RGPD, ces sujets que l’on n’avait pas vus venir

L’IA est à la mode. Les chauffeurs de taxi en sont un bon indicateur : si vous prenez le taxi et que le chauffeur vous parle de l’IA, c’est que tout le monde en parle. Il y a eu bon nombre de publications sur l’IA, en tout genre et dans tous les sens. Les juristes s’emparent du sujet et émettent l’idée (à laquelle je n’adhère pas du tout) selon laquelle l’IA pose des problèmes de responsabilité juridique, par exemple dans l’hypothèse où une voiture autonome écraserait un piéton. Certains chercheurs pensent que l’IA n’est pas soluble dans le RGPD puisque l’on ne sait pas toujours ce que l’on va trouver en cherchant. Bref, dans le dernier numéro (n° 60) de Mag Securs, vous trouverez un excellent article de Bruno Rasle (délégué général de l’AFCDP) sur le reCaptcha de Google et les questionnements autour de sa conformité au RGPD. En effet, quand nous tombons sur un site qui vérifie que nous sommes bien un humain en nous demandant de cliquer sur les cases d’une photo qui contiennent des feux de signalisation (ce qui m’exaspère, je ne vous raconte même pas !), Google collecte les données de temps de réponse, de clics et que sais-je encore pour améliorer ses algorithmes. Si ce n’est pas une collecte de données personnelles (liée bien entendu à notre @IP), je n’y connais rien.

Deuxième sujet : la transmission des fiches d’événements indésirables au CHSCT d’un établissement. La question est : les FEI peuvent-ils être systématiquement et intégralement transmis au CHSCT, étant entendu que l’on parle des FEI impactant la sécurité ou la santé au travail des agents, et pas juste l’ampoule grillée dans le couloir de la cafèt’ que l’on a mis trois semaines à remplacer. Le sujet est plus compliqué qu’il n’y paraît, et je vous renvoie à l’excellent article[1]de M^e Yahia sur ce sujet. En substance, oui il faut transmettre, mais pas tout, pas tout de suite, après avoir prévenu les agents de ce processus de transmission et en laissant 15 jours à un salarié pour s’opposer à l’envoi d’une FEI qui le concerne. Mais le plus intéressant dans cet exemple, c’est que l’on transmet toutes nos FEI au CHSCT depuis la Reine Berthe, sans jamais ô grand jamais s’être posé la question. Merci le RGPD, au moins ce type de sujet a été remonté.

Troisième et dernier sujet, certes un peu en marge du SI, mais pas du RGPD. Dans mon établissement comme dans tous les CHU, malheureusement des gens décèdent, et il faut évacuer les corps. J’ai été sollicité récemment par les acheteurs pour positionner des clauses RGPD dans le futur marché avec l’entreprise qui sera titulaire du marché de l’enlèvement des corps. À ceux qui pensent qu’un corps n’est pas une donnée personnelle, je dirai… Non, en fait, je n’ai rien à leur dire. Bref, dans ce cas précis, le RGPD touche une entreprise qui pourrait n’avoir aucun système informatique et procéderait à l’aide de registres papier. 

Sur le premier exemple, étant donné l’interconnexion des systèmes, l’embarquement de composants Web dans tous les sites, composants dont on ne maîtrise pas toujours les sources, pas certain que l’on ne trouve pas niché dans un coin du datacenter un processus aussi limite que le reCaptcha.

Sur le deuxième exemple, quiconque a mis une fois les pattes dans les flux de données internes du SI sait que la règle des « données médicales réservées à la prise en charge médicale » ne tient pas deux minutes. Combien de flux du même genre existant depuis des années n’ont jamais été remontés à la DSI et encore moins au DPO ?

Sur le troisième cas, on pourrait aligner sans fin des exemples du même genre : assurance aux personnes, marché de formation continue avec des organismes extérieurs… 

Bientôt 20 ans d’hôpital et à chaque réunion de CIV, à chaque projet ou incident, j’en apprends encore. Mais, clairement, le RGPD est l’outil idéal si l’on veut soulever un peu le bout du tapis pour mesurer l’épaisseur de la poussière.

RGPD for ever.

[1] http://www.dhmagazine.fr/post/Le-signalement-des-evenements-indesirables