Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD ou le ball-trap des pigeons

17 oct. 2017 - 11:31,
Tribune - Cédric Cartau
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un second volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Nous avons conclu dans un dernier volet(4) sur les difficultés inhérentes à cette démarche. Il est maintenant temps de nous lâcher un peu sur ce qui est, très clairement, une entreprise d’intox généralisée chez pas mal de fournisseurs : l’esbroufe autour du RGPD, ce que cela implique et les outils pour devenir conforme.  

Récemment, je suis tombé sur un fournisseur d’antivirus qui m’affirmait avec conviction que ses produits allaient m’aider à passer le cap de la conformité au RGPD. Étonné, je lui demande en quoi. La réponse arriva tout de go : le RGPD obligeait ses clients à procéder à des analyses antivirales des répertoires de fichiers contenant des bases Access et autres fichiers Excel comportant des données nominatives. Selon lui, les articles 77 et 78 du RGPD précisaient ce point. Vérification faite, il n’en est rien, et une recherche plein texte sur les mots « malware », « virus » et « cryptolocker » sur le règlement ne donne rien : le législateur est tout sauf idiot et ne va certainement pas s’amuser à préciser des dispositifs techniques dans une loi générique, ce qui la rendrait rapidement caduque.

Le pompon dans le domaine revient certainement à la société Varonis (qui soit dit en passant propose un outil très novateur d’analyse des droits et des permissions dans les systèmes de fichiers, point souvent faible des politiques d’habilitation) qui a récemment édité un guide sur le même sujet. À la fin de l’ouvrage, on est surpris de lire des témoignages de hauts cadres ou de dirigeants d’entreprises US (on se demande bien ce qu’ils viennent faire là), mais surtout le guide se termine par une annonce fracassante(5) : dans l’UE, les données appartiennent au peuple ! Il ne manque plus que les banderoles et les sons de cornemuse.

Bon, une fois passé l’éclat de rire devant une telle ineptie, nous pouvons conseiller au PDG de Varonis de distribuer des mauvais points (ou d’autres punitions, on n’a de limite que sa propre imagination) à son équipe marketing pour lui avoir fait raconter une telle ânerie. Et ensuite, il serait intéressant que ce PDG nous explique comment on peut exercer son droit de rectification ou d’effacement sur une note d’examen (donnée publique, l’éducation étant le premier budget de la nation), une donnée de santé (secteur de la santé, deuxième budget de la nation) ou de carte d’identité, des points de permis de conduire, le casier judiciaire, la liste des fichés S, etc.

À vouloir nous fourguer à tout prix des produits RGPD friendly, ces fournisseurs ont-ils conscience qu’ils se discréditent, et dans une moindre mesure, nous aussi ? Cela me rappelle furieusement le passage à l’an 2000. À l’époque, toutes les SSII martelaient à leurs clients que sans mise à jour (coûteuse) des logiciels, l’Armageddon général aurait lieu le 1er janvier 2000 : à la poubelle les vieux progiciels DOS, merci monsieur le DSI de signer là pour la version Windows (développée la plupart du temps à la va-vite et avec les pieds puisqu’il fallait être prêt à temps). Résultat : les vieux logiciels DOS de compta ou de paye des clients (à l’époque, je travaillais chez feu Sybel) ont tous passé sans encombre l’an 2000 (et plus tard l’euro), alors qu’il aura fallu des années pour éponger les bugs des versions Windows susnommées. Mon Money 97, acheté initialement pour Windows XP, a résisté à tout, sauf à l’arrivée de Vista, mais c’était longtemps après. À la suite de la vague de l’an 2000, chez certains de mes confrères de l’époque, je n’osais aborder le sujet tant les clients avaient été pris pour des pigeons.

Le RGPD, ce n’est pas un logiciel ou un matériel, c’est un processus. Et seules les structures délivrant du conseil de bon niveau peuvent vous aider. Le reste c’est de la quincaillerie. Il faudra peut-être, dans un futur proche, acheter de la quincaillerie, mais ce n’est surtout pas l’urgence d’ici à mai 2018.


(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html 

(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html 

(3) /article/2650/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-3.html 

(4) /article/2666/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-4.html

(5) https://www.informatiquenews.fr/la-nouvelle-legislation-europeenne-sur-la-protection-des-donnees-en-5-points-norman-girard-varonis-42208 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces

Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces

23 juin 2025 - 15:53,

Tribune

-
Moh Waqas

Les hôpitaux sont aujourd’hui les cibles privilégiées des cyberattaques, menaçant la confidentialité des données, la disponibilité des services et, surtout, la sécurité des patients. Dans le contexte géopolitique actuel, marqué par la cyberguerre et l’escalade des tensions internationales, il est ur...

Illustration CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles

CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles

23 juin 2025 - 10:49,

Actualité

- Maellie Vezien, DSIH

En EHPAD, un résident chute en moyenne 1,7 fois par an, contre 0,65 à domicile. Un chiffre qui en dit long sur l’urgence de pouvoir détecter rapidement ces incidents et offrir un moyen simple et fiable d’appeler un soignant, peu importe l’endroit où se trouve le résident.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.