Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 2

26 sept. 2017 - 11:06,
Tribune - Cédric Cartau
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Attaquons à présent une question pas forcément vitale, mais importante tout de même : l’évaluation de son impact sur la vie privée des incidents de sécurité, ou l’appréciation des risques.  

S’il est un sujet qui provoque des tonnes de réflexions chez votre serviteur, c’est bien celui-là. Et je ne fais pas référence aux spécificités du RGPD, mais bien à l’appréciation des risques en général. Aucun de mes fichiers n’a autant bougé que celui-ci en l’espace de cinq années, parce qu’il est toujours question de trouver le juste milieu entre l’exhaustivité de la méthode et sa maintenabilité. Ainsi, faut-il évaluer l’impact global d’un risque, ou au contraire l’impact sur chacun des critères DIC ? Et si la seconde option est retenue, faut-il modérer ou non cet impact par les besoins de l’actif dans ces critères ? Faut-il introduire la notion d’« exploitabilité » de la menace ? Faut-il une matrice croisée entre les biens supports et les biens essentiels ? Bien entendu, on a tendance à répondre par l’affirmative à chaque question, sauf que le fichier qui en résulte est inexploitable et illisible. Ce qui va conduire à en établir une version simplifiée, et on boucle indéfiniment.

Le RGPD requiert une appréciation formelle des risques, afin que le responsable du traitement puisse évaluer ce qui est risqué et ce qui ne l’est pas, avant de prendre les mesures adéquates pour diminuer les risques considérés comme inacceptables. La question de fond est de savoir si l’on va faire une appréciation des risques de plus, ou bien la fusionner avec la précédente.

Dans le premier cas, pour chaque traitement, une appréciation formelle des risques est conduite exclusivement pour le volet RGPD, et une autre appréciation le sera pour le volet IT (la méthode et le fichier support peuvent d’ailleurs être identiques). Avantage : si le CIL et le RSSI sont deux personnes différentes, chacun son job. Inconvénient majeur : la coordination, vue de la MOA, ne simplifie pas le travail, sans compter que les deux méthodes peuvent dans certains cas aboutir à des conclusions opposées (un risque acceptable pour l’un pourrait ne pas l’être pour l’autre).

Dans le second cas, l’appréciation des risques RGPD est fusionnée avec la générale : il suffit d’ajouter dans le tableau des impacts une colonne sur la vie privée. Un tableau d’impact contient généralement les colonnes « Financier », « Image », « Juridique », chacune étant notée sur quatre niveaux (négligeable, significatif, important et critique). Il suffit de créer une colonne supplémentaire « Vie privée » (VP) qui sera appréciée de la même façon que les précédentes.

Si le DPO et le RSSI sont deux personnes distinctes, on va évidemment privilégier la conduite séparée de deux appréciations des risques, chacun sur son domaine. Rien d’étonnant d’ailleurs : si le RSSI apprécie l’impact pour l’organisation, le DPO quant à lui apprécie le risque pour la vie privée des personnes dont on traite les données ; même méthode, mais objectifs différents, c’est la volonté de la réglementation. Si au contraire le DPO est le RSSI – ce qui va être le cas dans pas mal de GHT –, alors les appréciations des risques peuvent être fusionnées.

Cela étant, même dans le second cas, je suggère de maintenir ces processus totalement distincts. Que l’on en juge : dans un GHT, le DPO va se trouver en présence de plusieurs dizaines de traitements, dont il va falloir coordonner le processus administratif RGPD avec autant de directions générales et de MOA. Autant dire qu’il sera plus pratique de maintenir un corpus documentaire séparé pour la fonction DPO. Mais je ne demande qu’à changer d’avis.

Lire la circulaire destinée au médico-social pour la sécurisation des SI

Suite au prochain épisode.


(1)   /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux

France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux

29 sept. 2025 - 13:08,

Communiqué

- Ministère de l'Enseignement supérieur et de la Recherche

Le programme France 2030 continue de stimuler l’innovation en France. Le ministère de l’Enseignement supérieur et de la Recherche a récemment lancé l’appel à projets “Pionniers de l’intelligence artificielle”, destiné à soutenir des technologies d’IA de rupture dans des secteurs stratégiques, dont l...

On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM

29 sept. 2025 - 10:43,

Tribune

-
Cédric Cartau

Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Illustration Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique

Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique

22 sept. 2025 - 11:46,

Communiqué

- Speech Processing Solutions

Speech Processing Solutions, leader mondial des solutions professionnelles de dictée sous la marque Philips, dévoile le Philips SpeechMike Ambient, un microphone intelligent de nouvelle génération qui place l’IA ambiante au service des soignants.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.