Carine Moulay, Directrice de la qualité, des risques et de la communication chez Almaviva Santé
Dans quel contexte s’inscrit ce partenariat avec GPLExpert ?
Carine Moulay : Comme toute entreprise traitant des données à caractère personnel, le Groupe Almaviva Santé est tenu de se mettre en conformité avec le RGPD. Or il s’agit d’un chantier complexe, qui induit de nombreux changements. Nous avons donc souhaité bénéficier d’un accompagnement expert. GPLExpert cochait toutes les cases : il dispose d’équipes rompues à la mise en application du RGPD, collabore étroitement avec des juristes, et connaît parfaitement le secteur de la santé. Surtout, nous avions déjà collaboré par le passé et pouvions capitaliser sur sa connaissance du Groupe. Il a d’ailleurs, une fois de plus, fait preuve d’un grand professionnalisme en nous faisant des propositions pertinentes.
Justement, en quoi a consisté cet accompagnement expert ?
Carine Moulay : Après avoir assisté la direction d’Almaviva Santé dans l’appropriation du RGPD, GPLExpert est intervenu avec succès auprès de deux sites pilotes, la Clinique Générale de Marignane et la Clinique Arago Paris. La démarche devait ensuite être généralisée à l’échelle du Groupe. Plutôt que de nous imposer une prestation de deux ans lui permettant d’accompagner chacune de nos cliniques, GPLExpert nous a orienté vers un transfert de compétences pour internaliser la fonction DPO, alors même que cette option lui était moins favorable. Deux postes ont finalement été créés, afin de couvrir les zones d’implantation de nos établissements et faciliter les interventions en proximité : un DPO pour la région Sud, et un autre pour l’Ile-de-France. Tous deux ont été rapidement opérationnels grâce à l’appui de GPLExpert : trois mois après leur entrée en fonction, ils ont pu accompagner nos cliniques en toute autonomie.
Carine Moulay : Comme toute entreprise traitant des données à caractère personnel, le Groupe Almaviva Santé est tenu de se mettre en conformité avec le RGPD. Or il s’agit d’un chantier complexe, qui induit de nombreux changements. Nous avons donc souhaité bénéficier d’un accompagnement expert. GPLExpert cochait toutes les cases : il dispose d’équipes rompues à la mise en application du RGPD, collabore étroitement avec des juristes, et connaît parfaitement le secteur de la santé. Surtout, nous avions déjà collaboré par le passé et pouvions capitaliser sur sa connaissance du Groupe. Il a d’ailleurs, une fois de plus, fait preuve d’un grand professionnalisme en nous faisant des propositions pertinentes.
Justement, en quoi a consisté cet accompagnement expert ?
Carine Moulay : Après avoir assisté la direction d’Almaviva Santé dans l’appropriation du RGPD, GPLExpert est intervenu avec succès auprès de deux sites pilotes, la Clinique Générale de Marignane et la Clinique Arago Paris. La démarche devait ensuite être généralisée à l’échelle du Groupe. Plutôt que de nous imposer une prestation de deux ans lui permettant d’accompagner chacune de nos cliniques, GPLExpert nous a orienté vers un transfert de compétences pour internaliser la fonction DPO, alors même que cette option lui était moins favorable. Deux postes ont finalement été créés, afin de couvrir les zones d’implantation de nos établissements et faciliter les interventions en proximité : un DPO pour la région Sud, et un autre pour l’Ile-de-France. Tous deux ont été rapidement opérationnels grâce à l’appui de GPLExpert : trois mois après leur entrée en fonction, ils ont pu accompagner nos cliniques en toute autonomie.
Vincent Lermigny, Data Protection Officer pour la région Île-de-France chez Almaviva Santé
Pourriez-vous nous décrire le soutien méthodologique apporté par GPLExpert ?
Vincent Lermigny : GPLExpert nous a accompagné à la fois sur le plan théorique et pratique. Le cabinet de conseil a ainsi pu nous transmettre l’ensemble de ses outils méthodologiques, développés sur la base des préconisations de la CNIL et maintes fois éprouvés sur le terrain. Cette approche s’articule autour de quatre grandes étapes : une formation des équipes de direction et d’encadrement sur le volet règlementaire, illustrée par de nombreux cas concrets ; une phase d’audit pour effectuer la cartographie des données, identifier leurs principaux processus de traitement et mesurer les écarts par rapport aux dispositions du RGPD ; l’élaboration d’un plan d’actions priorisées avec des échéances précises ; et enfin une réévaluation pour identifier les éventuelles mesures correctives.
Où en êtes-vous aujourd’hui ?
Vincent Lermigny : Chaque DPO déroule progressivement ces quatre phases auprès des 17 cliniques dont il a la charge. Six mois sont en moyenne nécessaires par établissement, mais l’imbrication des calendriers devrait nous permettre d’avoir finalisé la démarche pour l’ensemble des cliniques du Groupe d’ici la fin de l’année 2020. Cela dit, comme toute démarche qualité, le RGPD s’inscrit dans la durée : il sera parfois nécessaire de réactualiser les registres de traitement et de réaliser de nouvelles études d’impact. En nous conseillant d’internaliser la fonction DPO, GPLExpert avait donc véritablement notre intérêt à cœur et a su s’affirmer comme un partenaire de confiance.
Plus d'informations : https://gplexpert.com
Vincent Lermigny : GPLExpert nous a accompagné à la fois sur le plan théorique et pratique. Le cabinet de conseil a ainsi pu nous transmettre l’ensemble de ses outils méthodologiques, développés sur la base des préconisations de la CNIL et maintes fois éprouvés sur le terrain. Cette approche s’articule autour de quatre grandes étapes : une formation des équipes de direction et d’encadrement sur le volet règlementaire, illustrée par de nombreux cas concrets ; une phase d’audit pour effectuer la cartographie des données, identifier leurs principaux processus de traitement et mesurer les écarts par rapport aux dispositions du RGPD ; l’élaboration d’un plan d’actions priorisées avec des échéances précises ; et enfin une réévaluation pour identifier les éventuelles mesures correctives.
Où en êtes-vous aujourd’hui ?
Vincent Lermigny : Chaque DPO déroule progressivement ces quatre phases auprès des 17 cliniques dont il a la charge. Six mois sont en moyenne nécessaires par établissement, mais l’imbrication des calendriers devrait nous permettre d’avoir finalisé la démarche pour l’ensemble des cliniques du Groupe d’ici la fin de l’année 2020. Cela dit, comme toute démarche qualité, le RGPD s’inscrit dans la durée : il sera parfois nécessaire de réactualiser les registres de traitement et de réaliser de nouvelles études d’impact. En nous conseillant d’internaliser la fonction DPO, GPLExpert avait donc véritablement notre intérêt à cœur et a su s’affirmer comme un partenaire de confiance.
Plus d'informations : https://gplexpert.com