Publicité en cours de chargement...
RGPD, ces sujets que l’on n’avait pas vus venir
L’IA est à la mode. Les chauffeurs de taxi en sont un bon indicateur : si vous prenez le taxi et que le chauffeur vous parle de l’IA, c’est que tout le monde en parle. Il y a eu bon nombre de publications sur l’IA, en tout genre et dans tous les sens. Les juristes s’emparent du sujet et émettent l’idée (à laquelle je n’adhère pas du tout) selon laquelle l’IA pose des problèmes de responsabilité juridique, par exemple dans l’hypothèse où une voiture autonome écraserait un piéton. Certains chercheurs pensent que l’IA n’est pas soluble dans le RGPD puisque l’on ne sait pas toujours ce que l’on va trouver en cherchant. Bref, dans le dernier numéro (n° 60) de Mag Securs, vous trouverez un excellent article de Bruno Rasle (délégué général de l’AFCDP) sur le reCaptcha de Google et les questionnements autour de sa conformité au RGPD. En effet, quand nous tombons sur un site qui vérifie que nous sommes bien un humain en nous demandant de cliquer sur les cases d’une photo qui contiennent des feux de signalisation (ce qui m’exaspère, je ne vous raconte même pas !), Google collecte les données de temps de réponse, de clics et que sais-je encore pour améliorer ses algorithmes. Si ce n’est pas une collecte de données personnelles (liée bien entendu à notre @IP), je n’y connais rien.
Deuxième sujet : la transmission des fiches d’événements indésirables au CHSCT d’un établissement. La question est : les FEI peuvent-ils être systématiquement et intégralement transmis au CHSCT, étant entendu que l’on parle des FEI impactant la sécurité ou la santé au travail des agents, et pas juste l’ampoule grillée dans le couloir de la cafèt’ que l’on a mis trois semaines à remplacer. Le sujet est plus compliqué qu’il n’y paraît, et je vous renvoie à l’excellent article[1]de Me Yahia sur ce sujet. En substance, oui il faut transmettre, mais pas tout, pas tout de suite, après avoir prévenu les agents de ce processus de transmission et en laissant 15 jours à un salarié pour s’opposer à l’envoi d’une FEI qui le concerne. Mais le plus intéressant dans cet exemple, c’est que l’on transmet toutes nos FEI au CHSCT depuis la Reine Berthe, sans jamais ô grand jamais s’être posé la question. Merci le RGPD, au moins ce type de sujet a été remonté.
Troisième et dernier sujet, certes un peu en marge du SI, mais pas du RGPD. Dans mon établissement comme dans tous les CHU, malheureusement des gens décèdent, et il faut évacuer les corps. J’ai été sollicité récemment par les acheteurs pour positionner des clauses RGPD dans le futur marché avec l’entreprise qui sera titulaire du marché de l’enlèvement des corps. À ceux qui pensent qu’un corps n’est pas une donnée personnelle, je dirai… Non, en fait, je n’ai rien à leur dire. Bref, dans ce cas précis, le RGPD touche une entreprise qui pourrait n’avoir aucun système informatique et procéderait à l’aide de registres papier.
Sur le premier exemple, étant donné l’interconnexion des systèmes, l’embarquement de composants Web dans tous les sites, composants dont on ne maîtrise pas toujours les sources, pas certain que l’on ne trouve pas niché dans un coin du datacenter un processus aussi limite que le reCaptcha.
Sur le deuxième exemple, quiconque a mis une fois les pattes dans les flux de données internes du SI sait que la règle des « données médicales réservées à la prise en charge médicale » ne tient pas deux minutes. Combien de flux du même genre existant depuis des années n’ont jamais été remontés à la DSI et encore moins au DPO ?
Sur le troisième cas, on pourrait aligner sans fin des exemples du même genre : assurance aux personnes, marché de formation continue avec des organismes extérieurs…
Bientôt 20 ans d’hôpital et à chaque réunion de CIV, à chaque projet ou incident, j’en apprends encore. Mais, clairement, le RGPD est l’outil idéal si l’on veut soulever un peu le bout du tapis pour mesurer l’épaisseur de la poussière.
RGPD for ever.
[1] http://www.dhmagazine.fr/post/Le-signalement-des-evenements-indesirables
Avez-vous apprécié ce contenu ?
A lire également.

Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap
06 juin 2025 - 18:32,
Actualité
- DSIHFace aux tensions sur les organisations hospitalières, l’Agence nationale de la performance sanitaire et médico-sociale (Anap) renforce son engagement aux côtés des établissements avec deux outils complémentaires :

MentalTech, vers un Observatoire français de la e-santé mentale
02 juin 2025 - 22:20,
Actualité
- Damien Dubois, DSIHLe 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE
02 juin 2025 - 15:00,
Communiqué
- GPLExpertGPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Vu à SantExpo 2025 : le CHU d’Amiens obtient l’accord officiel des archives départementales pour son Système d’Archivage Electronique avec la solution HYDMedia de Dedalus
26 mai 2025 - 15:41,
Actualité
- Pauline Nicolas, DSIHLors d’une session au sein de l’auditorium Dedalus, Jacques Delamarre, Responsable Parcours Patient au CHU d’Amiens a témoigné de la genèse qui a conduit à l’adoption de la solution SAE HYDMedia de Dedalus dans son établissement et des principaux apports de cette solution. Un SAE doit intégrer un l...