Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD dans les GHT, J-30

23 avril 2018 - 11:36,
Tribune - Cédric Cartau
Il reste à peine un mois avant l’entrée en vigueur du RGPD, et certains se demandent comment utiliser au mieux les courtes semaines qu’il leur reste : quelques conseils de bon sens.

D’abord, inutile d’aller quérir l’aide de juristes pour vous dresser un état des lieux aussi près de l’échéance : le temps de signer le bon de commande, de planifier quelques réunions de travail et leur restitution, vous aurez mangé la pendule. D’autant que le risque est d’avoir un livrable énorme, genre pavé de centaines de pages dont on se demande bien quoi faire.

Tâche prioritaire si ce n’est déjà fait, désigner un DPO local (ou un relais du DPO de territoire selon votre configuration de GHT ; les lignes manquent pour décrire les différences mais, en résumé, c’est surtout une affaire d’affichage politique si le DPO de territoire est véritablement chargé de coordonner cet aspect du GHT). On ne le dira jamais assez, la nomination d’un informaticien de la DSI à cette fonction est une très mauvaise idée, non que les informaticiens soient inaptes à remplir cette fonction, mais parce que l’on ne peut pas mettre en œuvre des traitements et en être juge – indépendance du DPO oblige – et ensuite parce que c’est une occasion en or de faire sortir le réglementaire Cnil de la DSI, où il n’a pas grand-chose à faire.

Ensuite, recenser ses traitements. Autant être clair, il n’y en a pas des centaines : j’en ai dénombré 33, dont 14 critiques. La plupart du temps, les établissements déclarent des fichiers ou des logiciels, alors que la réglementation stipule bien que l’on parle de traitement, qui dans la plupart des cas englobe plusieurs fichiers ou logiciels.

Vérifier ensuite que ces 33 traitements sont en règle : soit déclarés à la Cnil, soit inscrits au registre interne si l’établissement dispose d’un CIL (correspondant Informatique et Libertés).

Et puis ? Et puis c’est tout. Tant qu’aucun de ces traitements n’est modifié, l’établissement qui est en règle le 24 mai au soir le sera toujours le 25 au matin, la Cnil ayant confirmé que la conformité des traitements passés faisait foi. En revanche, bien entendu, au moindre changement dans un traitement (soit la typologie des données traitées, soit leur auteur, soit sa finalité, soit les mesures de sécurité qui l’entourent), là, on tombe sous les fourches caudines du RGPD.

C’est la raison pour laquelle il est fortement conseillé de prévoir un plan de mise en conformité de ces 33 traitements. Pour les 19 traitements non sensibles, pas de problème, une simple inscription au registre interne suffit. Mais, pour les 14 les plus épineux, il est plus sage de les mettre tous en conformité, en découpant le travail en deux phases : la mise en conformité des six traitements les plus sensibles avant le 25 mai, et l’étalement sur 12 à 18 mois des traitements restants. Les six traitements les plus sensibles sont le DPI, la gestion administrative du patient (GAP), le macrotraitement RH, la médecine du travail, l’AD et le logiciel de gestion des fiches d’événements indésirables.

Même en comptant deux journées pleines de travail pour chaque traitement (nettement surestimées pour l’AD, peut-être un peu justes pour le DPI), on doit pouvoir arriver à caser 12 jours de travail entre les viaducs de mai, et, le 25 mai à 9 heures, le futur DPO arrivera au bureau l’air serein.

Y a plus qu’à.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration L’entrainement à la gestion de crise cyber : simuler pour développer les bons réflexes

L’entrainement à la gestion de crise cyber : simuler pour développer les bons réflexes

16 mai 2025 - 15:49,

Tribune

- Weliom, Manon DALLEAU & Kévin DELMOTTE

Les établissements sanitaires ont depuis 2023 l’obligation de réaliser des exercices de gestion de crise cyber chaque année. Quels sont les objectifs de ces entraînements en condition réelle et quels en sont les bénéfices ?

Illustration Mass Reading : la nouvelle technologie qui simplifie le circuit du médicament

Mass Reading : la nouvelle technologie qui simplifie le circuit du médicament

16 mai 2025 - 13:04,

Communiqué

- Softway Medical

Renforcement de l’efficacité opérationnelle, sécurisation du système informatique, rationalisation des interfaces et des installations, réduction du nombre de prestataires et des contrats de maintenance : avec le Mass Reading, le Groupe Softway Medical présente une innovation majeure dans la gestion...

Illustration SantExpo 2025 : La Poste Santé & Autonomie accélère l’innovation et dévoile sa nouvelle stratégie Data Centrée

SantExpo 2025 : La Poste Santé & Autonomie accélère l’innovation et dévoile sa nouvelle stratégie Data Centrée

16 mai 2025 - 12:18,

Communiqué

- La Poste Santé & Autonomie

À l’occasion de SantExpo 2025, La Poste Santé & Autonomie réaffirme son ambition : conjuguer proximité humaine et excellence numérique pour améliorer concrètement la qualité de vie des professionnels de santé comme des patients.

Illustration Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data

Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data

14 mai 2025 - 16:59,

Communiqué

- ANAP

Sylvain Delair, directeur d’hôpital, prend la tête de la nouvelle cellule Data de l’Anap. Après avoir créé la Direction Data du CHU de Grenoble, il met son expertise au service de l’ensemble des établissements en contribuant à renforcer l’offre Data de l’Anap.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.