Publicité en cours de chargement...
RGPD dans les GHT, J-30
D’abord, inutile d’aller quérir l’aide de juristes pour vous dresser un état des lieux aussi près de l’échéance : le temps de signer le bon de commande, de planifier quelques réunions de travail et leur restitution, vous aurez mangé la pendule. D’autant que le risque est d’avoir un livrable énorme, genre pavé de centaines de pages dont on se demande bien quoi faire.
Tâche prioritaire si ce n’est déjà fait, désigner un DPO local (ou un relais du DPO de territoire selon votre configuration de GHT ; les lignes manquent pour décrire les différences mais, en résumé, c’est surtout une affaire d’affichage politique si le DPO de territoire est véritablement chargé de coordonner cet aspect du GHT). On ne le dira jamais assez, la nomination d’un informaticien de la DSI à cette fonction est une très mauvaise idée, non que les informaticiens soient inaptes à remplir cette fonction, mais parce que l’on ne peut pas mettre en œuvre des traitements et en être juge – indépendance du DPO oblige – et ensuite parce que c’est une occasion en or de faire sortir le réglementaire Cnil de la DSI, où il n’a pas grand-chose à faire.
Ensuite, recenser ses traitements. Autant être clair, il n’y en a pas des centaines : j’en ai dénombré 33, dont 14 critiques. La plupart du temps, les établissements déclarent des fichiers ou des logiciels, alors que la réglementation stipule bien que l’on parle de traitement, qui dans la plupart des cas englobe plusieurs fichiers ou logiciels.
Vérifier ensuite que ces 33 traitements sont en règle : soit déclarés à la Cnil, soit inscrits au registre interne si l’établissement dispose d’un CIL (correspondant Informatique et Libertés).
Et puis ? Et puis c’est tout. Tant qu’aucun de ces traitements n’est modifié, l’établissement qui est en règle le 24 mai au soir le sera toujours le 25 au matin, la Cnil ayant confirmé que la conformité des traitements passés faisait foi. En revanche, bien entendu, au moindre changement dans un traitement (soit la typologie des données traitées, soit leur auteur, soit sa finalité, soit les mesures de sécurité qui l’entourent), là, on tombe sous les fourches caudines du RGPD.
C’est la raison pour laquelle il est fortement conseillé de prévoir un plan de mise en conformité de ces 33 traitements. Pour les 19 traitements non sensibles, pas de problème, une simple inscription au registre interne suffit. Mais, pour les 14 les plus épineux, il est plus sage de les mettre tous en conformité, en découpant le travail en deux phases : la mise en conformité des six traitements les plus sensibles avant le 25 mai, et l’étalement sur 12 à 18 mois des traitements restants. Les six traitements les plus sensibles sont le DPI, la gestion administrative du patient (GAP), le macrotraitement RH, la médecine du travail, l’AD et le logiciel de gestion des fiches d’événements indésirables.
Même en comptant deux journées pleines de travail pour chaque traitement (nettement surestimées pour l’AD, peut-être un peu justes pour le DPI), on doit pouvoir arriver à caser 12 jours de travail entre les viaducs de mai, et, le 25 mai à 9 heures, le futur DPO arrivera au bureau l’air serein.
Y a plus qu’à.
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...