Description
Le DPO a pour mission principale d’assurer et d’organiser la conformité en matière de protection des données pour le compte du responsable de traitement, sur tout le périmètre des activités du CHU de Bordeaux.
Il veille à la sécurité et à la protection des données personnelles des personnes physiques concernées par tout traitement de ces données, dans le respect de leurs droits et libertés tel que défini par la réglementation, et doit en particulier:
* S’assurer de la conformité du CHU de Bordeaux avec le cadre législatif et règlementaire.
* Coordonner l’inscription au Registre général du CHU de Bordeaux des traitements mis en œuvre.
* Contribuer à élaborer et déployer des outils de conformité à destination des agents.
* Être le support pour toutes questions relatives à mise en œuvre du cadre règlementaire applicable aux traitements de données à caractère personnel.
* Coordonner les réponses aux demandes d’exercice de droits des patients concernés.
* Accompagner et suivre les études d’impact sur la protection des données.
* Participer, notamment avec le RSSI et l’autorité d’homologation, aux dossiers d’homologation de sécurité.
* Contribuer à la négociation des clauses contractuelles RGPD avec les partenaires impliqués dans les recherches avec le CHU de Bordeaux.
* Être le point de contact de la CNIL sur l’ensemble des problématiques liées à l’utilisation des données au CHU de Bordeaux.
* Participer aux groupes de travail nationaux sur la réutilisation des données de santé.
Le DPO du CHU de Bordeaux est assisté par un DPO adjoint (en cours de recrutement) en charge de la protection des données relatives au domaine de la recherche et de l’innovation.
Principales activités
La mission principale du DPO est de participer à la mise en conformité du CHU de Bordeaux avec le cadre légal relatif aux données personnelles. Cet objectif est atteint au travers des missions décrites ci-après qui sont celles du DPO.
Activité 1: Informer, sensibiliser, conseiller et former
* Le DPO participe aux actions visant à sensibiliser, et le cas échéant à former, la direction et les agents aux règles à respecter en matière de protection des données à caractère personnel;
* Il contribue à l’élaboration des documents et supports d’information à destination des personnes concernées en ce qui concerne les traitements relevant du domaine recherche/innovation (actions de formation et d’information, brochures explicatives, communiqués diffusés sur Intranet, etc.);
* Il s’assure que les personnes concernées sont informées des traitements opérés impliquant leurs données personnelles, ainsi que de leurs droits;
* Il apporte des réponses et prodigue des conseils, sur toutes questions des personnels en ce qui concerne le respect de la protection des données à caractère personnel et de la législation y afférente;
* Il participe aux réunions, dont les comités de pilotage en lien avec des sujets traitant de la protection des données à caractère personnel et de la législation y afférente;
* Il élabore et donne des guidelines sur une politique contractuelle acceptable et non-acceptable pour le CHU de Bordeaux en matière de protection des données à caractère personnel;
Activité 2: Tenue du registre des traitements
* Le DPO est en charge de la tenue du registre de l'ensemble des traitements mis en œuvre relevant de la réglementation en matière de protection des données et du respect des droits et libertés des personnes physiques;
* Il coordonne et veille à l’alimentation et à l’inscription dans le Registre des traitements de l’ensemble des traitements, quel qu’en soit les moyens, le cadre et les sources. Il apporte notamment conseil et assistance aux formalités préalables pour l’ensemble des traitements qui nécessitent une déclaration auprès de l'Autorité de contrôle (CNIL) et en assure le suivi (dispense de déclaration, autorisation ou avis préalable);
Activité 3: Contrôle de l’application de la loi en matière de protection des données
* Le DPO apporte assistance et conseil à la Direction générale ; il propose des actions nécessaires pour l’application des évolutions légales et assure leur suivi en lien étroit avec les Directions concernées;
* Il veille au respect de la réglementation et des règles internes en matière de protection des données (répartition des responsabilités, sensibilisation et formation du personnel participant aux opérations de traitement, audits), et notamment lors de la mise en œuvre de nouveaux traitements (sous-traitance, conventions, partenariats, projets…), pour lesquels il doit être consulté préalablement (principes de protection des données personnelles « par défaut » et « dès la conception »). Il émet à cette occasion toute recommandation, réalise toute étude nécessaire, valide les clauses correspondantes.
