RGPD dans les hôpitaux, chronique d’une prise en main – épisode 3

Globalement, les outils à mettre en œuvre sont en nombre limité – et heureusement. Cartographie des traitements, analyse d’écart, plan d’action, EIVP (étude d’impact sur la vie privée), ISP (intégration de la sécurité dans les projets), nous avons cité les principaux. Il y a, comme à chaque fois dans ce genre de projets, deux approches générales : le mode top-down, et le mode bottom-up. 

Dans tous les cas, il s’agit avant toute chose de commencer par cartographier les traitements existants. Cette étape est importante et elle réserve des surprises, souvent bonnes. Par exemple dans mon CHU, au début des années 2000 la méthode de conformité Cnil revenait à déclarer tous les logiciels, et non pas les traitements. Or, un traitement englobe souvent plusieurs logiciels (il existe de rares cas où un logiciel comporte plusieurs traitements, notamment dans le domaine de la recherche, mais ils restent l’exception). Résultat : nous avions une liste de 409 déclarations Cnil. Détail amusant : la Cnil que j’ai contactée pour qu’elle me fournisse ce catalogue, histoire de vérifier que je n’avais pas de trous dans la raquette, a été totalement incapable de me fournir les éléments. Passons.

Or, un traitement c’est une finalité, des données collectées, des personnes qui les utilisent. Un premier nettoyage, basé sur ce principe, nous a permis de ramener ce décompte à 21 traitements, ce qui change pas mal la donne (et accessoirement a fait chialer quelques consultants et commerciaux de boîtes de conseil, qui avaient déjà rempli le bon de commande du Cayenne ou du Q7 en anticipant la prime de fin de trimestre).

La stratégie top-down va consister à dérouler une analyse d’écart à partir de l’état des lieux des traitements, en partant de la liste ci-dessus, en analysant les écarts pour chaque traitement (Excel travaille pour vous), en compilant ces listes d’écart pour constituer des chantiers (Excel bosse encore), lesquels seront positionnés dans le temps. Cela fonctionne, c’est quasi exhaustif, et à l’arrivée le maillot est trempé, mais on a réduit le risque de non-conformité à epsilon.

La stratégie du bottom-up s’élabore à partir des traitements les plus sensibles : dans un établissement de santé, il s’agit des traitements relatifs aux données patients (administratifs et médicaux, ce qui en fait deux), aux RH (parce que c’est là que les auditeurs viennent creuser la plupart du temps) et éventuellement aux événements indésirables (le truc dont les champs à commentaires font voir rouge la Cnil). On déroule ensuite tout le processus RGPD (inscription au registre, EIVP, suivi des mesures de sécurisation) pour ces quatre traitements (par exemple un par mois), le reste des traitements sera ainsi étalé dans le temps, sur une durée de 12 à 18 mois. En réalité, le risque de non-conformité est faible puisque la plupart de ces traitements ont déjà été déclarés à la Cnil : il n’y a que le cas du changement au sein dudit traitement qui impose de rejouer le RGPD.

Suite au prochain épisode.

(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html 

(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html