EPSAN
047 - Responsable sécurité des systèmes d’information et délégué à la protection des données (DPO) (h/f)
CDD
Brumath
BAC +5 / Master
> 3 ans
Temps plein
Télétravail partiel possible
Fonction
Santé / Social
Contrat
CDD
Politique de télétravail
Télétravail partiel possible
Expérience
> 3 ans
Formation
BAC +5 / Master
Temps de travail
Temps plein
Salaire
34400€ à 46400€ / an
Qui sommes-nous ?
L’Etablissement Public de Santé Alsace Nord, issu de la fusion des deux Centres Hospitaliers de Brumath et Hoerdt le 1er janvier 1999, est un acteur important de l’offre de soins en Alsace.
Cet établissement a été certifié par la Haute Autorité de Santé en novembre 2017.
Pour la prise en charge psychiatrique, il dessert une population de 718 000 adultes et de 104 710 enfants. A cet effet, il emploie plus de 1500 personnes, dont une centaine de médecins, et disposait d’un budget consolidé de fonctionnement de plus de 96 Md’€ en 2018, qui le classait en 4ème position par ordre d’importance, au sein des Centres Hospitaliers d’Alsace.
La construction de l’hôpital EPSAN Strasbourg en 2019, second site d’hospitalisation complète en psychiatrie, répond à un double objectif :
· Améliorer la qualité des soins aux patients, au plus proche de leurs besoins, dans des bâtiments totalement adaptés aux pratiques actuelles
· Améliorer l’accueil des patients notamment dans des locaux conformes aux normes d’accessibilité aux personnes à mobilité réduite.
Ouvert 24h/24, ce nouvel hôpital accueille des patients adultes domiciliés des quartiers centre et nord de Strasbourg, des communes du nord et de l’ouest de l'Eurométropole de Strasbourg et de la Vallée de la Bruche, correspondant à 4 secteurs de psychiatrie dépendant de l’EPSAN Strasbourg (67G04, 67G06, 67G07, 67G08).
Description du poste
Situé dans le Bas-Rhin, à proximité de Strasbourg, capitale européenne, capitale de Noël, la région offre différentes possibilités de cadre de vie que ce soit dans les hauteurs, les plaines ou près des villes.
L’Etablissement Public de Santé Alsace Nord est le plus important hôpital psychiatrique d’Alsace couvrant 404 communes sur les 522 du département, soit 68% de la population adulte du Bas-Rhin (718 000 habitants), avec 8 secteurs de psychiatrie générale, 2 secteurs de psychiatrie infanto-juvénile et un secteur de psychiatrie en milieu pénitentiaire. Depuis le 1er juillet 2022, l’EPSAN est en direction commune avec l’hôpital La Grafenbourg, qui intervient dans le champ des personnes âgées avec en matière de système d’information, une seule équipe informatique pour les 2 établissements.
L’établissement dispose de deux sites d’hospitalisation à temps complet (354 lits répartis à Brumath et Strasbourg) ainsi que 330 places réparties sur plus de 30 structures extrahospitalières, mais aussi de deux structures médico-sociales (FAM et MAS 64 lits), d’une USLD de 72 lits et d’un IFSI/IFAS.
L’EPSAN c’est 1.600 agents répartis sur le territoire au service de la santé mentale.
En matière de RGPD, des procédures ont été formalisé et une cellule mise en place, ainsi qu’une 1ère cartographie des données et un appui par un autre établissement du territoire est en cours.
Sur la sécurité des système d’information, une mission d’accompagnement est en cours en vue de réaliser un audit de maturité de la sécurité des systèmes d’information et rédiger la documentation nécessaire à la continuité et reprise du système d’information.
Missions Générales
Le périmètre des fonctions s’étend aux deux structures juridiques composant la Direction commune : l’EPSAN, et le CH La Grafenbourg.
1/ Responsable de la Sécurité des Systèmes d'Information (70 à 80%)
Définition et développement de la Politique de sécurité des systèmes d'information et du/des plans d’actions associés
Diagnostique et analyse des risques de la sécurité des systèmes d'information
- Etudie les moyens permettant d'assurer la sécurité des systèmes d'information et leur bonne utilisation par les acteurs de l'établissement ;
- Choisit une méthode d'analyse de risques adaptée à la taille et à l'activité de l'établissement ;
- Evalue les risques sur la sécurité des systèmes d'information.
