RGPD dans les hôpitaux, chronique d’une prise en main – épisode 2

S’il est un sujet qui provoque des tonnes de réflexions chez votre serviteur, c’est bien celui-là. Et je ne fais pas référence aux spécificités du RGPD, mais bien à l’appréciation des risques en général. Aucun de mes fichiers n’a autant bougé que celui-ci en l’espace de cinq années, parce qu’il est toujours question de trouver le juste milieu entre l’exhaustivité de la méthode et sa maintenabilité. Ainsi, faut-il évaluer l’impact global d’un risque, ou au contraire l’impact sur chacun des critères DIC ? Et si la seconde option est retenue, faut-il modérer ou non cet impact par les besoins de l’actif dans ces critères ? Faut-il introduire la notion d’« exploitabilité » de la menace ? Faut-il une matrice croisée entre les biens supports et les biens essentiels ? Bien entendu, on a tendance à répondre par l’affirmative à chaque question, sauf que le fichier qui en résulte est inexploitable et illisible. Ce qui va conduire à en établir une version simplifiée, et on boucle indéfiniment.

Le RGPD requiert une appréciation formelle des risques, afin que le responsable du traitement puisse évaluer ce qui est risqué et ce qui ne l’est pas, avant de prendre les mesures adéquates pour diminuer les risques considérés comme inacceptables. La question de fond est de savoir si l’on va faire une appréciation des risques de plus, ou bien la fusionner avec la précédente.

Dans le premier cas, pour chaque traitement, une appréciation formelle des risques est conduite exclusivement pour le volet RGPD, et une autre appréciation le sera pour le volet IT (la méthode et le fichier support peuvent d’ailleurs être identiques). Avantage : si le CIL et le RSSI sont deux personnes différentes, chacun son job. Inconvénient majeur : la coordination, vue de la MOA, ne simplifie pas le travail, sans compter que les deux méthodes peuvent dans certains cas aboutir à des conclusions opposées (un risque acceptable pour l’un pourrait ne pas l’être pour l’autre).

Dans le second cas, l’appréciation des risques RGPD est fusionnée avec la générale : il suffit d’ajouter dans le tableau des impacts une colonne sur la vie privée. Un tableau d’impact contient généralement les colonnes « Financier », « Image », « Juridique », chacune étant notée sur quatre niveaux (négligeable, significatif, important et critique). Il suffit de créer une colonne supplémentaire « Vie privée » (VP) qui sera appréciée de la même façon que les précédentes.

Si le DPO et le RSSI sont deux personnes distinctes, on va évidemment privilégier la conduite séparée de deux appréciations des risques, chacun sur son domaine. Rien d’étonnant d’ailleurs : si le RSSI apprécie l’impact pour l’organisation, le DPO quant à lui apprécie le risque pour la vie privée des personnes dont on traite les données ; même méthode, mais objectifs différents, c’est la volonté de la réglementation. Si au contraire le DPO est le RSSI – ce qui va être le cas dans pas mal de GHT –, alors les appréciations des risques peuvent être fusionnées.

Cela étant, même dans le second cas, je suggère de maintenir ces processus totalement distincts. Que l’on en juge : dans un GHT, le DPO va se trouver en présence de plusieurs dizaines de traitements, dont il va falloir coordonner le processus administratif RGPD avec autant de directions générales et de MOA. Autant dire qu’il sera plus pratique de maintenir un corpus documentaire séparé pour la fonction DPO. Mais je ne demande qu’à changer d’avis.

Lire la circulaire destinée au médico-social pour la sécurisation des SI

Suite au prochain épisode.

(1)   /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html