Comment le RGPD a été mis en place chez Apria R.S.A

Article paru le 4 janvier 2019 | Partager sur les réseaux sociaux

Classé dans : Newsletter Santé RGPD

Interview de Eric Charles, RSSI, Apria R.S.A

Quel a été l’accueil du RGPD par les responsables Apria R.S.A dans un contexte de transformation et d’externalisation du SI ?

Il a été en deux temps :

- la crainte d’une nouvelle règle contraignante constituant un frein à l’innovation,

- l’opportunité de valoriser auprès de nos partenaires l’attention particulière que nous avons toujours apporté à la protection des données dont la gestion nous est déléguée.

Concrètement, cela s’est traduit par un soutien immédiat de la direction générale qui s’est naturellement tournée vers le contrôle interne et le RSSI pour lancer les actions nécessaires à la mise en conformité au RGPD.

Quelle a été la démarche d’Apria R.S.A en vue de votre mise en conformité au RGPD ?

La direction générale a rapidement nommé un « comité RGPD » multidisciplinaire (RSSI, Responsable qualité et maîtrise des risques, Responsable Métier) pour identifier les enjeux pour Apria R.S.A et, en nous appuyant sur des experts externes, définir un premier plan d’action pour :

- effectuer un premier diagnostic simple de notre conformité au RGPD,

- arbitrer entre les scénarios possibles quant à la nomination d’un DPO.

Ces travaux ont abouti à la prise de deux mesures fortes pour gérer notre conformité au RGPD :

- la nomination d’un DPO externe rattaché directement à la direction générale (Nosing Doeuk de la société mc²i Groupe)

- la mise en place d’une équipe projet, composée d’experts RGPD de mc²i groupe et juridiques en appui au comité RGPD pour piloter et suivre opérationnellement la mise en conformité d’Apria R.S.A.

Quels premiers enseignements tirez-vous depuis le lancement de votre projet de mise en conformité au RGPD ?

Les moyens (financiers et RH) alloués au projet, nous ont permis, via les chantiers d’inventaire des traitements et d’analyse des risques sur la vie privée pilotés avec mc²i Groupe, d’améliorer notre connaissance des services concernés par le RGPD et des mesures de sécurité de chacun d’entre eux. Nous avons ainsi augmenté le niveau de maîtrise :

- de nos dispositifs de sécurité,

- du suivi des plans d’action leur étant associés.

Ce projet a permis de conforter un choix stratégique d’entreprise qui avait été pris : transformer et externaliser notre SI afin notamment de passer en hébergement HDS (Hébergement de Données de Santé) pour garantir à nos clients et prospects le plus haut niveau de protection de leurs données sensibles et les rassurer sur notre capacité à gérer les risques SI liés au RGPD.

Comment articulez-vous le lien entre DPO, RSSI, et Chefs de Projet ?

L’articulation du lien entre RSSI et DPO est au centre de nos préoccupations pour :

- en interne, accompagner nos chefs de projet dans la gestion de notre conformité au RGPD,

- à l’externe, gérer les demandes de nos clients en lien avec le RGPD.

C’est pourquoi l’organisation en place s’appuie sur deux axes majeurs :

- un guichet unique centralisant le recueil des demandes en lien avec le RGPD et la coordination,

- un point de suivi hebdomadaire entre le DPO, le RSSI et la Responsable Qualité pour instruire et arbitrer sur ces demandes.

Quelles attentes de sécurisation du SI vous ont relayé vos clients en lien avec la protection des données personnelles ?

Nous avons globalement devancé les attentes de nos clients via notre dispositif évoqué ci-dessus et une campagne de communication régulière sur l’avancement de nos chantiers de mise en conformité.
Globalement, les attentes exprimées par nos clients peuvent être regroupées en deux catégories :

- les demandes officielles engagées au titre de leur qualité de Responsables de Traitements,

- la mise à jour de leurs campagnes de contrôle prenant en compte les exigences RGPD.

Quelles attentes de sécurisation du SI avez-vous exprimées auprès de vos fournisseurs en lien le RGPD ?

Nos attentes vis-à-vis de nos fournisseurs se sont concentrées sur trois axes :

- mettre à jour les contrats pour y intégrer la prise en compte des exigences RGPD,

- identifier les sujets prioritaires en vue de leur mise en conformité,

- valider leur démarche de mise en conformité. Ces premières actions nous ont permis d’identifier les fournisseurs à surveiller (ex : manque de proactivité pour répondre à nos sollicitations, manque de maîtrise du plan de mise).

Partagez cet article sur les réseaux sociaux