Définit les objectifs et les besoins liés à la sécurité des systèmes d'information de l'établissement, en collaboration avec les acteurs concernés (direction, direction des systèmes d'information, direction des ressources humaines, direction qualité, représentants du personnel médical et soignant) : disponibilité, confidentialité, intégrité des données, collecte des éléments de preuve
Rédige la Politique de sécurité des systèmes d'information et les procédures de sécurité associées en collaboration avec les acteurs concernés ;
Met en œuvre la Politique de sécurité des systèmes d'information au sein des deux établissements de santé de la direction commune, en assure les évolutions et les mises à jour ;
Détermine un plan d’action sécurité du SI en procédant aux analyses de risques et audits nécessaires et contribue à la mise en œuvre du programme CARE sous l’égide du GHT et en lien avec la DSI
Suit la mise en œuvre des plans de continuité et de reprise d’activité (PCRA) et coordonne la démarche pour les deux établissements de la direction commune ?
Assure la maîtrise d'ouvrage de la mise en œuvre des mesures de sécurité (cette mission, selon que le type de mesure soit technique soit organisationnelle, peut être éventuellement partagée avec un responsable métier ou le responsable du système d'information) ;
Propose à la direction pour arbitrage une liste de mesures de sécurité à mettre en œuvre, assure dans la durée, et assure le suivi et l'évolution de ce plan d'actions.
Participation au développement d’une culture de la sécurité informatique via des processus dédiés
Sensibilisation, formation et conseil des professionnels des deux établissements, en lien avec l’équipe informatique, la Direction sur :
Rend compte régulièrement et sensibilise la Direction de l'établissement sur les enjeux et les risques, et les écarts aux attendus de la sécurité des systèmes d'information ;
Participe à la mise à jour de la charte de sécurité des systèmes d'information des établissements de la direction commune, et en assure la promotion auprès de l'ensemble des utilisateurs ;
Participe activement à la prochaine certification HAS et aux exigences « sécurité numérique »
Audite et contrôle régulièrement l'application des règles de la Politique de sécurité des systèmes d'information afin de vérifier la bonne application de la Politique de sécurité par les acteurs des deux établissements ;
Surveille et gère les incidents de sécurité survenus au sein des deux établissements ;
Vérifie l'intégration de la sécurité des systèmes d'information dans l'ensemble des projets de l'établissement de santé.
Veille technologique et prospective
Suivre les conformités exigées en matière de sécurité du SI ainsi que celles demandées par les programmes nationaux et les faire coïncider avec la politique de sécurité et le/les plans d’actions ;
Documenter les évolutions réglementaires et techniques afin de garantir l'adéquation de la Politique de sécurité des systèmes d'information avec ces évolutions.
2/ Délégué à la protection des données (20 à 30%)
Les missions du délégué à la protection des données (DPO) sont règlementées dans les artticles 37 à 39 du règlement général de protection des données : CHAPITRE IV - Responsable du traitement et sous-traitant | CNIL
Pilotage de la conformité des traitements de données mis en œuvre par les deux organismes qui le désignent
Cartographier les traitements et en établir le registre obligatoire.
Mesurer les potentiels écarts entre les pratiques des organismes et les obligations légales fixées par le RGPD ou la loi en matière de données personnelles que ce soit dans les traitements existants ou les projets de traitements, par le biais des audits et analyses nécessaires.
Documenter la non-conformité, en tenant à jour le registre de violation
Concevoir, mettre en place et revoir les méthodologies et processus nécessaires pour mettre les traitements en conformité avec la réglementation sur la protection des données.
Réviser les contrats avec les sous-traitants sur la base des nouveaux impératifs de mise en conformité, gérer les urgences (plaintes, contrôles, violation de données, etc.).
Superviser les analyses d'impact relatives à la protection des données.
Rédiger un rapport annuel de son activité, en faisant ressortir des axes d'amélioration.
Contribuer au déploiement de nouveaux outils et méthodes de traitements de données.
Mission de veille
Assurer une veille juridique, technique et sectorielle relative à la protection des données.
Veiller à l'intégration des évolutions réglementaires et doctrinales, et mettre en place en cas de besoin de nouvelles procédures.
Assurer une veille technologique et sociétale pour tenter d'anticiper certaines mesures.
Information et conseil
Analyser les besoins des différents métiers des organismes en termes de formation à la réglementation des données à caractère personnel : gestion des mentions légales relative à la protection des données, communications sur l'exercice des droits des personnes, etc.
