Publicité en cours de chargement...
RGPD dans les hôpitaux, chronique d’une prise en main – épisode 3
Globalement, les outils à mettre en œuvre sont en nombre limité – et heureusement. Cartographie des traitements, analyse d’écart, plan d’action, EIVP (étude d’impact sur la vie privée), ISP (intégration de la sécurité dans les projets), nous avons cité les principaux. Il y a, comme à chaque fois dans ce genre de projets, deux approches générales : le mode top-down, et le mode bottom-up.
Dans tous les cas, il s’agit avant toute chose de commencer par cartographier les traitements existants. Cette étape est importante et elle réserve des surprises, souvent bonnes. Par exemple dans mon CHU, au début des années 2000 la méthode de conformité Cnil revenait à déclarer tous les logiciels, et non pas les traitements. Or, un traitement englobe souvent plusieurs logiciels (il existe de rares cas où un logiciel comporte plusieurs traitements, notamment dans le domaine de la recherche, mais ils restent l’exception). Résultat : nous avions une liste de 409 déclarations Cnil. Détail amusant : la Cnil que j’ai contactée pour qu’elle me fournisse ce catalogue, histoire de vérifier que je n’avais pas de trous dans la raquette, a été totalement incapable de me fournir les éléments. Passons.
Or, un traitement c’est une finalité, des données collectées, des personnes qui les utilisent. Un premier nettoyage, basé sur ce principe, nous a permis de ramener ce décompte à 21 traitements, ce qui change pas mal la donne (et accessoirement a fait chialer quelques consultants et commerciaux de boîtes de conseil, qui avaient déjà rempli le bon de commande du Cayenne ou du Q7 en anticipant la prime de fin de trimestre).
La stratégie top-down va consister à dérouler une analyse d’écart à partir de l’état des lieux des traitements, en partant de la liste ci-dessus, en analysant les écarts pour chaque traitement (Excel travaille pour vous), en compilant ces listes d’écart pour constituer des chantiers (Excel bosse encore), lesquels seront positionnés dans le temps. Cela fonctionne, c’est quasi exhaustif, et à l’arrivée le maillot est trempé, mais on a réduit le risque de non-conformité à epsilon.
La stratégie du bottom-up s’élabore à partir des traitements les plus sensibles : dans un établissement de santé, il s’agit des traitements relatifs aux données patients (administratifs et médicaux, ce qui en fait deux), aux RH (parce que c’est là que les auditeurs viennent creuser la plupart du temps) et éventuellement aux événements indésirables (le truc dont les champs à commentaires font voir rouge la Cnil). On déroule ensuite tout le processus RGPD (inscription au registre, EIVP, suivi des mesures de sécurisation) pour ces quatre traitements (par exemple un par mois), le reste des traitements sera ainsi étalé dans le temps, sur une durée de 12 à 18 mois. En réalité, le risque de non-conformité est faible puisque la plupart de ces traitements ont déjà été déclarés à la Cnil : il n’y a que le cas du changement au sein dudit traitement qui impose de rejouer le RGPD.
Suite au prochain épisode.
(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html
(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html
Avez-vous apprécié ce contenu ?
A lire également.

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital
24 mars 2025 - 20:32,
Actualité
- DSIH,Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC
10 mars 2025 - 19:33,
Tribune
-Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...