Cdd 047 - responsable sécurité des systèmes d’information et délégué à la protection des donnée[...]

Situé dans le Bas-Rhin, à proximité de Strasbourg, capitale européenne, capitale de Noël, la région offre différentes possibilités de cadre de vie que ce soit dans les hauteurs, les plaines ou près des villes.

L’Etablissement Public de Santé Alsace Nord est le plus important hôpital psychiatrique d’Alsace couvrant 404 communes sur les 522 du département, soit 68% de la population adulte du Bas-Rhin (718000 habitants), avec 8 secteurs de psychiatrie générale, 2 secteurs de psychiatrie infanto-juvénile et un secteur de psychiatrie en milieu pénitentiaire. Depuis le 1er juillet 2022, l’EPSAN est en direction commune avec l’hôpital La Grafenbourg, qui intervient dans le champ des personnes âgées avec en matière de système d’information, une seule équipe informatique pour les 2 établissements.

L’établissement dispose de deux sites d’hospitalisation à temps complet (354 lits répartis à Brumath et Strasbourg) ainsi que 330 places réparties sur plus de 30 structures extrahospitalières, mais aussi de deux structures médico-sociales (FAM et MAS 64 lits), d’une USLD de 72 lits et d’un IFSI/IFAS.

L’EPSAN c’est 1.600 agents répartis sur le territoire au service de la santé mentale.
En matière de RGPD, des procédures ont été formalisé et une cellule mise en place, ainsi qu’une 1ère cartographie des données et un appui par un autre établissement du territoire est en cours.

Sur la sécurité des système d’information, une mission d’accompagnement est en cours en vue de réaliser un audit de maturité de la sécurité des systèmes d’information et rédiger la documentation nécessaire à la continuité et reprise du système d’information.

Missions Générales
Le périmètre des fonctions s’étend aux deux structures juridiques composant la Direction commune: l’EPSAN, et le CH La Grafenbourg.


1/ Responsable de la Sécurité des Systèmes d'Information (70 à 80%)

Définition et développement de la Politique de sécurité des systèmes d'information et du/des plans d’actions associés

Diagnostique et analyse des risques de la sécurité des systèmes d'information
- Etudie les moyens permettant d'assurer la sécurité des systèmes d'information et leur bonne utilisation par les acteurs de l'établissement ;
- Choisit une méthode d'analyse de risques adaptée à la taille et à l'activité de l'établissement ;
- Evalue les risques sur la sécurité des systèmes d'information.

Définit les objectifs et les besoins liés à la sécurité des systèmes d'information de l'établissement, en collaboration avec les acteurs concernés (direction, direction des systèmes d'information, direction des ressources humaines, direction qualité, représentants du personnel médical et soignant): disponibilité, confidentialité, intégrité des données, collecte des éléments de preuve
Rédige la Politique de sécurité des systèmes d'information et les procédures de sécurité associées en collaboration avec les acteurs concernés ;
Met en œuvre la Politique de sécurité des systèmes d'information au sein des deux établissements de santé de la direction commune, en assure les évolutions et les mises à jour ;
Détermine un plan d’action sécurité du SI en procédant aux analyses de risques et audits nécessaires et contribue à la mise en œuvre du programme CARE sous l’égide du GHT et en lien avec la DSI
Suit la mise en œuvre des plans de continuité et de reprise d’activité (PCRA) et coordonne la démarche pour les deux établissements de la direction commune?
Assure la maîtrise d'ouvrage de la mise en œuvre des mesures de sécurité (cette mission, selon que le type de mesure soit technique soit organisationnelle, peut être éventuellement partagée avec un responsable métier ou le responsable du système d'information) ;
Propose à la direction pour arbitrage une liste de mesures de sécurité à mettre en œuvre, assure dans la durée, et assure le suivi et l'évolution de ce plan d'actions.
Participation au développement d’une culture de la sécurité informatique via des processus dédiés


Sensibilisation, formation et conseil des professionnels des deux établissements, en lien avec l’équipe informatique, la Direction sur:
* Les enjeux de la sécurité des systèmes d'information;
* Les bonnes pratiques numériques;
* La détermination, la mise en oeuvre des plans de continuité et de reprise d’activité.

Rend compte régulièrement et sensibilise la Direction de l'établissement sur les enjeux et les risques, et les écarts aux attendus de la sécurité des systèmes d'information ;

Participe à la mise à jour de la charte de sécurité des systèmes d'information des établissements de la direction commune, et en assure la promotion auprès de l'ensemble des utilisateurs ;

Participe activement à la prochaine certification HAS et aux exigences « sécurité numérique »

Audite et contrôle régulièrement l'application des règles de la Politique de sécurité des systèmes d'information afin de vérifier la bonne application de la Politique de sécurité par les acteurs des deux établissements ;
Surveille et gère les incidents de sécurité survenus au sein des deux établissements ;
Vérifie l'intégration de la sécurité des systèmes d'information dans l'ensemble des projets de l'établissement de santé.

Veille technologique et prospective

Suivre les conformités exigées en matière de sécurité du SI ainsi que celles demandées par les programmes nationaux et les faire coïncider avec la politique de sécurité et le/les plans d’actions;
Documenter les évolutions réglementaires et techniques afin de garantir l'adéquation de la Politique de sécurité des systèmes d'information avec ces évolutions.

2/ Délégué à la protection des données (20 à 30%)

Les missions du délégué à la protection des données (DPO) sont règlementées dans les artticles 37 à 39 du règlement général de protection des données: CHAPITRE IV - Responsable du traitement et sous-traitant | CNIL

Pilotage de la conformité des traitements de données mis en œuvre par les deux organismes qui le désignent

Cartographier les traitements et en établir le registre obligatoire.
Mesurer les potentiels écarts entre les pratiques des organismes et les obligations légales fixées par le RGPD ou la loi en matière de données personnelles que ce soit dans les traitements existants ou les projets de traitements, par le biais des audits et analyses nécessaires.
Documenter la non-conformité, en tenant à jour le registre de violation
Concevoir, mettre en place et revoir les méthodologies et processus nécessaires pour mettre les traitements en conformité avec la réglementation sur la protection des données.
Réviser les contrats avec les sous-traitants sur la base des nouveaux impératifs de mise en conformité, gérer les urgences (plaintes, contrôles, violation de données, etc.).
Superviser les analyses d'impact relatives à la protection des données.
Rédiger un rapport annuel de son activité, en faisant ressortir des axes d'amélioration.
Contribuer au déploiement de nouveaux outils et méthodes de traitements de données.

Mission de veille

Assurer une veille juridique, technique et sectorielle relative à la protection des données.
Veiller à l'intégration des évolutions réglementaires et doctrinales, et mettre en place en cas de besoin de nouvelles procédures.
Assurer une veille technologique et sociétale pour tenter d'anticiper certaines mesures.

Information et conseil

Analyser les besoins des différents métiers des organismes en termes de formation à la réglementation des données à caractère personnel: gestion des mentions légales relative à la protection des données, communications sur l'exercice des droits des personnes, etc.
Transmettre les connaissances adaptées aux besoins recueillis et former aux procédures à respecter, via des ateliers de formation, de présentations, de livrables, de mise en situation, etc. à y compris avec des techniques de pédagogie innovante
Responsabiliser le ou les responsables de traitements ou sous-traitants vis-à-vis de tout risque encouru en cas de non-conformité.
Alerter, si besoin, le responsable de traitement ou le sous-traitant.
Conseiller et adapter son discours pour les décideurs (responsables, chefs de service, directeurs, etc.) et les opérationnels.
Contribuer au bon traitement des demandes d'exercice des droits et des réclamations.
Rôle de référent avec la Cnil (réponse aux sollicitations de la Cnil, questions posées à la Cnil sur des traitements particuliers, collaboration lors de l'instruction des plaintes et lors des missions de contrôle de la Cnil).

Missions spécifiques
Suivi/Pilote de programme/projet en lien avec le GHT à la fois sur le versant DPO et RSSI


Responsable Hiérarchique
Le poste est placé sous l’autorité de la Directrice adjointe chargée des projets, de l’innovation et des usagers

Liens Fonctionnels
Directrice
Autres directions et en particulier la direction des systèmes d’information
Médecin du département d’information médicale
Encadrants (toutes filières)
Collaboration avec le DPO et le RSSI de l'établissement support du GHT
Collaboration avec le groupement régional d'appui au développement de la e-santé (Pulsy CRRC)
Coopération avec la CNIL

Diplôme
BAC +3 ou 5, évolution possible selon expérience (si ingénieur/ master - Diplôme de niveau VII ingénieur)



Compétences
Connaitre les règlements liés aux données de santé, à la protection des données personnelles, à la protection des SI Expert
Communiquer efficacement et exercer ses fonctions et missions en toute indépendance Expert
Connaitre le Système d’Information de l’EPSAN Expert
Connaitre les besoins de l’EPSAN en matière de sécurité du SI Expert
Connaitre les besoins de l’EPSAN en matière de protection des données personnelles Expert
Être capable d’animer des réunions avec des interlocuteurs aux intérêts variés Expert
Savoir conduire un audit de conformité, une analyse de risque Expert
Savoir documenter une conformité Expert
Comprendre l’environnement dans lequel évolue l’EPSAN Avancé
Savoir piloter des prestataires externes Avancé
Utiliser les solution bureautiques Avancé
Avoir la pédagogie nécessaire auprès des professionnels, des décideurs Avancé
Être force de proposition et de conviction Avancé
Utiliser les outils et méthodes de gestion de projet Avancé
Connaitre le droit des marchés publics, de la concurrence Intermédiaire
Comprendre l’anglais technique Notion

Savoir-être
Sens de l’intérêt général
Sens de la synthèse
Qualités pédagogiques
Sens de l'écoute et de communication
Qualités relationnelles
Indépendance








Caractéristiques du poste
- Poste basé à la Direction à Brumath
- Horaires variables du lundi au vendredi de 8h00 à 17h00
- Télétravail possible pour 1 à 2 jours par semaine (après 6 mois)

Poste à pourvoir dans le cadre d'une mutation ou en CDD avec possibilité d'évolution vers la fonction publique par voie de concours ou vers un CDI
#J-18808-Ljbffr