Publicité en cours de chargement...
RGPD dans les hôpitaux, chronique d’une prise en main – épisode 2
S’il est un sujet qui provoque des tonnes de réflexions chez votre serviteur, c’est bien celui-là. Et je ne fais pas référence aux spécificités du RGPD, mais bien à l’appréciation des risques en général. Aucun de mes fichiers n’a autant bougé que celui-ci en l’espace de cinq années, parce qu’il est toujours question de trouver le juste milieu entre l’exhaustivité de la méthode et sa maintenabilité. Ainsi, faut-il évaluer l’impact global d’un risque, ou au contraire l’impact sur chacun des critères DIC ? Et si la seconde option est retenue, faut-il modérer ou non cet impact par les besoins de l’actif dans ces critères ? Faut-il introduire la notion d’« exploitabilité » de la menace ? Faut-il une matrice croisée entre les biens supports et les biens essentiels ? Bien entendu, on a tendance à répondre par l’affirmative à chaque question, sauf que le fichier qui en résulte est inexploitable et illisible. Ce qui va conduire à en établir une version simplifiée, et on boucle indéfiniment.
Le RGPD requiert une appréciation formelle des risques, afin que le responsable du traitement puisse évaluer ce qui est risqué et ce qui ne l’est pas, avant de prendre les mesures adéquates pour diminuer les risques considérés comme inacceptables. La question de fond est de savoir si l’on va faire une appréciation des risques de plus, ou bien la fusionner avec la précédente.
Dans le premier cas, pour chaque traitement, une appréciation formelle des risques est conduite exclusivement pour le volet RGPD, et une autre appréciation le sera pour le volet IT (la méthode et le fichier support peuvent d’ailleurs être identiques). Avantage : si le CIL et le RSSI sont deux personnes différentes, chacun son job. Inconvénient majeur : la coordination, vue de la MOA, ne simplifie pas le travail, sans compter que les deux méthodes peuvent dans certains cas aboutir à des conclusions opposées (un risque acceptable pour l’un pourrait ne pas l’être pour l’autre).
Dans le second cas, l’appréciation des risques RGPD est fusionnée avec la générale : il suffit d’ajouter dans le tableau des impacts une colonne sur la vie privée. Un tableau d’impact contient généralement les colonnes « Financier », « Image », « Juridique », chacune étant notée sur quatre niveaux (négligeable, significatif, important et critique). Il suffit de créer une colonne supplémentaire « Vie privée » (VP) qui sera appréciée de la même façon que les précédentes.
Si le DPO et le RSSI sont deux personnes distinctes, on va évidemment privilégier la conduite séparée de deux appréciations des risques, chacun sur son domaine. Rien d’étonnant d’ailleurs : si le RSSI apprécie l’impact pour l’organisation, le DPO quant à lui apprécie le risque pour la vie privée des personnes dont on traite les données ; même méthode, mais objectifs différents, c’est la volonté de la réglementation. Si au contraire le DPO est le RSSI – ce qui va être le cas dans pas mal de GHT –, alors les appréciations des risques peuvent être fusionnées.
Cela étant, même dans le second cas, je suggère de maintenir ces processus totalement distincts. Que l’on en juge : dans un GHT, le DPO va se trouver en présence de plusieurs dizaines de traitements, dont il va falloir coordonner le processus administratif RGPD avec autant de directions générales et de MOA. Autant dire qu’il sera plus pratique de maintenir un corpus documentaire séparé pour la fonction DPO. Mais je ne demande qu’à changer d’avis.
Lire la circulaire destinée au médico-social pour la sécurisation des SI
Suite au prochain épisode.
(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html
Avez-vous apprécié ce contenu ?
A lire également.

Inauguration du cross care data lab ©
04 août 2025 - 14:15,
Tribune
- Jacques HUBERT & Selim HAOUCHINE, GHT Moselle-EstPorté par les Hôpitaux de Sarreguemines et le GHT de Moselle-Est, le projet Cross Care Data Lab est une pépinière d’entreprises nouvelle génération, véritable écosystème, entièrement dédiée à l’innovation numérique, à la cybersécurité et à l’intelligence artificielle appliqué à la santé.

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)
22 juil. 2025 - 10:23,
Communiqué
- Biogroup & Agoria Santéle 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...