Transmettre les connaissances adaptées aux besoins recueillis et former aux procédures à respecter, via des ateliers de formation, de présentations, de livrables, de mise en situation, etc. à y compris avec des techniques de pédagogie innovante
Responsabiliser le ou les responsables de traitements ou sous-traitants vis-à-vis de tout risque encouru en cas de non-conformité.
Alerter, si besoin, le responsable de traitement ou le sous-traitant.
Conseiller et adapter son discours pour les décideurs (responsables, chefs de service, directeurs, etc.) et les opérationnels.
Contribuer au bon traitement des demandes d'exercice des droits et des réclamations.
Rôle de référent avec la Cnil (réponse aux sollicitations de la Cnil, questions posées à la Cnil sur des traitements particuliers, collaboration lors de l'instruction des plaintes et lors des missions de contrôle de la Cnil).
Missions spécifiques Suivi/Pilote de programme/projet en lien avec le GHT à la fois sur le versant DPO et RSSI
Responsable Hiérarchique
Le poste est placé sous l’autorité de la Directrice adjointe chargée des projets, de l’innovation et des usagers
Liens Fonctionnels
Directrice
Autres directions et en particulier la direction des systèmes d’information
Médecin du département d’information médicale
Encadrants (toutes filières)
Collaboration avec le DPO et le RSSI de l'établissement support du GHT
Collaboration avec le groupement régional d'appui au développement de la e-santé (Pulsy CRRC)
Coopération avec la CNIL
L’Etablissement Public de Santé Alsace Nord est le plus important hôpital psychiatrique d’Alsace couvrant 404 communes sur les 522 du département, soit 68% de la population adulte du Bas-Rhin (718 000 habitants), avec 8 secteurs de psychiatrie générale, 2 secteurs de psychiatrie infanto-juvénile et un secteur de psychiatrie en milieu pénitentiaire. Depuis le 1er juillet 2022, l’EPSAN est en direction commune avec l’hôpital La Grafenbourg, qui intervient dans le champ des personnes âgées avec en matière de système d’information, une seule équipe informatique pour les 2 établissements.
L’établissement dispose de deux sites d’hospitalisation à temps complet (354 lits répartis à Brumath et Strasbourg) ainsi que 330 places réparties sur plus de 30 structures extrahospitalières, mais aussi de deux structures médico-sociales (FAM et MAS 64 lits), d’une USLD de 72 lits et d’un IFSI/IFAS.
L’EPSAN c’est 1.600 agents répartis sur le territoire au service de la santé mentale.
En matière de RGPD, des procédures ont été formalisé et une cellule mise en place, ainsi qu’une 1ère cartographie des données et un appui par un autre établissement du territoire est en cours.
Sur la sécurité des système d’information, une mission d’accompagnement est en cours en vue de réaliser un audit de maturité de la sécurité des systèmes d’information et rédiger la documentation nécessaire à la continuité et reprise du système d’information.
Missions Générales
Le périmètre des fonctions s’étend aux deux structures juridiques composant la Direction commune : l’EPSAN, et le CH La Grafenbourg.
1/ Responsable de la Sécurité des Systèmes d'Information (70 à 80%)
Définition et développement de la Politique de sécurité des systèmes d'information et du/des plans d’actions associés
Diagnostique et analyse des risques de la sécurité des systèmes d'information
- Etudie les moyens permettant d'assurer la sécurité des systèmes d'information et leur bonne utilisation par les acteurs de l'établissement ;
- Choisit une méthode d'analyse de risques adaptée à la taille et à l'activité de l'établissement ;
- Evalue les risques sur la sécurité des systèmes d'information.
Définit les objectifs et les besoins liés à la sécurité des systèmes d'information de l'établissement, en collaboration avec les acteurs concernés (direction, direction des systèmes d'information, direction des ressources humaines, direction qualité, représentants du personnel médical et soignant) : disponibilité, confidentialité, intégrité des données, collecte des éléments de preuve
Rédige la Politique de sécurité des systèmes d'information et les procédures de sécurité associées en collaboration avec les acteurs concernés ;
Met en œuvre la Politique de sécurité des systèmes d'information au sein des deux établissements de santé de la direction commune, en assure les évolutions et les mises à jour ;
Détermine un plan d’action sécurité du SI en procédant aux analyses de risques et audits nécessaires et contribue à la mise en œuvre du programme CARE sous l’égide du GHT et en lien avec la DSI
Suit la mise en œuvre des plans de continuité et de reprise d’activité (PCRA) et coordonne la démarche pour les deux établissements de la direction commune ?
