Publicité en cours de chargement...

Publicité en cours de chargement...

Quid de la conformité au RGPD en santé ?

17 juil. 2018 - 14:41,
Actualité - DSIH Formations, Yves Normand
Le RGPD, vous connaissez ? Vous en avez entendu parler, bien entendu. Commençons par quelque chose de factuel : il s’agit d’un règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. On parle de règlement général sur la protection des données, ou de RGPD. Le RGPD (et non « la RGPD ») est entré en vigueur le 25 mai 2018.

Si vous avez lu et appliqué notre loi Informatique et Libertés, vous estimerez que le RGPD en est une merveilleuse suite. Bien sûr, si vous pensez que votre correspondant Informatique et Libertés (ce n’est pas un correspondant Cnil !) est simplement là pour faire les déclarations auprès de la Cnil, vous allez devoir revoir vos fondamentaux.

Le RGPD, malgré sa complexité (c’est un texte juridique à l’échelle de l’Europe), s’inscrit totalement, pour nous, dans les SI de santé, dans la démarche de protection des données à caractère personnel, dont les données de santé (des données sensibles !). C’est une nouvelle opportunité pour un organisme de concilier les aspects métiers, les aspects juridiques et les aspects liés à la sécurité de l’information. Tiens, on dirait un positionnement de RSSI (responsable de la sécurité des systèmes d’information), peut-être, ou bien une fonction supplémentaire et complémentaire à celle de RSSI. Le RGPD ne parle pas de RSSI, bien sûr, mais de DPD (délégué à la protection des données), ou de DPO (Data Protection Officer). Les deux fonctions, de RSSI et de DPO, ont un objectif commun : la protection des données à caractère personnel, des données sensibles. Parfois, certains se posent la question du positionnement du DPO : est-il incompatible avec la fonction de RSSI ? Aucun texte n’interdit le fait qu’une même personne soit RSSI et DPO (demandez l’article de loi qui le proscrirait à ceux qui l’affirment). La réponse : soyez pragmatique, efficace, et dans l’amélioration continue, afin de répondre aux enjeux des métiers de votre organisme. Et Avancez ! Le DPO ne peut pas être un responsable de traitement, ni directeur de l’organisme. Il y a des points de vigilance à connaître dans le RGPD. Il peut être interne à la structure, ou bien externe. Par exemple, dans le cas des GHT, un DPO pour la communauté du GHT a du sens (c’est vrai aussi pour un RSSI de GHT), et il aura potentiellement besoin de référents dans les établissements (comme les RSSI). Le DPO comme le RSSI sont des « facilitateurs » pour satisfaire à des exigences de conformité, pour répondre aux enjeux métiers de l’organisme, et pour apporter du lien et du sens.

Et rappelez-vous que, même dans un GHT, chaque établissement reste responsable et souverain pour ce qui est de ses politiques, de ses procédures et des mesures mises en œuvre.

Vous pouvez aborder le RGPD comme une contrainte supplémentaire parmi un ensemble de textes incompréhensibles réalisés par des bureaucrates qui ne connaissent pas la réalité du terrain. Encore un texte, pour nous faire acheter, très cher, des heures d’avocats, des journées de consultants ou des logiciels qui nous rendent conformes au RGPD… Bon, et après ? Cela n’aide pas beaucoup.

Ce texte existe, et s’y conformer est obligatoire, c’est factuel. Il apporte du sens dans la protection des données à caractère personnel. Il est déjà du ressort d’un organisme qui traite des données à caractère personnel, dont les données de santé pour un établissement de santé, de s’assurer de leur protection, en termes d’intégrité et de confidentialité, comme de fournir « la bonne information, à la bonne personne, au bon moment », et là vous faites le lien avec une démarche de management de la sécurité de l’information. Il est également indispensable de veiller à l’exécution des travaux des prestataires en conformité avec la réglementation et vos exigences de sécurité.

Il s’agit d’un projet d’établissement, d’un projet fédérateur et d’une nouvelle opportunité pour s’améliorer en apportant du lien entre différents métiers, aussi bien en interne qu’avec les prestataires.

Comment faire ? Je vous propose de participer à une prochaine formation sur le RGPD (avec un examen : c’est toujours bien de se lancer un défi pour progresser !) afin de comprendre les concepts de base du RGPD, ses liens avec d’autres textes, la méthodologie à suivre (démarche projet et outillage à disposer), votre mission de DPO ou ce que votre organisme doit faire. Puis vous participerez à la mise en place d’une culture RGPD, d’une culture Informatique et Libertés, dans votre organisme.

Nous travaillerons, dans un groupe volontairement orienté vers le monde de la santé (public et privé), le savoir-faire lié aux textes de loi et à l’aspect normatif ainsi que le savoir-être au travers de nos échanges et de nos retours d’expérience.

Bien sûr, vous devez être un étudiant actif lors de cette formation, car c’est vous qui êtes l’acteur principal de votre succès !

Vous savez bien que la finalité, ce n’est pas uniquement de suivre une formation et d’obtenir une certification, c’est ce qu’on en fait qui est le plus intéressant, et la fierté de faire quelque chose d’utile !

En savoir plus :  

Renseignement et inscription, par téléphone au O9 70 44 74 06 ou par email :   

Plus d’informations sur le site de 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.