Quid de la conformité au RGPD en santé ?

Si vous avez lu et appliqué notre loi Informatique et Libertés, vous estimerez que le RGPD en est une merveilleuse suite. Bien sûr, si vous pensez que votre correspondant Informatique et Libertés (ce n’est pas un correspondant Cnil !) est simplement là pour faire les déclarations auprès de la Cnil, vous allez devoir revoir vos fondamentaux.

Le RGPD, malgré sa complexité (c’est un texte juridique à l’échelle de l’Europe), s’inscrit totalement, pour nous, dans les SI de santé, dans la démarche de protection des données à caractère personnel, dont les données de santé (des données sensibles !). C’est une nouvelle opportunité pour un organisme de concilier les aspects métiers, les aspects juridiques et les aspects liés à la sécurité de l’information. Tiens, on dirait un positionnement de RSSI (responsable de la sécurité des systèmes d’information), peut-être, ou bien une fonction supplémentaire et complémentaire à celle de RSSI. Le RGPD ne parle pas de RSSI, bien sûr, mais de DPD (délégué à la protection des données), ou de DPO (Data Protection Officer). Les deux fonctions, de RSSI et de DPO, ont un objectif commun : la protection des données à caractère personnel, des données sensibles. Parfois, certains se posent la question du positionnement du DPO : est-il incompatible avec la fonction de RSSI ? Aucun texte n’interdit le fait qu’une même personne soit RSSI et DPO (demandez l’article de loi qui le proscrirait à ceux qui l’affirment). La réponse : soyez pragmatique, efficace, et dans l’amélioration continue, afin de répondre aux enjeux des métiers de votre organisme. Et Avancez ! Le DPO ne peut pas être un responsable de traitement, ni directeur de l’organisme. Il y a des points de vigilance à connaître dans le RGPD. Il peut être interne à la structure, ou bien externe. Par exemple, dans le cas des GHT, un DPO pour la communauté du GHT a du sens (c’est vrai aussi pour un RSSI de GHT), et il aura potentiellement besoin de référents dans les établissements (comme les RSSI). Le DPO comme le RSSI sont des « facilitateurs » pour satisfaire à des exigences de conformité, pour répondre aux enjeux métiers de l’organisme, et pour apporter du lien et du sens.

Et rappelez-vous que, même dans un GHT, chaque établissement reste responsable et souverain pour ce qui est de ses politiques, de ses procédures et des mesures mises en œuvre.

Vous pouvez aborder le RGPD comme une contrainte supplémentaire parmi un ensemble de textes incompréhensibles réalisés par des bureaucrates qui ne connaissent pas la réalité du terrain. Encore un texte, pour nous faire acheter, très cher, des heures d’avocats, des journées de consultants ou des logiciels qui nous rendent conformes au RGPD… Bon, et après ? Cela n’aide pas beaucoup.

Ce texte existe, et s’y conformer est obligatoire, c’est factuel. Il apporte du sens dans la protection des données à caractère personnel. Il est déjà du ressort d’un organisme qui traite des données à caractère personnel, dont les données de santé pour un établissement de santé, de s’assurer de leur protection, en termes d’intégrité et de confidentialité, comme de fournir « la bonne information, à la bonne personne, au bon moment », et là vous faites le lien avec une démarche de management de la sécurité de l’information. Il est également indispensable de veiller à l’exécution des travaux des prestataires en conformité avec la réglementation et vos exigences de sécurité.

Il s’agit d’un projet d’établissement, d’un projet fédérateur et d’une nouvelle opportunité pour s’améliorer en apportant du lien entre différents métiers, aussi bien en interne qu’avec les prestataires.

Comment faire ? Je vous propose de participer à une prochaine formation sur le RGPD (avec un examen : c’est toujours bien de se lancer un défi pour progresser !) afin de comprendre les concepts de base du RGPD, ses liens avec d’autres textes, la méthodologie à suivre (démarche projet et outillage à disposer), votre mission de DPO ou ce que votre organisme doit faire. Puis vous participerez à la mise en place d’une culture RGPD, d’une culture Informatique et Libertés, dans votre organisme.

Nous travaillerons, dans un groupe volontairement orienté vers le monde de la santé (public et privé), le savoir-faire lié aux textes de loi et à l’aspect normatif ainsi que le savoir-être au travers de nos échanges et de nos retours d’expérience.

Bien sûr, vous devez être un étudiant actif lors de cette formation, car c’est vous qui êtes l’acteur principal de votre succès !

Vous savez bien que la finalité, ce n’est pas uniquement de suivre une formation et d’obtenir une certification, c’est ce qu’on en fait qui est le plus intéressant, et la fierté de faire quelque chose d’utile !

En savoir plus :  

Renseignement et inscription, par téléphone au O9 70 44 74 06 ou par email :   

Plus d’informations sur le site de