DPO pour Organisme d’Accréditation : Les organismes d’accréditation occupent une place singulière dans le paysage de la santé en France. Chaque jour, des gestionnaires, des experts et des médecins échangent via le portail SIAM des informations parmi les plus sensibles qui existent : des cas cliniques décrivant des événements indésirables, des antécédents médicaux, des analyses de causes profondes selon la grille ALARM, des plans d’action correctifs. Ces informations, même pseudonymisées, peuvent contenir des éléments permettant d’identifier un patient ou un praticien.
La Haute Autorité de Santé elle-même, lorsqu’elle a examiné le programme d’accompagnement proposé par DPO FRANCE à destination des OA, a considéré qu’aucun élément parmi les missions proposées n’était contraire à l’objet des missions de ces organismes. Elle a souligné la nécessité de prioriser ces missions en fonction des risques et des contraintes budgétaires. Une approche pragmatique qui correspond exactement à la réalité du terrain : les OA sont des associations, souvent de petite taille, portées par des médecins bénévoles et quelques collaborateurs, et la conformité doit s’intégrer dans leurs moyens sans freiner leur mission première.
OA : Confiez votre conformité RGPD a tarifs négociés par la HAS
Tarifs negocie pour les OA par la HAS
Découvrir ↬
Activez JavaScript pour les outils interactifs.
Ce que les OA manipulent au quotidien sans toujours en mesurer la portée
Un organisme d’accréditation ne ressemble à aucune autre structure. Son activité repose sur un programme à cinq piliers (sécurité du patient, pratiques professionnelles, travail en équipe, santé du professionnel et relation patient) qui génère un volume considérable d’informations sensibles.
Le portail SIAM, plateforme centrale de l’accréditation des médecins, concentre l’essentiel de ces échanges. Les médecins s’y inscrivent avec leur numéro RPPS, y déclarent leurs EIAS (événements indésirables associés aux soins), y soumettent leurs bilans annuels et y reçoivent leur certificat d’accréditation. Les experts, confrères-pairs désignés par l’OA, y accèdent pour analyser chaque déclaration, demander des compléments, valider ou refuser les EIAS avant leur anonymisation et leur intégration dans la base REX de la HAS.
À chaque étape de ce cycle, des informations circulent. Le médecin décrit un cas clinique qui peut contenir, malgré les consignes de pseudonymisation, des éléments d’identification indirecte : une pathologie rare dans un établissement nommé, une date précise, une spécialité peu courante. L’expert reçoit ces informations, les analyse, échange parfois avec le médecin en dehors de SIAM, par email ou par téléphone. Il arrive que des copies d’EIAS soient conservées sur un ordinateur personnel ou une clé USB, sans protection particulière.
En parallèle, l’OA gère ses adhérents, organise des formations et des webinaires avec des listes de participants, conserve des comptes rendus de revues de morbi-mortalité (RMM) qui peuvent contenir des données de santé identifiantes, envoie des newsletters, utilise des outils de visioconférence et de messagerie, fait appel à un expert-comptable, héberge un site internet. Autant de fichiers et d’outils qui traitent des informations personnelles.
Pourquoi les OA ont besoin d’un accompagnement spécialisé
La particularité des OA tient à la nature des informations qu’ils manipulent et à la complexité de leur écosystème. Les données d’EIAS sont des données de santé au sens du RGPD. Elles bénéficient d’une protection renforcée et leur traitement est soumis à des conditions strictes. Mais au-delà du cadre réglementaire, c’est la confiance des médecins déclarants qui est en jeu. Un praticien qui déclare un événement indésirable fait un acte de transparence. Il décrit une situation où quelque chose n’a pas fonctionné comme prévu. Si cette déclaration n’est pas correctement protégée, c’est tout le système d’accréditation qui perd sa crédibilité.
La relation avec la HAS ajoute une couche de complexité. Qui est responsable de quoi ? Quand un EIAS est saisi dans SIAM, stocké sur les serveurs de la HAS, analysé par un expert de l’OA puis anonymisé avant d’intégrer la base REX, les responsabilités se chevauchent. L’OA ne maîtrise pas l’hébergement de SIAM mais en utilise les données. La HAS définit le cadre mais ne gère pas les experts au quotidien. Cette répartition doit être clarifiée, formalisée et documentée.
Les experts eux-mêmes constituent un point de vigilance. Ce sont des médecins qui exercent leur mission d’analyse en plus de leur activité clinique, souvent depuis leur domicile, sur leur propre matériel. Leur engagement de confidentialité, la sécurité de leurs accès, les canaux par lesquels ils échangent sur les cas : autant de sujets que le DPO doit cartographier et encadrer.
Un programme adapté aux réalités du terrain
L’accompagnement proposé aux OA ne ressemble pas à une mise en conformité théorique déconnectée de la réalité. Il part de ce que les gens font au quotidien, avec leurs outils, leurs habitudes et leurs contraintes.
