Publicité en cours de chargement...
3e Colloque SSI Santé du ministère (partie 2)
Thomas Dautieu, directeur adjoint à la Direction de la conformité de la Cnil, voit dans ce règlement une « crédibilisation » des « Cnil » européennes, une responsabilisation des acteurs avec le renforcement des droits des personnes ainsi que le renforcement des sanctions.
« Je suis surpris de voir l’étonnement provoqué par ce règlement. La protection des données à caractère personnel n’a rien de nouveau : elle existe depuis 40 ans ! », a-t-il rappelé avant d’exposer les grandes obligations de ce règlement :
- réaliser des analyses d’impact (avec l’outil PIA fourni par la Cnil, par exemple) ;
- notifier la Cnil et les victimes lors d’incidents ;
- mettre en place des mesures techniques et organisationnelles pour agencer la mise en conformité ;
- nommer un délégué à la protection des données (DPD), le fameux DPO, Data Protection Officer en anglais ;
- tenir un registre des traitements.
Ce règlement valide le choix qu’avait fait la France avec la désignation du CIL (correspondant Informatique et Libertés).
Selon lui, « le DPD doit :
- connaître les métiers ;
- connaître la réalité opérationnelle ;
- avoir une autorité, un bon niveau hiérarchique au sein de son établissement ;
- avoir des remontées d’informations. »
Il a par ailleurs souligné que « sa fonction ne doit pas se confondre avec celle du responsable de traitement. Il doit pouvoir mener des audits et mettre les mains dans le cambouis ».
Cédric Cartau, a quant à lui présenté son approche de la mise en œuvre de la conformité RGPD au CHU de Nantes.
Il a relevé que certaines obligations ne s’appliquaient pas aux données de santé de nos établissements, comme le recueil du consentement et le droit à l’effacement.
Dans sa cartographie des traitements, revue perpétuellement en mode PDCA (ou roue de Deming), il a identifié que peu de traitements étaient finalement sensibles.
« Aujourd’hui, il faut déclarer des traitements de données et non des logiciels ! »
Pour 409 logiciels au CHU de Nantes, il n’y a en réalité que 23 traitements. 20 à 30 logiciels servent à un seul et même traitement.
Il a également rappelé qu’au sein d’un établissement de santé les traitements de données à caractère personnel ne se limitaient pas aux données des patients et qu’il ne fallait pas oublier les traitements qui concernent les ressources humaines et la médecine du travail.
« Les traitements concernant la recherche posent problème car la frontière entre recherche et soins manque souvent de clarté », a-t-il précisé.
Cédric a également attiré l’attention sur les traitements relatifs aux enquêtes :
« Si elles sont anonymes, le RGPD ne s’applique pas, mais dans certains cas, les résultats sont détournés vers un dossier patient bis ! »
Ainsi que sur la partie décisionnelle :
« Le requêtage peut, dans certains cas, faire l’objet d’un traitement à part. »
Selon lui, nous n’avons pas d’autre choix que de faire confiance aux professionnels, tout en les responsabilisant :
« Maîtriser les fichiers bureautiques sauvages qui traînent sur le SI est impossible ! »
Il faut s’appuyer sur la réglementation. La charte informatique doit imposer de placer les données dans les logiciels métiers, ce qui permettra d’engager la responsabilité de l’agent en cas de non-respect.
Le responsable de traitement doit lui aussi s’engager en signant l’analyse d’impact obligatoire pour chaque traitement.
En ce qui concerne les prestataires, Cédric préconise de leur demander de réaliser des audits :
« Démontrez-nous que vous vous êtes posé un minimum de questions, c’est ce que dit le RGS ! »
« Il faut exiger d’eux ce qu’exige de nous la Cnil ! », a-t-il conclu.
Lors des échanges avec la salle sur ce thème, notre FSSI, Philippe Loudenot, a indiqué que le RGPD rappelait bien l’importance de protéger les données dans leur ensemble (DICP), et pas seulement leur confidentialité !
À suivre…
(1) 3ème Colloque SSI Santé du ministère (Partie 1)
(2) règlement général européen sur la protection des données
Avez-vous apprécié ce contenu ?
A lire également.

Les innovations de l’application Chimio
20 mai 2025 - 23:47,
Communiqué
- Computer EngineeringAvec la possibilité de mettre en place un « Chimio de territoire » et l’utilisation de la réalité augmentée dans la préparation des poches de chimiothérapie, Computer Engineering propose des réponses globales et sécurisées aux services d’oncologie, quelle que soit la configuration des sites.

En avant-première : la nouvelle solution de transcription de consultation par l'IA souveraine et éthique signée La Poste Santé & Autonomie
20 mai 2025 - 23:39,
Actualité
- Par Pauline Nicolas, DSIHRemettre l’échange entre le patient et le médecin au centre de la prise en charge. Telle est l’ambition de DALVIA Vox, la nouvelle solution souveraine de reconnaissance vocale et de retranscription basée sur l’IA signée La Poste Santé & Autonomie. Présentation, en direct de cette 59ème édition de Sa...

En direct de SantExpo | Dossier Patient Informatisé : l’AP-HP réaffirme son engagement de transformation à 3 ans, grâce à Care4U, en partenariat avec Dedalus
20 mai 2025 - 15:32,
Communiqué
- DedalusC’est une étape majeure dans l'évolution du dossier patient informatisé (DPI) de l’AP-HP, construit autour de la solution Orbis®, éditée par Dedalus, avec la transition vers la nouvelle génération de DPI : Care4U. Quinze ans après sa première installation, le DPI Dedalus est utilisé par près de 70 0...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...