Correspondant de la Sécurité du Système d'Information et Délégué à la Protection des Données H/F Fédération Hospitalière de France

Détail du poste

Descriptif L'ÉTABLISSEMENT :
Le Centre Hospitalier de Saint-Nazaire est un établissement public de Santé pluridisciplinaire de 1007 lits comptant deux établissements principaux situés à Saint-Nazaire et une douzaine de sites externes.
Il est en direction commune avec le CH de Savenay et l'hôpital intercommunal Guérande/Le Croisic.
Le CHSN et la Clinique mutualiste de l'Estuaire partagent un ensemble de services numériques et d'outils informatiques, nécessaires à la production de services et soins, dont le dossier patient informatisé (DPI).
Il fait partie du Groupement Hospitalier de Territoire 44 (GHT 44) dont l'établissement support est le CHU de Nantes.
LE POSTE :
Poste vacant de Correspondant de la Sécurité du Système d'Information (CSSI) et Délégué à la Protection des Données (DPD) (H/F) à pourvoir à temps plein à partir du 02/05/2025 au sein du Département Système D'Information et Téléphonie (DSIT) de la Direction des Ressources Logistiques et Techniques du Centre Hospitalier de Saint-Nazaire.
Missions et activités principales au sein de l'établissement
Le Correspondant (H/F) de la Sécurité du Système d'Information (CSSI) :
- Participe à la gouvernance SSI du GHT44, et mettre en place une organisation permettant d'assurer, dans la durée, la gouvernance de la sécurité du système d'information au sein de son établissement avec les acteurs locaux (qualiticiens, MOA, etc.), en lien avec le RSSIT ;
- Prépare et suit la mise en uvre, de la politique de sécurité des systèmes d'information (PSSI) du CHSN, en cohérence avec celle du SI convergent du GHT définie par le RSSIT;
- Définit et fait appliquer la charte des utilisateurs du CHSN au sein de son établissement ;
- Fait appliquer la charte des utilisateurs du GHT au sein de son établissement ;
- Diagnostique et analyse les risques de la sécurité des systèmes d'information selon la méthode d'appréciation des risques préconisée par le RSSIT ;
- Décline la politique d'audit SSI du GHT ;
- Décline la politique de gestion des incidents SSI ; suit les incidents de sécurité et communique avec le RSSI de GHT ;
- Décline la politique de gestion des indicateurs SSI ;
- Décline la politique GHT de formation des agents à la SSI ; sensibilise, forme et conseille sur les enjeux de la sécurité des systèmes d'information au sein de son établissement.
- Implémente les mesures décidées par le Responsable SSI de GHT ;
- Est force de proposition compte tenu de sa connaissance du contexte local de son établissement ;
- Assure la maîtrise d'ouvrage ou la maîtrise d'uvre de projets SSI;
- Maintient un lien fonctionnel fort avec le RSSI du GHT.
Le Délégué (H/F) à la protection des données (DPD)
Définition : Le Délégué (H/F) à la protection des données (DPD) ou Data Protection Officer en anglais (DPO) est plus connu sous l'appellation de Correspondant Informatique et Libertés (CIL)
- Informe et sensibilise, diffuse une culture « Informatique et Libertés » :
*mène ou pilote, de façon maîtrisée, des actions visant à sensibiliser la direction, les collaborateurs - dont le personnel participant aux opérations de traitement - aux règles à respecter en matière de protection des données à caractère personnel;
*fait en sorte de présenter les efforts de mise en conformité comme productifs et positifs;
*s'assure que les responsables de traitement aient mis en place les processus d'information et de recueil de consentement des personnes concernées.
- Veille au respect du cadre légal (Règlement européen (RGPD), autres dispositions du droit de l'Union ou du droit des États membres et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités). Le DPD (H/F) :
*porte conseil auprès des Responsables de traitement, et émet des avis et recommandations motivés et documentés.
*est étroitement associé aux sujets suivants : EIVP (Étude d'impacts sur la vie privée); « Privacy by Design » (prise en compte des impacts sur la vie privée dès la conception); notification des violations de données et communication aux personnes concernées.
*est obligatoirement consulté avant la mise en uvre d'un nouveau traitement ou la modification substantielle d'un traitement en cours et peut faire toute recommandation au Responsable de traitement.
- Informe, responsabilise et alerte si besoin, les responsables de traitement de tout risque ou du non-respect de ses recommandations; peut présenter des demandes d'arbitrage.
- Analyse, investigue, audite, contrôle : vérifie le respect du cadre légal ou la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles.
- Établit et maintient une documentation au titre de « l'Accountability » (documentation relative aux traitements de données à caractère personnel (dont le registre des traitements) en lien avec les Responsables de traitement), assure son accessibilité à l'autorité de contrôle.
- Présente un rapport annuel de son action fait état des éventuelles difficultés rencontrées à son AQSSI (Autorité Qualifiée de Sécurité des Systèmes d'Information)
- Interagit avec l'autorité de contrôle (CNIL et/ou autorité mandatée par la CNIL)
Particularités du poste
- Déplacements au CHU de Nantes pour coordination avec le RSSIT, à prévoir
- Horaires : forfait cadre, du lundi au vendredi
- Exigence de secret professionnel lié au contexte d'activité de l'établissement
PROFIL RECHERCHÉ :
Exigence du poste
- Ingénieur ou Master 2, avec une spécialisation complémentaire en Sécurité des Systèmes d'Information.
Compétences techniques :
- Connaissance approfondie de l'architecture d'un SIH, de ses composants fonctionnels et des flux d'information ;
- Connaissance générale des dispositifs techniques de protection des services et infrastructures composant le SI ;
- Connaissance générale des bonnes pratiques de management du système d'information (ITIL) ;
- Connaissance générale des mesures nécessaires à la mise en uvre d'un système de management de la sécurité de l'information (SMSI) ISO 27002 ;
- Connaissance appliquée des méthodes de gestion des risques SI - ISO27005.
- Connaissances des processus cur de métier et support de l'hôpital
- Connaissances en technologies de l'information (pour pouvoir interagir avec les informaticiens et garder un esprit critique),
- Connaissances de la législation en vigueur sur la protection des données et celle spécifiquement applicable à l'établissement
Compétences personnelles :
- Capacité à piloter et à gérer des projets.
- Capacité à organiser et à conduire le changement.
- Capacité à gérer des situations de crise.
- Capacité à animer des groupes de travail, sessions de sensibilisation et formation.
- Bon relationnel et esprit de synthèse.
Pour les missions de Délégué à la protection des données :
- Objectivité de haut niveau dans l'analyse, l'évaluation et la communication auprès du responsable de traitement; impartialité.
- Indépendance définit par l'AQSSI (autorité qualifiée en sécurité des systèmes d'information). Il dispose d'une liberté organisationnelle et décisionnelle dans le cadre de sa mission mais peut prendre contact avec quiconque (dont la CNIL) dans le cadre de sa fonction.
- Résistance au stress, aux influences indues et aux préjugés
- Probité : Le Délégué (H/F) à la protection des données agit en toute circonstance de façon diligente, loyale, responsable et honnête, en fonction de ses connaissances et de son degré d'expertise, au service du responsable de traitement pour lequel il agit.
- Confidentialité et discrétion : respect du secret professionnel sous réserve des cas prévus ou autorisés par la loi)
Si votre profil correspond à ce poste et que les missions vous intéressent, n'hésitez pas à nous envoyer votre CV et votre lettre de motivation pour rejoindre l'équipe. (ainsi que le questionnaire à compléter, reçu automatiquement après l'envoi de votre candidature)