Publicité en cours de chargement...
RGPD dans les GHT, J-30
D’abord, inutile d’aller quérir l’aide de juristes pour vous dresser un état des lieux aussi près de l’échéance : le temps de signer le bon de commande, de planifier quelques réunions de travail et leur restitution, vous aurez mangé la pendule. D’autant que le risque est d’avoir un livrable énorme, genre pavé de centaines de pages dont on se demande bien quoi faire.
Tâche prioritaire si ce n’est déjà fait, désigner un DPO local (ou un relais du DPO de territoire selon votre configuration de GHT ; les lignes manquent pour décrire les différences mais, en résumé, c’est surtout une affaire d’affichage politique si le DPO de territoire est véritablement chargé de coordonner cet aspect du GHT). On ne le dira jamais assez, la nomination d’un informaticien de la DSI à cette fonction est une très mauvaise idée, non que les informaticiens soient inaptes à remplir cette fonction, mais parce que l’on ne peut pas mettre en œuvre des traitements et en être juge – indépendance du DPO oblige – et ensuite parce que c’est une occasion en or de faire sortir le réglementaire Cnil de la DSI, où il n’a pas grand-chose à faire.
Ensuite, recenser ses traitements. Autant être clair, il n’y en a pas des centaines : j’en ai dénombré 33, dont 14 critiques. La plupart du temps, les établissements déclarent des fichiers ou des logiciels, alors que la réglementation stipule bien que l’on parle de traitement, qui dans la plupart des cas englobe plusieurs fichiers ou logiciels.
Vérifier ensuite que ces 33 traitements sont en règle : soit déclarés à la Cnil, soit inscrits au registre interne si l’établissement dispose d’un CIL (correspondant Informatique et Libertés).
Et puis ? Et puis c’est tout. Tant qu’aucun de ces traitements n’est modifié, l’établissement qui est en règle le 24 mai au soir le sera toujours le 25 au matin, la Cnil ayant confirmé que la conformité des traitements passés faisait foi. En revanche, bien entendu, au moindre changement dans un traitement (soit la typologie des données traitées, soit leur auteur, soit sa finalité, soit les mesures de sécurité qui l’entourent), là, on tombe sous les fourches caudines du RGPD.
C’est la raison pour laquelle il est fortement conseillé de prévoir un plan de mise en conformité de ces 33 traitements. Pour les 19 traitements non sensibles, pas de problème, une simple inscription au registre interne suffit. Mais, pour les 14 les plus épineux, il est plus sage de les mettre tous en conformité, en découpant le travail en deux phases : la mise en conformité des six traitements les plus sensibles avant le 25 mai, et l’étalement sur 12 à 18 mois des traitements restants. Les six traitements les plus sensibles sont le DPI, la gestion administrative du patient (GAP), le macrotraitement RH, la médecine du travail, l’AD et le logiciel de gestion des fiches d’événements indésirables.
Même en comptant deux journées pleines de travail pour chaque traitement (nettement surestimées pour l’AD, peut-être un peu justes pour le DPI), on doit pouvoir arriver à caser 12 jours de travail entre les viaducs de mai, et, le 25 mai à 9 heures, le futur DPO arrivera au bureau l’air serein.
Y a plus qu’à.
Avez-vous apprécié ce contenu ?
A lire également.

France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux
29 sept. 2025 - 13:08,
Communiqué
- Ministère de l'Enseignement supérieur et de la RechercheLe programme France 2030 continue de stimuler l’innovation en France. Le ministère de l’Enseignement supérieur et de la Recherche a récemment lancé l’appel à projets “Pionniers de l’intelligence artificielle”, destiné à soutenir des technologies d’IA de rupture dans des secteurs stratégiques, dont l...
On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM
29 sept. 2025 - 10:43,
Tribune
-Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !
Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.
22 sept. 2025 - 22:16,
Tribune
-Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique
22 sept. 2025 - 11:46,
Communiqué
- Speech Processing SolutionsSpeech Processing Solutions, leader mondial des solutions professionnelles de dictée sous la marque Philips, dévoile le Philips SpeechMike Ambient, un microphone intelligent de nouvelle génération qui place l’IA ambiante au service des soignants.