Assure la maîtrise d'ouvrage de la mise en œuvre des mesures de sécurité (cette mission, selon que le type de mesure soit technique soit organisationnelle, peut être éventuellement partagée avec un responsable métier ou le responsable du système d'information) ;
Propose à la direction pour arbitrage une liste de mesures de sécurité à mettre en œuvre, assure dans la durée, et assure le suivi et l'évolution de ce plan d'actions.
Participation au développement d’une culture de la sécurité informatique via des processus dédiés
Sensibilisation, formation et conseil des professionnels des deux établissements, en lien avec l’équipe informatique, la Direction sur :
- Les enjeux de la sécurité des systèmes d'information ;
- Les bonnes pratiques numériques ;
- La détermination, la mise en oeuvre des plans de continuité et de reprise d’activité.
Rend compte régulièrement et sensibilise la Direction de l'établissement sur les enjeux et les risques, et les écarts aux attendus de la sécurité des systèmes d'information ;
Participe à la mise à jour de la charte de sécurité des systèmes d'information des établissements de la direction commune, et en assure la promotion auprès de l'ensemble des utilisateurs ;
Participe activement à la prochaine certification HAS et aux exigences « sécurité numérique »
Audite et contrôle régulièrement l'application des règles de la Politique de sécurité des systèmes d'information afin de vérifier la bonne application de la Politique de sécurité par les acteurs des deux établissements ;
Surveille et gère les incidents de sécurité survenus au sein des deux établissements ;
Vérifie l'intégration de la sécurité des systèmes d'information dans l'ensemble des projets de l'établissement de santé.
Veille technologique et prospective
Suivre les conformités exigées en matière de sécurité du SI ainsi que celles demandées par les programmes nationaux et les faire coïncider avec la politique de sécurité et le/les plans d’actions ;
Documenter les évolutions réglementaires et techniques afin de garantir l'adéquation de la Politique de sécurité des systèmes d'information avec ces évolutions.
2/ Délégué à la protection des données (20 à 30%)
Les missions du délégué à la protection des données (DPO) sont règlementées dans les artticles 37 à 39 du règlement général de protection des données : CHAPITRE IV - Responsable du traitement et sous-traitant | CNIL
Pilotage de la conformité des traitements de données mis en œuvre par les deux organismes qui le désignent
Cartographier les traitements et en établir le registre obligatoire.
Mesurer les potentiels écarts entre les pratiques des organismes et les obligations légales fixées par le RGPD ou la loi en matière de données personnelles que ce soit dans les traitements existants ou les projets de traitements, par le biais des audits et analyses nécessaires.
Documenter la non-conformité, en tenant à jour le registre de violation
Concevoir, mettre en place et revoir les méthodologies et processus nécessaires pour mettre les traitements en conformité avec la réglementation sur la protection des données.
Réviser les contrats avec les sous-traitants sur la base des nouveaux impératifs de mise en conformité, gérer les urgences (plaintes, contrôles, violation de données, etc.).
Superviser les analyses d'impact relatives à la protection des données.
Rédiger un rapport annuel de son activité, en faisant ressortir des axes d'amélioration.
Contribuer au déploiement de nouveaux outils et méthodes de traitements de données.
Mission de veille
Assurer une veille juridique, technique et sectorielle relative à la protection des données.
Veiller à l'intégration des évolutions réglementaires et doctrinales, et mettre en place en cas de besoin de nouvelles procédures.
Assurer une veille technologique et sociétale pour tenter d'anticiper certaines mesures.
Information et conseil
Analyser les besoins des différents métiers des organismes en termes de formation à la réglementation des données à caractère personnel : gestion des mentions légales relative à la protection des données, communications sur l'exercice des droits des personnes, etc.
Transmettre les connaissances adaptées aux besoins recueillis et former aux procédures à respecter, via des ateliers de formation, de présentations, de livrables, de mise en situation, etc. à y compris avec des techniques de pédagogie innovante
Responsabiliser le ou les responsables de traitements ou sous-traitants vis-à-vis de tout risque encouru en cas de non-conformité.
Alerter, si besoin, le responsable de traitement ou le sous-traitant.
Conseiller et adapter son discours pour les décideurs (responsables, chefs de service, directeurs, etc.) et les opérationnels.
Contribuer au bon traitement des demandes d'exercice des droits et des réclamations.
Rôle de référent avec la Cnil (réponse aux sollicitations de la Cnil, questions posées à la Cnil sur des traitements particuliers, collaboration lors de l'instruction des plaintes et lors des missions de contrôle de la Cnil).
