Publicité en cours de chargement...
RGPD dans les hôpitaux, chronique d’une prise en main – épisode 4
Le RGPD est composé d’une liste d’actions et de mesures qui toutes, prises unitairement, sont simples : il n’y a aucune difficulté dans l’établissement d’un registre, ni dans l’introduction de la privacy by design dans les projets, pas plus que dans la revue des contrats fournisseurs. Mais ces actions sont tellement nombreuses que toute la difficulté de l’opération consiste à savoir par quoi commencer, comment ne rien rater, surtout dans le contexte de gestion du risque juridique : à moins d’y consacrer des sommes considérables, dans le monde de la santé, aucun établissement ne pourra être 100 % conforme. Il faudra donc faire des choix sur les mesures les plus urgentes à prendre et celles qui attendront.
Une des difficultés qui apparaît – et qu’aucun consultant n’a évoquée devant moi – concerne la signature des appréciations des risques. Je m’explique : pour ceux qui n’ont pas de CIL (correspondant Informatique et Libertés), la mise en conformité d’un traitement se termine par l’envoi (papier, fax ou électronique) du formulaire de déclaration. Il suffit de donner une délégation de signature (la plupart du temps au DSI), et l’affaire est réglée. Avec un CIL, c’est même encore plus simple : en dehors des cas rares des demandes d’autorisation (surtout dans le secteur particulier de la recherche), le CIL n’a qu’une inscription au registre interne à gérer. Mais avec le RGPD on change de gamme : le responsable du traitement (la MOA métier) va devoir signer (avec un stylo et sur un coin de table) l’appréciation formelle des risques. Quand il va s’agir de traitement dans le domaine RH, certes le DRH va être légèrement surpris au début, mais il s’agit d’une personne rompue aux formalités administratives, et cela ne posera aucun souci. On se trouve dans le cas présent avec une MOA facile à identifier. Mais quid du dossier patient ? Qui est la MOA dans ce cas ? Le président de CME ? Dans ce cas, il va lui falloir une délégation de signature. Le DG ? Il faudra prévoir un temps d’explication, dans un petit établissement pas de problème, mais dans un gros CHU pas évident.
Et toujours dans la même veine, qui est le responsable du traitement d’une application technique telle que la messagerie électronique ? Le DSI ? Pourquoi pas, mais chacun comprendra qu’il ne pourra pas être le DPO (facile dans un gros établissement, plus difficile dans un petit), et que le DPO ne pourra nullement dépendre de lui (pour ceux qui ne l’avaient pas encore réalisé). Dans un GHT pour lequel l’établissement support assure la conformité Cnil (et donc RGPD), le DPO devra aussi prévoir un temps d’explication aux autres directions d’établissement et ne pas se laisser prendre au piège du : « C’est à l’établissement support de signer les appréciations des risques des traitements de tout le monde », ce qui est bien entendu exclu.
Dans un gros établissement, on identifie 21 traitements (à comparer aux quelques centaines de déclarations de logiciels qui ont été faites depuis bientôt 20 ans). Sur ces 21 traitements, il faut distinguer ceux qui se rapportent aux données non sensibles (liste de fournisseurs, liste de prêt de véhicules aux agents de l’établissement, etc.) des traitements dits « sensibles » au sens de la Cnil (données médicales, données de mineurs, etc.), qui représentent entre le quart et le tiers de la liste initiale. Il va donc falloir prioritairement concentrer les efforts sur certains traitements (étape 4 du guide de la Cnil(4)). L’approche fractale me convient tout à fait dans ce contexte : réduire 80 % des non-conformités en utilisant 20 % des moyens, puis analyser l’impact (pour la vie privée autant que pour l’établissement) des 20 % des non-conformités qui ne sont pas couvertes, et recommencer.
Qu’il s’agisse de petits ou de gros établissements, dans tous les cas la direction en charge de la conformité Cnil a tout intérêt à procéder avant le 25 mai 2018 à la déclaration de ces 21 traitements (plus ou moins, selon les cas). Ainsi, à partir du 25 mai, elle ne sera redevable du RGPD que dans les cas de changement de traitement.
Pour le reste, on peut se perdre dans la liste sans fin d’actions recommandées par le RGPD, mais il semble important de revenir à l’esprit des textes, qui peut se résumer simplement : en mettant en place un traitement de données, le responsable du traitement doit se poser certaines questions ; il n’est plus possible de faire n’importe quoi avec les données des gens, et la conformité ne se résume pas à l’envoi d’un fax.
(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html
(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html
(3) /article/2650/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-3.html
(4) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Avez-vous apprécié ce contenu ?
A lire également.

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)
22 juil. 2025 - 10:23,
Communiqué
- Biogroup & Agoria Santéle 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient
08 juil. 2025 - 00:49,
Actualité
- Maellie Vezien, DSIHÀ l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Le Health Data Hub dévoile les 17 lauréats de son premier appel à manifestation d’intérêt portant sur le Catalogue du SNDS
07 juil. 2025 - 23:50,
Communiqué
- Health Data HubLe Catalogue du Système national des données de santé (SNDS) fait référence à l’ensemble des bases de données de partenaires qui sont copiées dans l’environnement technique du Health Data Hub dans l’optique de mutualiser les efforts de croisement avec les données de la base principale de l’Assurance...