la filière juridique. Connaissances en statistiques, big data appréciées.
Une formation spécialisée DPO est requise obligatoirement (voir liste des organismes agrées sur la CNIL).
Exemples de formations :
Mastère management et protection des données à caractère personnel (ISEP, Mines-Télécom)
DU délégué à la protection des données Data Protection Officer (CFP/Université Paris II, Université Paris Nanterre).
Certificat Data Protection Officer (Sciences Po, CNAM)
Qualités requises:
Bienveillance, pédagogie, intégrité, rigueur, motivation, savoir-faire et expertise, esprit de synthèse, esprit d'équipe, organisation


contact : Valérie ALTUZARRA Directrice du Pôle Qualité, Gestion des risques, Prévention Parcours

Groupe hospitalier Pellegrin
Place Amélie Raba-léon
33076 Bordeaux

Voir la fiche de l’établissement