Publicité en cours de chargement...
RGPD dans les hôpitaux, chronique d’une prise en main – épisode 3
Globalement, les outils à mettre en œuvre sont en nombre limité – et heureusement. Cartographie des traitements, analyse d’écart, plan d’action, EIVP (étude d’impact sur la vie privée), ISP (intégration de la sécurité dans les projets), nous avons cité les principaux. Il y a, comme à chaque fois dans ce genre de projets, deux approches générales : le mode top-down, et le mode bottom-up.
Dans tous les cas, il s’agit avant toute chose de commencer par cartographier les traitements existants. Cette étape est importante et elle réserve des surprises, souvent bonnes. Par exemple dans mon CHU, au début des années 2000 la méthode de conformité Cnil revenait à déclarer tous les logiciels, et non pas les traitements. Or, un traitement englobe souvent plusieurs logiciels (il existe de rares cas où un logiciel comporte plusieurs traitements, notamment dans le domaine de la recherche, mais ils restent l’exception). Résultat : nous avions une liste de 409 déclarations Cnil. Détail amusant : la Cnil que j’ai contactée pour qu’elle me fournisse ce catalogue, histoire de vérifier que je n’avais pas de trous dans la raquette, a été totalement incapable de me fournir les éléments. Passons.
Or, un traitement c’est une finalité, des données collectées, des personnes qui les utilisent. Un premier nettoyage, basé sur ce principe, nous a permis de ramener ce décompte à 21 traitements, ce qui change pas mal la donne (et accessoirement a fait chialer quelques consultants et commerciaux de boîtes de conseil, qui avaient déjà rempli le bon de commande du Cayenne ou du Q7 en anticipant la prime de fin de trimestre).
La stratégie top-down va consister à dérouler une analyse d’écart à partir de l’état des lieux des traitements, en partant de la liste ci-dessus, en analysant les écarts pour chaque traitement (Excel travaille pour vous), en compilant ces listes d’écart pour constituer des chantiers (Excel bosse encore), lesquels seront positionnés dans le temps. Cela fonctionne, c’est quasi exhaustif, et à l’arrivée le maillot est trempé, mais on a réduit le risque de non-conformité à epsilon.
La stratégie du bottom-up s’élabore à partir des traitements les plus sensibles : dans un établissement de santé, il s’agit des traitements relatifs aux données patients (administratifs et médicaux, ce qui en fait deux), aux RH (parce que c’est là que les auditeurs viennent creuser la plupart du temps) et éventuellement aux événements indésirables (le truc dont les champs à commentaires font voir rouge la Cnil). On déroule ensuite tout le processus RGPD (inscription au registre, EIVP, suivi des mesures de sécurisation) pour ces quatre traitements (par exemple un par mois), le reste des traitements sera ainsi étalé dans le temps, sur une durée de 12 à 18 mois. En réalité, le risque de non-conformité est faible puisque la plupart de ces traitements ont déjà été déclarés à la Cnil : il n’y a que le cas du changement au sein dudit traitement qui impose de rejouer le RGPD.
Suite au prochain épisode.
(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html
(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html
Avez-vous apprécié ce contenu ?
A lire également.

France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux
29 sept. 2025 - 13:08,
Communiqué
- Ministère de l'Enseignement supérieur et de la RechercheLe programme France 2030 continue de stimuler l’innovation en France. Le ministère de l’Enseignement supérieur et de la Recherche a récemment lancé l’appel à projets “Pionniers de l’intelligence artificielle”, destiné à soutenir des technologies d’IA de rupture dans des secteurs stratégiques, dont l...
Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.
22 sept. 2025 - 22:16,
Tribune
-Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique
22 sept. 2025 - 11:46,
Communiqué
- Speech Processing SolutionsSpeech Processing Solutions, leader mondial des solutions professionnelles de dictée sous la marque Philips, dévoile le Philips SpeechMike Ambient, un microphone intelligent de nouvelle génération qui place l’IA ambiante au service des soignants.

Le CHU de Nîmes innove dans son service d’oncologie
22 sept. 2025 - 10:36,
Communiqué
- Computer EngineeringL’établissement hospitalier du Gard a choisi de se doter de l’outil nomade mobiChimio pour améliorer le confort des infirmières et faciliter la traçabilité de l’administration des chimiothérapies aux patients. Entretien avec Emmanuel Coget, pharmacien dans l’unité de Pharmacie Oncologique du CHU Car...