Missions spécifiques Suivi/Pilote de programme/projet en lien avec le GHT à la fois sur le versant DPO et RSSI
Responsable Hiérarchique
Le poste est placé sous l’autorité de la Directrice adjointe chargée des projets, de l’innovation et des usagers
Liens Fonctionnels
Directrice
Autres directions et en particulier la direction des systèmes d’information
Médecin du département d’information médicale
Encadrants (toutes filières)
Collaboration avec le DPO et le RSSI de l'établissement support du GHT
Collaboration avec le groupement régional d'appui au développement de la e-santé (Pulsy CRRC)
Coopération avec la CNIL
Profil recherché
Diplôme
BAC +3 ou 5, évolution possible selon expérience (si ingénieur/ master - Diplôme de niveau VII ingénieur)
Compétences
Connaitre les règlements liés aux données de santé, à la protection des données personnelles, à la protection des SI Expert Communiquer efficacement et exercer ses fonctions et missions en toute indépendance Expert Connaitre le Système d’Information de l’EPSAN Expert Connaitre les besoins de l’EPSAN en matière de sécurité du SI Expert Connaitre les besoins de l’EPSAN en matière de protection des données personnelles Expert Être capable d’animer des réunions avec des interlocuteurs aux intérêts variés Expert Savoir conduire un audit de conformité, une analyse de risque Expert Savoir documenter une conformité Expert Comprendre l’environnement dans lequel évolue l’EPSAN Avancé Savoir piloter des prestataires externes Avancé Utiliser les solution bureautiques Avancé Avoir la pédagogie nécessaire auprès des professionnels, des décideurs Avancé Être force de proposition et de conviction Avancé Utiliser les outils et méthodes de gestion de projet Avancé Connaitre le droit des marchés publics, de la concurrence Intermédiaire Comprendre l’anglais technique Notion
Savoir-être Sens de l’intérêt général
Sens de la synthèse
Qualités pédagogiques
Sens de l'écoute et de communication
Qualités relationnelles
Indépendance
Caractéristiques du poste
- Poste basé à la Direction à Brumath
- Horaires variables du lundi au vendredi de 8h00 à 17h00
- Télétravail possible pour 1 à 2 jours par semaine (après 6 mois)
Poste à pourvoir dans le cadre d'une mutation ou en CDD avec possibilité d'évolution vers la fonction publique par voie de concours ou vers un CDI
BAC +3 ou 5, évolution possible selon expérience (si ingénieur/ master - Diplôme de niveau VII ingénieur)
Compétences
Connaitre les règlements liés aux données de santé, à la protection des données personnelles, à la protection des SI Expert Communiquer efficacement et exercer ses fonctions et missions en toute indépendance Expert Connaitre le Système d’Information de l’EPSAN Expert Connaitre les besoins de l’EPSAN en matière de sécurité du SI Expert Connaitre les besoins de l’EPSAN en matière de protection des données personnelles Expert Être capable d’animer des réunions avec des interlocuteurs aux intérêts variés Expert Savoir conduire un audit de conformité, une analyse de risque Expert Savoir documenter une conformité Expert Comprendre l’environnement dans lequel évolue l’EPSAN Avancé Savoir piloter des prestataires externes Avancé Utiliser les solution bureautiques Avancé Avoir la pédagogie nécessaire auprès des professionnels, des décideurs Avancé Être force de proposition et de conviction Avancé Utiliser les outils et méthodes de gestion de projet Avancé Connaitre le droit des marchés publics, de la concurrence Intermédiaire Comprendre l’anglais technique Notion
Savoir-être Sens de l’intérêt général
Sens de la synthèse
Qualités pédagogiques
Sens de l'écoute et de communication
Qualités relationnelles
Indépendance
Caractéristiques du poste
- Poste basé à la Direction à Brumath
- Horaires variables du lundi au vendredi de 8h00 à 17h00
- Télétravail possible pour 1 à 2 jours par semaine (après 6 mois)
Poste à pourvoir dans le cadre d'une mutation ou en CDD avec possibilité d'évolution vers la fonction publique par voie de concours ou vers un CDI
Localisation
Télétravail partiel possible
Brumath,
67170, France
Fonction
Santé / Social
Contrat
CDD
Politique de télétravail
Télétravail partiel possible
Expérience
> 3 ans
Formation
BAC +5 / Master
Temps de travail
Temps plein
Salaire
34400€ à 46400€ / an
Localisation
Télétravail partiel possible
Brumath,
67170, France