RGPD ou le ball-trap des pigeons

17 oct. 2017 - 11:31,

Tribune

- Cédric Cartau
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un second volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Nous avons conclu dans un dernier volet(4) sur les difficultés inhérentes à cette démarche. Il est maintenant temps de nous lâcher un peu sur ce qui est, très clairement, une entreprise d’intox généralisée chez pas mal de fournisseurs : l’esbroufe autour du RGPD, ce que cela implique et les outils pour devenir conforme.  

Récemment, je suis tombé sur un fournisseur d’antivirus qui m’affirmait avec conviction que ses produits allaient m’aider à passer le cap de la conformité au RGPD. Étonné, je lui demande en quoi. La réponse arriva tout de go : le RGPD obligeait ses clients à procéder à des analyses antivirales des répertoires de fichiers contenant des bases Access et autres fichiers Excel comportant des données nominatives. Selon lui, les articles 77 et 78 du RGPD précisaient ce point. Vérification faite, il n’en est rien, et une recherche plein texte sur les mots « malware », « virus » et « cryptolocker » sur le règlement ne donne rien : le législateur est tout sauf idiot et ne va certainement pas s’amuser à préciser des dispositifs techniques dans une loi générique, ce qui la rendrait rapidement caduque.

Le pompon dans le domaine revient certainement à la société Varonis (qui soit dit en passant propose un outil très novateur d’analyse des droits et des permissions dans les systèmes de fichiers, point souvent faible des politiques d’habilitation) qui a récemment édité un guide sur le même sujet. À la fin de l’ouvrage, on est surpris de lire des témoignages de hauts cadres ou de dirigeants d’entreprises US (on se demande bien ce qu’ils viennent faire là), mais surtout le guide se termine par une annonce fracassante(5) : dans l’UE, les données appartiennent au peuple ! Il ne manque plus que les banderoles et les sons de cornemuse.

Bon, une fois passé l’éclat de rire devant une telle ineptie, nous pouvons conseiller au PDG de Varonis de distribuer des mauvais points (ou d’autres punitions, on n’a de limite que sa propre imagination) à son équipe marketing pour lui avoir fait raconter une telle ânerie. Et ensuite, il serait intéressant que ce PDG nous explique comment on peut exercer son droit de rectification ou d’effacement sur une note d’examen (donnée publique, l’éducation étant le premier budget de la nation), une donnée de santé (secteur de la santé, deuxième budget de la nation) ou de carte d’identité, des points de permis de conduire, le casier judiciaire, la liste des fichés S, etc.

À vouloir nous fourguer à tout prix des produits RGPD friendly, ces fournisseurs ont-ils conscience qu’ils se discréditent, et dans une moindre mesure, nous aussi ? Cela me rappelle furieusement le passage à l’an 2000. À l’époque, toutes les SSII martelaient à leurs clients que sans mise à jour (coûteuse) des logiciels, l’Armageddon général aurait lieu le 1er janvier 2000 : à la poubelle les vieux progiciels DOS, merci monsieur le DSI de signer là pour la version Windows (développée la plupart du temps à la va-vite et avec les pieds puisqu’il fallait être prêt à temps). Résultat : les vieux logiciels DOS de compta ou de paye des clients (à l’époque, je travaillais chez feu Sybel) ont tous passé sans encombre l’an 2000 (et plus tard l’euro), alors qu’il aura fallu des années pour éponger les bugs des versions Windows susnommées. Mon Money 97, acheté initialement pour Windows XP, a résisté à tout, sauf à l’arrivée de Vista, mais c’était longtemps après. À la suite de la vague de l’an 2000, chez certains de mes confrères de l’époque, je n’osais aborder le sujet tant les clients avaient été pris pour des pigeons.

Le RGPD, ce n’est pas un logiciel ou un matériel, c’est un processus. Et seules les structures délivrant du conseil de bon niveau peuvent vous aider. Le reste c’est de la quincaillerie. Il faudra peut-être, dans un futur proche, acheter de la quincaillerie, mais ce n’est surtout pas l’urgence d’ici à mai 2018.


(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html 

(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html 

(3) /article/2650/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-3.html 

(4) /article/2666/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-4.html

(5) https://www.informatiquenews.fr/la-nouvelle-legislation-europeenne-sur-la-protection-des-donnees-en-5-points-norman-girard-varonis-42208 

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie