Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 3

03 oct. 2017 - 10:52,
Tribune - Cédric Cartau
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Attaquons à présent le chapitre de la démarche globale.  

Globalement, les outils à mettre en œuvre sont en nombre limité – et heureusement. Cartographie des traitements, analyse d’écart, plan d’action, EIVP (étude d’impact sur la vie privée), ISP (intégration de la sécurité dans les projets), nous avons cité les principaux. Il y a, comme à chaque fois dans ce genre de projets, deux approches générales : le mode top-down, et le mode bottom-up

Dans tous les cas, il s’agit avant toute chose de commencer par cartographier les traitements existants. Cette étape est importante et elle réserve des surprises, souvent bonnes. Par exemple dans mon CHU, au début des années 2000 la méthode de conformité Cnil revenait à déclarer tous les logiciels, et non pas les traitements. Or, un traitement englobe souvent plusieurs logiciels (il existe de rares cas où un logiciel comporte plusieurs traitements, notamment dans le domaine de la recherche, mais ils restent l’exception). Résultat : nous avions une liste de 409 déclarations Cnil. Détail amusant : la Cnil que j’ai contactée pour qu’elle me fournisse ce catalogue, histoire de vérifier que je n’avais pas de trous dans la raquette, a été totalement incapable de me fournir les éléments. Passons.

Or, un traitement c’est une finalité, des données collectées, des personnes qui les utilisent. Un premier nettoyage, basé sur ce principe, nous a permis de ramener ce décompte à 21 traitements, ce qui change pas mal la donne (et accessoirement a fait chialer quelques consultants et commerciaux de boîtes de conseil, qui avaient déjà rempli le bon de commande du Cayenne ou du Q7 en anticipant la prime de fin de trimestre).

La stratégie top-down va consister à dérouler une analyse d’écart à partir de l’état des lieux des traitements, en partant de la liste ci-dessus, en analysant les écarts pour chaque traitement (Excel travaille pour vous), en compilant ces listes d’écart pour constituer des chantiers (Excel bosse encore), lesquels seront positionnés dans le temps. Cela fonctionne, c’est quasi exhaustif, et à l’arrivée le maillot est trempé, mais on a réduit le risque de non-conformité à epsilon.

La stratégie du bottom-up s’élabore à partir des traitements les plus sensibles : dans un établissement de santé, il s’agit des traitements relatifs aux données patients (administratifs et médicaux, ce qui en fait deux), aux RH (parce que c’est là que les auditeurs viennent creuser la plupart du temps) et éventuellement aux événements indésirables (le truc dont les champs à commentaires font voir rouge la Cnil). On déroule ensuite tout le processus RGPD (inscription au registre, EIVP, suivi des mesures de sécurisation) pour ces quatre traitements (par exemple un par mois), le reste des traitements sera ainsi étalé dans le temps, sur une durée de 12 à 18 mois. En réalité, le risque de non-conformité est faible puisque la plupart de ces traitements ont déjà été déclarés à la Cnil : il n’y a que le cas du changement au sein dudit traitement qui impose de rejouer le RGPD.

Suite au prochain épisode.


(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html 

(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Marc Bertrand-Mapataud nommé directeur des ressources humaines de l’AP-HP

Marc Bertrand-Mapataud nommé directeur des ressources humaines de l’AP-HP

17 juin 2025 - 11:59,

Communiqué

- l’AP-HP

Nicolas Revel, directeur général de l’AP-HP, a nommé Marc Bertrand-Mapataud, directeur des ressources humaines de l’AP-HP, à compter du 16 juin 2025. Il succède ainsi à Vannessa Fage-Moreel, actuellement adjointe au directeur du groupe hospitalo-universitaire (GHU) AP-HP. Nord - Université Paris Cit...

Illustration Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement

16 juin 2025 - 22:32,

Tribune

-
Amélie BOURCIER

Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...

Illustration Urgences hospitalières : des outils numériques du Québec qui font la différence

Urgences hospitalières : des outils numériques du Québec qui font la différence

16 juin 2025 - 13:48,

Communiqué

- LGI Solutions Santé,

Face à la saturation des urgences hospitalières en France, des solutions concrètes existent. Dans un webinaire organisé par l’entreprise québécoise LGI Solutions Santé, vous découvrirez trois outils numériques conçus pour améliorer la coordination des services, alléger la charge du personnel soignan...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.