RGPD dans les GHT, J-30

D’abord, inutile d’aller quérir l’aide de juristes pour vous dresser un état des lieux aussi près de l’échéance : le temps de signer le bon de commande, de planifier quelques réunions de travail et leur restitution, vous aurez mangé la pendule. D’autant que le risque est d’avoir un livrable énorme, genre pavé de centaines de pages dont on se demande bien quoi faire.

Tâche prioritaire si ce n’est déjà fait, désigner un DPO local (ou un relais du DPO de territoire selon votre configuration de GHT ; les lignes manquent pour décrire les différences mais, en résumé, c’est surtout une affaire d’affichage politique si le DPO de territoire est véritablement chargé de coordonner cet aspect du GHT). On ne le dira jamais assez, la nomination d’un informaticien de la DSI à cette fonction est une très mauvaise idée, non que les informaticiens soient inaptes à remplir cette fonction, mais parce que l’on ne peut pas mettre en œuvre des traitements et en être juge – indépendance du DPO oblige – et ensuite parce que c’est une occasion en or de faire sortir le réglementaire Cnil de la DSI, où il n’a pas grand-chose à faire.

Ensuite, recenser ses traitements. Autant être clair, il n’y en a pas des centaines : j’en ai dénombré 33, dont 14 critiques. La plupart du temps, les établissements déclarent des fichiers ou des logiciels, alors que la réglementation stipule bien que l’on parle de traitement, qui dans la plupart des cas englobe plusieurs fichiers ou logiciels.

Vérifier ensuite que ces 33 traitements sont en règle : soit déclarés à la Cnil, soit inscrits au registre interne si l’établissement dispose d’un CIL (correspondant Informatique et Libertés).

Et puis ? Et puis c’est tout. Tant qu’aucun de ces traitements n’est modifié, l’établissement qui est en règle le 24 mai au soir le sera toujours le 25 au matin, la Cnil ayant confirmé que la conformité des traitements passés faisait foi. En revanche, bien entendu, au moindre changement dans un traitement (soit la typologie des données traitées, soit leur auteur, soit sa finalité, soit les mesures de sécurité qui l’entourent), là, on tombe sous les fourches caudines du RGPD.

C’est la raison pour laquelle il est fortement conseillé de prévoir un plan de mise en conformité de ces 33 traitements. Pour les 19 traitements non sensibles, pas de problème, une simple inscription au registre interne suffit. Mais, pour les 14 les plus épineux, il est plus sage de les mettre tous en conformité, en découpant le travail en deux phases : la mise en conformité des six traitements les plus sensibles avant le 25 mai, et l’étalement sur 12 à 18 mois des traitements restants. Les six traitements les plus sensibles sont le DPI, la gestion administrative du patient (GAP), le macrotraitement RH, la médecine du travail, l’AD et le logiciel de gestion des fiches d’événements indésirables.

Même en comptant deux journées pleines de travail pour chaque traitement (nettement surestimées pour l’AD, peut-être un peu justes pour le DPI), on doit pouvoir arriver à caser 12 jours de travail entre les viaducs de mai, et, le 25 mai à 9 heures, le futur DPO arrivera au bureau l’air serein.

Y a plus qu’à.