La première étape est un état des lieux concret. Pas un audit jargonnant, mais un questionnaire en langage clair qui pose les bonnes questions : que faites-vous dans SIAM, quelles informations voyez-vous, conservez-vous des fichiers en dehors de la plateforme, vos experts travaillent-ils uniquement dans SIAM ou aussi par email, qui a accès à quoi, où sont stockés vos documents, faites-vous du ménage dans vos fichiers anciens. Des questions que n’importe quel gestionnaire d’OA peut comprendre et auxquelles il peut répondre sans formation préalable.
À partir de cet état des lieux, le DPO établit une cartographie des informations et des risques, puis construit un plan d’action priorisé. Les actions les plus urgentes concernent généralement la sécurisation des échanges d’EIAS en dehors de SIAM, la formalisation des engagements de confidentialité des experts, la mise en place d’une information claire des médecins sur le devenir de leurs déclarations et la vérification des bonnes pratiques de pseudonymisation.
Les actions suivantes portent sur la documentation (registre des fichiers et des activités de l’OA, mentions d’information, politique de conservation), l’encadrement des outils et prestataires (messagerie, cloud, site internet, expert-comptable) et la sensibilisation de l’ensemble des intervenants. Sur ce dernier point, des vidéos courtes et concrètes permettent de former les collaborateurs, les experts et même les médecins déclarants aux bons réflexes : ne pas copier d’EIAS sur une clé USB, ne pas envoyer de données de santé par email non sécurisé, verrouiller son poste en quittant son bureau, reconnaître un email frauduleux.
L’analyse d’impact, obligation incontournable pour les traitements de données de santé, est réalisée en coordination avec la HAS lorsque c’est possible. Elle permet d’identifier formellement les risques spécifiques : réidentification d’un patient à partir d’un EIAS insuffisamment anonymisé, réidentification d’un médecin déclarant, accès non autorisé aux données par un expert ayant cessé sa mission, fuite de données en cas de perte de matériel.
La mutualisation : une force pour les OA
Les OA partagent les mêmes outils, les mêmes processus, les mêmes types d’informations et les mêmes interlocuteurs institutionnels. Cette homogénéité est un atout considérable pour la mutualisation.
Un référentiel de fiches décrivant les activités de l’OA (gestion des engagements, suivi des EIAS, gestion des experts, bilans annuels, formations, communication) peut être créé une fois au niveau national puis adapté à chaque organisme. Quand une évolution de SIAM modifie les informations accessibles ou quand la HAS publie de nouvelles recommandations, la mise à jour profite à l’ensemble des OA accompagnés.
De même, les supports de sensibilisation, les modèles d’engagement de confidentialité pour les experts, les mentions d’information pour les médecins à l’inscription sur SIAM et les procédures de gestion des incidents sont mutualisables. Chaque OA conserve son interlocuteur DPO dédié, son plan d’action personnalisé et ses échanges confidentiels, mais bénéficie d’un socle commun éprouvé et maintenu.
Cette approche rend l’accompagnement accessible financièrement à des structures dont le budget est souvent limité. Elle permet aussi d’atteindre un niveau de qualité et de mise à jour qu’un OA isolé ne pourrait pas maintenir seul.
Souscrire à l’offre
Ce que cela change concrètement pour un OA
Pour le gestionnaire, c’est la tranquillité de savoir qu’un professionnel s’occupe de ces questions, qu’il y a quelqu’un à appeler quand un expert perd son ordinateur ou quand un médecin demande la suppression de ses informations. C’est aussi la capacité de démontrer aux adhérents, à la HAS et aux autorités que l’OA prend au sérieux la protection des informations qui lui sont confiées.
Pour les experts, c’est un cadre clair : des consignes précises sur ce qu’ils peuvent faire et ne pas faire avec les EIAS, des outils sécurisés pour travailler, la certitude que leur propre responsabilité est protégée par des procédures documentées.
Pour les médecins adhérents, c’est la garantie que leurs déclarations d’événements indésirables, acte courageux de transparence au service de la sécurité des patients, sont traitées avec le niveau de confidentialité qu’elles méritent. C’est aussi la transparence sur le devenir de leurs informations : qui y accède, combien de temps elles sont conservées, comment elles sont anonymisées avant d’alimenter la base REX et les publications de la HAS.
Pour l’OA dans son ensemble, c’est un argument de crédibilité auprès de la HAS et des médecins, un facteur d’attractivité pour les adhérents et une protection en cas de contrôle de la CNIL. La conformité n’est pas une contrainte administrative supplémentaire. C’est la traduction opérationnelle d’un engagement que les OA portent déjà dans leur ADN : la qualité et la sécurité au service de la médecine.
DPO PARTAGE est membre du réseau DPO FRANCE, premier réseau national de DPO indépendants. L’accompagnement des organismes d’accréditation s’appuie sur une connaissance approfondie de l’écosystème HAS, du portail SIAM et du programme d’accréditation à cinq piliers.