* Il élabore la politique de protection des données à caractère personnel élaborée, et en informe les responsables de traitements et Directions concernées;
* Il veille et contrôle l’identification, l’analyse et l’évaluation des risques, notamment par l’accompagnement et la réalisation d’analyses d’impact (PIA – AIPD), des traitements, ainsi que leur réactualisation;
* Il assiste le responsable des traitements dans la mise en œuvre du recueil et de la preuve de l'expression du consentement ou de la non opposition des personnes concernées;
* Il veille à l’effectivité d’une démarche responsable en matière de protection des données personnelles («Redevabilité» ou «Engagement responsable»);
* Il aide, conseille et fournit des recommandations/guidelines aux responsables de traitements, en cas de transferts de données hors UE sur la mise en place de règles d’entreprises contraignantes ou de clauses contractuelles types approuvées par les autorités de contrôle;
Activité 4: Traitement des demandes externes
* Le DPO fait office de point de contact pour l'autorité de contrôle, y compris la consultation préalable en cas d’analyse d’impact indiquant un risque élevé pour les droits et libertés des personnes physiques, et mène des consultations, le cas échéant, sur tout autre sujet du domaine d’intérêt;
* Il veille au dispositif d’expressions des demandes et réclamations adressées par les personnes concernées par les traitements, ainsi qu’à leur traçabilité, et selon leur nature les instruit ou les transmet aux services compétents (notamment dans le cadre du droit d’accès, de rectification et d’opposition). Il apporte aide et conseil aux Directions pour les réponses à apporter concernant notamment les droits à l’oubli (effacement) et à la portabilité;
* Il élabore une politique d’établissement en ce qui concerne le traitement des violations de données à caractère personnel, ainsi que pour sa diffusion auprès des Directions concernées et en assure le suivi et le respect;
Activité 5: Documentation de l’activité
* Le DPO assure la rédaction du bilan annuel des actions menées au titre de ses fonctions avec l’aide du DPO adjoint pour l’activité de recherche/innovation;
* Il réalise une veille juridique permanente sur les questions liées à la protection des données personnelles;
* Il contribue à la diffusion de l’information correspondante au sein du CHU;
* Il veille à documenter l'ensemble des caractéristiques des traitements mis en œuvre, notamment les traitements à risque nécessitant de conduire une analyse d’impact (caractériser les traitements, identifier les risques pour les droits et libertés des personnes, évaluer leur probabilité de survenue et leur gravité, prendre les mesures appropriées);
Activité 6: Alerte du responsable de traitement
* Le DPO alerte le responsable de traitement et la Direction Générale le cas échéant de l’existence de manquements à la réglementation;
* Il assure la notification des failles et des violations de sécurité aux autorités et personnes concernées.
Mission(s) spécifique(s) / Particularités du poste
Pour une période transitoire au moment de la prise de poste, il est prévu d’organiser un tuilage avec le DPO actuellement en poste jusqu’au départ en retraite de ce dernier.
Le poste de DPO est placé sous la responsabilité hiérarchique de la Directrice Qualité Gestion des Risques.
Le DPO ne reçoit aucune instruction en ce qui concerne l'exercice de ses missions conformément à la réglementation qui encadre les activités d’un délégué à la protection des données.
Le DPO est soumis au secret professionnel et à une obligation de confidentialité en ce qui concerne l'exercice de ses missions, conformément à la réglementation.
Les fonctions ou activités exercées concurremment par le DPO ne doivent pas être susceptibles de provoquer un conflit d’intérêts avec l’exercice de sa mission.
Le DPO encadre les activités du DPO adjoint en charge des données de recherche/innovation avec lequel il doit se coordonner et assurer une continuité d’activité.
Il participe aux groupes représentants les DPO au niveau local ou national (Réseau des DPO Hospitaliers CHU et GHT, AFCDP…), ou tout groupe d’intérêt relatif à la sécurité et à la protection des données à caractère personnel.
Par ailleurs, au regard des exigences RGPD, il est le correspondant pour toutes les questions relatives à la protection des données des partenaires internes ou externes du CHU.
Toujours au regard des exigences du RGPD, il contribue à définir l’encadrement des activités de soins, de gestion, de recherches et d’utilisation secondaire des données en lien avec les partenaires internes et externes du CHU de Bordeaux.
Profil recherché
Poste ouvert aux titulaires et aux contractuels, en contrat à durée indéterminée.
Juriste, responsable sécurité du système d’information, médecin ... ayant au moins cinq ans d’expérience dans le domaine de la protection des données et/ou de la sécurité des systèmes d'information et familier du milieu hospitalier.
Formation initiale Bac + 5, de niveau ingénieur, ou son équivalent universitaire dans la filière juridique. Connaissances en statistiques, big data appréciées.
Une formation spécialisée DPO est requise obligatoirement (voir liste des organismes agrées sur la CNIL).
Exemples de formations:
* Mastère management et protection des données à caractère personnel (ISEP, Mines-Télécom…)
* DU délégué à la protection des données – Data Protection Officer (CFP/Université Paris II, Université Paris Nanterre).
* Certificat Data Protection Officer (Sciences Po, CNAM)
Qualités requises:
Bienveillance, pédagogie, intégrité, rigueur, motivation, savoir-faire et expertise, esprit de synthèse, esprit d’équipe, organisation
contact : Valérie ALTUZARRA Directrice du Pôle Qualité, Gestion des risques, Prévention Parcours
#J-18808-Ljbffr
En cliquant sur "JE DÉPOSE MON CV", vous acceptez nos CGU et déclarez avoir pris connaissance de la politique de protection des données du site jobijoba.com.