Publicité en cours de chargement...
Quid de la conformité au RGPD en santé ?
Si vous avez lu et appliqué notre loi Informatique et Libertés, vous estimerez que le RGPD en est une merveilleuse suite. Bien sûr, si vous pensez que votre correspondant Informatique et Libertés (ce n’est pas un correspondant Cnil !) est simplement là pour faire les déclarations auprès de la Cnil, vous allez devoir revoir vos fondamentaux.
Le RGPD, malgré sa complexité (c’est un texte juridique à l’échelle de l’Europe), s’inscrit totalement, pour nous, dans les SI de santé, dans la démarche de protection des données à caractère personnel, dont les données de santé (des données sensibles !). C’est une nouvelle opportunité pour un organisme de concilier les aspects métiers, les aspects juridiques et les aspects liés à la sécurité de l’information. Tiens, on dirait un positionnement de RSSI (responsable de la sécurité des systèmes d’information), peut-être, ou bien une fonction supplémentaire et complémentaire à celle de RSSI. Le RGPD ne parle pas de RSSI, bien sûr, mais de DPD (délégué à la protection des données), ou de DPO (Data Protection Officer). Les deux fonctions, de RSSI et de DPO, ont un objectif commun : la protection des données à caractère personnel, des données sensibles. Parfois, certains se posent la question du positionnement du DPO : est-il incompatible avec la fonction de RSSI ? Aucun texte n’interdit le fait qu’une même personne soit RSSI et DPO (demandez l’article de loi qui le proscrirait à ceux qui l’affirment). La réponse : soyez pragmatique, efficace, et dans l’amélioration continue, afin de répondre aux enjeux des métiers de votre organisme. Et Avancez ! Le DPO ne peut pas être un responsable de traitement, ni directeur de l’organisme. Il y a des points de vigilance à connaître dans le RGPD. Il peut être interne à la structure, ou bien externe. Par exemple, dans le cas des GHT, un DPO pour la communauté du GHT a du sens (c’est vrai aussi pour un RSSI de GHT), et il aura potentiellement besoin de référents dans les établissements (comme les RSSI). Le DPO comme le RSSI sont des « facilitateurs » pour satisfaire à des exigences de conformité, pour répondre aux enjeux métiers de l’organisme, et pour apporter du lien et du sens.
Et rappelez-vous que, même dans un GHT, chaque établissement reste responsable et souverain pour ce qui est de ses politiques, de ses procédures et des mesures mises en œuvre.
Vous pouvez aborder le RGPD comme une contrainte supplémentaire parmi un ensemble de textes incompréhensibles réalisés par des bureaucrates qui ne connaissent pas la réalité du terrain. Encore un texte, pour nous faire acheter, très cher, des heures d’avocats, des journées de consultants ou des logiciels qui nous rendent conformes au RGPD… Bon, et après ? Cela n’aide pas beaucoup.
Ce texte existe, et s’y conformer est obligatoire, c’est factuel. Il apporte du sens dans la protection des données à caractère personnel. Il est déjà du ressort d’un organisme qui traite des données à caractère personnel, dont les données de santé pour un établissement de santé, de s’assurer de leur protection, en termes d’intégrité et de confidentialité, comme de fournir « la bonne information, à la bonne personne, au bon moment », et là vous faites le lien avec une démarche de management de la sécurité de l’information. Il est également indispensable de veiller à l’exécution des travaux des prestataires en conformité avec la réglementation et vos exigences de sécurité.
Il s’agit d’un projet d’établissement, d’un projet fédérateur et d’une nouvelle opportunité pour s’améliorer en apportant du lien entre différents métiers, aussi bien en interne qu’avec les prestataires.
Comment faire ? Je vous propose de participer à une prochaine formation sur le RGPD (avec un examen : c’est toujours bien de se lancer un défi pour progresser !) afin de comprendre les concepts de base du RGPD, ses liens avec d’autres textes, la méthodologie à suivre (démarche projet et outillage à disposer), votre mission de DPO ou ce que votre organisme doit faire. Puis vous participerez à la mise en place d’une culture RGPD, d’une culture Informatique et Libertés, dans votre organisme.
Nous travaillerons, dans un groupe volontairement orienté vers le monde de la santé (public et privé), le savoir-faire lié aux textes de loi et à l’aspect normatif ainsi que le savoir-être au travers de nos échanges et de nos retours d’expérience.
Bien sûr, vous devez être un étudiant actif lors de cette formation, car c’est vous qui êtes l’acteur principal de votre succès !
Vous savez bien que la finalité, ce n’est pas uniquement de suivre une formation et d’obtenir une certification, c’est ce qu’on en fait qui est le plus intéressant, et la fierté de faire quelque chose d’utile !
En savoir plus :
Renseignement et inscription, par téléphone au O9 70 44 74 06 ou par email :
Plus d’informations sur le site de
Avez-vous apprécié ce contenu ?
A lire également.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...