En direct du 7ème congrès de l’Apssis : Rex de Cédric Cartau sur une année de RGPD

Cédric Cartau nous a exposé toutes les choses qu’il n’avait pas vu venir il y a un peu moins d’un an (et pourtant, il avait déjà largement balayé le sujet l’an passé), juste avant l’entrée en vigueur du fameux règlement général sur la protection des données.

Des traitements en mode « shadow », d’autres traitements pour lesquels la DSI n’a jamais été consulté et qui ne passent que par la direction des achats par exemple.
Des traitements qui n’apparaissaient pas comme évidents lors d’une première analyse, comme la recherche (pas toujours formelle), les enquêtes, les études épidémiologiques, la veille sanitaire et en particulier les signalements des BMR au niveau régional, où les informations à caractère personnel des patients sont transmises à des établissements qui n’interviendront jamais dans la prise en charge de nombreux patients.

Certains traitements, comme le vote électronique, nécessite une étude d’impact (PIA), beaucoup plus importante que le DPI, a-t-il pu souligner.

De nombreux « petits » traitements que l’on n’avait pas vu venir rendent la conformité complexe, la mise en place d’une DSI de GHT avec les données RH des agents qui doivent transiter entre plusieurs entités juridiques, les reCAPTCHA, pour lesquels les adresses IP, données à caractère personnel s’en vont chez Google, les traitements relatifs aux assurances, pour lesquels les données à caractère personnel des agents ou patients peuvent êtres transmises à l’assureur ou encore le marché d’enlèvement des corps…

Cédric a notamment constaté une « sur-sollicitation » du DPO à qui l’on demande souvent de « tout connaître sur tout ». Il a également rappelé son rôle de conseil et la nécessité d’accepter que ses conseils ne soient pas toujours suivis.
À l’échelle du GHT, il a également exposé le besoin de s’appuyer sur des relais de terrain, qu’il a choisit de préférence du côté de la qualité et qu’il a ensuite formés. Selon lui, les plus mauvais relais, exceptés ceux qui ont suivi un cursus de CIL, sont les informaticiens ! (ce n’est pas faux).

« Il faut tout miser sur les contrôles et rendre autonomes les directions fonctionnelles ».

Si l’engouement médiatique autour du RGPD a apporté des bénéfices, il a également déclenché des réactions excessives sur des traitements non sensibles chez certains.

Cédric a également rappelé les difficultés relatives aux échanges de données de patients avec la justice.

Pour conclure, il a rappelé que le DPO devait être un négociateur qui ne devait pas tomber dans le piège du blocage à outrance, qu’il devait tout miser sur le triptyque : indicateurs, incidents, audits et que la cartographie des traitements devrait être établie en se basant sur la cartographie des processus de soins.

À méditer...