Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 4

10 oct. 2017 - 11:22,
Tribune - Cédric Cartau
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Il nous reste à conclure sur les difficultés de la démarche.  

Le RGPD est composé d’une liste d’actions et de mesures qui toutes, prises unitairement, sont simples : il n’y a aucune difficulté dans l’établissement d’un registre, ni dans l’introduction de la privacy by design dans les projets, pas plus que dans la revue des contrats fournisseurs. Mais ces actions sont tellement nombreuses que toute la difficulté de l’opération consiste à savoir par quoi commencer, comment ne rien rater, surtout dans le contexte de gestion du risque juridique : à moins d’y consacrer des sommes considérables, dans le monde de la santé, aucun établissement ne pourra être 100 % conforme. Il faudra donc faire des choix sur les mesures les plus urgentes à prendre et celles qui attendront.

Une des difficultés qui apparaît – et qu’aucun consultant n’a évoquée devant moi – concerne la signature des appréciations des risques. Je m’explique : pour ceux qui n’ont pas de CIL (correspondant Informatique et Libertés), la mise en conformité d’un traitement se termine par l’envoi (papier, fax ou électronique) du formulaire de déclaration. Il suffit de donner une délégation de signature (la plupart du temps au DSI), et l’affaire est réglée. Avec un CIL, c’est même encore plus simple : en dehors des cas rares des demandes d’autorisation (surtout dans le secteur particulier de la recherche), le CIL n’a qu’une inscription au registre interne à gérer. Mais avec le RGPD on change de gamme : le responsable du traitement (la MOA métier) va devoir signer (avec un stylo et sur un coin de table) l’appréciation formelle des risques. Quand il va s’agir de traitement dans le domaine RH, certes le DRH va être légèrement surpris au début, mais il s’agit d’une personne rompue aux formalités administratives, et cela ne posera aucun souci. On se trouve dans le cas présent avec une MOA facile à identifier. Mais quid du dossier patient ? Qui est la MOA dans ce cas ? Le président de CME ? Dans ce cas, il va lui falloir une délégation de signature. Le DG ? Il faudra prévoir un temps d’explication, dans un petit établissement pas de problème, mais dans un gros CHU pas évident.

Et toujours dans la même veine, qui est le responsable du traitement d’une application technique telle que la messagerie électronique ? Le DSI ? Pourquoi pas, mais chacun comprendra qu’il ne pourra pas être le DPO (facile dans un gros établissement, plus difficile dans un petit), et que le DPO ne pourra nullement dépendre de lui (pour ceux qui ne l’avaient pas encore réalisé). Dans un GHT pour lequel l’établissement support assure la conformité Cnil (et donc RGPD), le DPO devra aussi prévoir un temps d’explication aux autres directions d’établissement et ne pas se laisser prendre au piège du : « C’est à l’établissement support de signer les appréciations des risques des traitements de tout le monde », ce qui est bien entendu exclu.

Dans un gros établissement, on identifie 21 traitements (à comparer aux quelques centaines de déclarations de logiciels qui ont été faites depuis bientôt 20 ans). Sur ces 21 traitements, il faut distinguer ceux qui se rapportent aux données non sensibles (liste de fournisseurs, liste de prêt de véhicules aux agents de l’établissement, etc.) des traitements dits « sensibles » au sens de la Cnil (données médicales, données de mineurs, etc.), qui représentent entre le quart et le tiers de la liste initiale. Il va donc falloir prioritairement concentrer les efforts sur certains traitements (étape 4 du guide de la Cnil(4)). L’approche fractale me convient tout à fait dans ce contexte : réduire 80 % des non-conformités en utilisant 20 % des moyens, puis analyser l’impact (pour la vie privée autant que pour l’établissement) des 20 % des non-conformités qui ne sont pas couvertes, et recommencer.

Qu’il s’agisse de petits ou de gros établissements, dans tous les cas la direction en charge de la conformité Cnil a tout intérêt à procéder avant le 25 mai 2018 à la déclaration de ces 21 traitements (plus ou moins, selon les cas). Ainsi, à partir du 25 mai, elle ne sera redevable du RGPD que dans les cas de changement de traitement.

Pour le reste, on peut se perdre dans la liste sans fin d’actions recommandées par le RGPD, mais il semble important de revenir à l’esprit des textes, qui peut se résumer simplement : en mettant en place un traitement de données, le responsable du traitement doit se poser certaines questions ; il n’est plus possible de faire n’importe quoi avec les données des gens, et la conformité ne se résume pas à l’envoi d’un fax.


(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html 

(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html 

(3) /article/2650/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-3.html 

(4) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Illustration Intelligence artificielle : construire la confiance, renforcer les compétences

Intelligence artificielle : construire la confiance, renforcer les compétences

22 sept. 2025 - 22:31,

Tribune

-
Nausica MAIORCA

Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.