Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD, ces sujets que l’on n’avait pas vus venir

11 fév. 2019 - 21:19,
Tribune - Cédric Carau
Le RGPD rend humble. En tout cas, c’est le constat que je fais après plusieurs mois de pratique, car le RGPD – ou plutôt l’approche RGPD – permet de lever des lièvres et de prendre connaissance de dossiers qui ne seraient jamais parvenus jusqu’au CIL (correspondant Informatique et Libertés). En voici trois exemples, sans prétention.

L’IA est à la mode. Les chauffeurs de taxi en sont un bon indicateur : si vous prenez le taxi et que le chauffeur vous parle de l’IA, c’est que tout le monde en parle. Il y a eu bon nombre de publications sur l’IA, en tout genre et dans tous les sens. Les juristes s’emparent du sujet et émettent l’idée (à laquelle je n’adhère pas du tout) selon laquelle l’IA pose des problèmes de responsabilité juridique, par exemple dans l’hypothèse où une voiture autonome écraserait un piéton. Certains chercheurs pensent que l’IA n’est pas soluble dans le RGPD puisque l’on ne sait pas toujours ce que l’on va trouver en cherchant. Bref, dans le dernier numéro (n° 60) de Mag Securs, vous trouverez un excellent article de Bruno Rasle (délégué général de l’AFCDP) sur le reCaptcha de Google et les questionnements autour de sa conformité au RGPD. En effet, quand nous tombons sur un site qui vérifie que nous sommes bien un humain en nous demandant de cliquer sur les cases d’une photo qui contiennent des feux de signalisation (ce qui m’exaspère, je ne vous raconte même pas !), Google collecte les données de temps de réponse, de clics et que sais-je encore pour améliorer ses algorithmes. Si ce n’est pas une collecte de données personnelles (liée bien entendu à notre @IP), je n’y connais rien.

Deuxième sujet : la transmission des fiches d’événements indésirables au CHSCT d’un établissement. La question est : les FEI peuvent-ils être systématiquement et intégralement transmis au CHSCT, étant entendu que l’on parle des FEI impactant la sécurité ou la santé au travail des agents, et pas juste l’ampoule grillée dans le couloir de la cafèt’ que l’on a mis trois semaines à remplacer. Le sujet est plus compliqué qu’il n’y paraît, et je vous renvoie à l’excellent article[1]de Me Yahia sur ce sujet. En substance, oui il faut transmettre, mais pas tout, pas tout de suite, après avoir prévenu les agents de ce processus de transmission et en laissant 15 jours à un salarié pour s’opposer à l’envoi d’une FEI qui le concerne. Mais le plus intéressant dans cet exemple, c’est que l’on transmet toutes nos FEI au CHSCT depuis la Reine Berthe, sans jamais ô grand jamais s’être posé la question. Merci le RGPD, au moins ce type de sujet a été remonté.

 

Troisième et dernier sujet, certes un peu en marge du SI, mais pas du RGPD. Dans mon établissement comme dans tous les CHU, malheureusement des gens décèdent, et il faut évacuer les corps. J’ai été sollicité récemment par les acheteurs pour positionner des clauses RGPD dans le futur marché avec l’entreprise qui sera titulaire du marché de l’enlèvement des corps. À ceux qui pensent qu’un corps n’est pas une donnée personnelle, je dirai… Non, en fait, je n’ai rien à leur dire. Bref, dans ce cas précis, le RGPD touche une entreprise qui pourrait n’avoir aucun système informatique et procéderait à l’aide de registres papier. 

Sur le premier exemple, étant donné l’interconnexion des systèmes, l’embarquement de composants Web dans tous les sites, composants dont on ne maîtrise pas toujours les sources, pas certain que l’on ne trouve pas niché dans un coin du datacenter un processus aussi limite que le reCaptcha.

Sur le deuxième exemple, quiconque a mis une fois les pattes dans les flux de données internes du SI sait que la règle des « données médicales réservées à la prise en charge médicale » ne tient pas deux minutes. Combien de flux du même genre existant depuis des années n’ont jamais été remontés à la DSI et encore moins au DPO ?

Sur le troisième cas, on pourrait aligner sans fin des exemples du même genre : assurance aux personnes, marché de formation continue avec des organismes extérieurs… 

Bientôt 20 ans d’hôpital et à chaque réunion de CIV, à chaque projet ou incident, j’en apprends encore. Mais, clairement, le RGPD est l’outil idéal si l’on veut soulever un peu le bout du tapis pour mesurer l’épaisseur de la poussière.

RGPD for ever.


[1] http://www.dhmagazine.fr/post/Le-signalement-des-evenements-indesirables 

 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM

29 sept. 2025 - 10:43,

Tribune

-
Cédric Cartau

Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.