Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 3

03 oct. 2017 - 10:52,
Tribune - Cédric Cartau
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Attaquons à présent le chapitre de la démarche globale.  

Globalement, les outils à mettre en œuvre sont en nombre limité – et heureusement. Cartographie des traitements, analyse d’écart, plan d’action, EIVP (étude d’impact sur la vie privée), ISP (intégration de la sécurité dans les projets), nous avons cité les principaux. Il y a, comme à chaque fois dans ce genre de projets, deux approches générales : le mode top-down, et le mode bottom-up

Dans tous les cas, il s’agit avant toute chose de commencer par cartographier les traitements existants. Cette étape est importante et elle réserve des surprises, souvent bonnes. Par exemple dans mon CHU, au début des années 2000 la méthode de conformité Cnil revenait à déclarer tous les logiciels, et non pas les traitements. Or, un traitement englobe souvent plusieurs logiciels (il existe de rares cas où un logiciel comporte plusieurs traitements, notamment dans le domaine de la recherche, mais ils restent l’exception). Résultat : nous avions une liste de 409 déclarations Cnil. Détail amusant : la Cnil que j’ai contactée pour qu’elle me fournisse ce catalogue, histoire de vérifier que je n’avais pas de trous dans la raquette, a été totalement incapable de me fournir les éléments. Passons.

Or, un traitement c’est une finalité, des données collectées, des personnes qui les utilisent. Un premier nettoyage, basé sur ce principe, nous a permis de ramener ce décompte à 21 traitements, ce qui change pas mal la donne (et accessoirement a fait chialer quelques consultants et commerciaux de boîtes de conseil, qui avaient déjà rempli le bon de commande du Cayenne ou du Q7 en anticipant la prime de fin de trimestre).

La stratégie top-down va consister à dérouler une analyse d’écart à partir de l’état des lieux des traitements, en partant de la liste ci-dessus, en analysant les écarts pour chaque traitement (Excel travaille pour vous), en compilant ces listes d’écart pour constituer des chantiers (Excel bosse encore), lesquels seront positionnés dans le temps. Cela fonctionne, c’est quasi exhaustif, et à l’arrivée le maillot est trempé, mais on a réduit le risque de non-conformité à epsilon.

La stratégie du bottom-up s’élabore à partir des traitements les plus sensibles : dans un établissement de santé, il s’agit des traitements relatifs aux données patients (administratifs et médicaux, ce qui en fait deux), aux RH (parce que c’est là que les auditeurs viennent creuser la plupart du temps) et éventuellement aux événements indésirables (le truc dont les champs à commentaires font voir rouge la Cnil). On déroule ensuite tout le processus RGPD (inscription au registre, EIVP, suivi des mesures de sécurisation) pour ces quatre traitements (par exemple un par mois), le reste des traitements sera ainsi étalé dans le temps, sur une durée de 12 à 18 mois. En réalité, le risque de non-conformité est faible puisque la plupart de ces traitements ont déjà été déclarés à la Cnil : il n’y a que le cas du changement au sein dudit traitement qui impose de rejouer le RGPD.

Suite au prochain épisode.


(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html 

(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,

Tribune

-
Cédric Cartau

Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.