Publicité en cours de chargement...
En direct du 7ème congrès de l’Apssis : Rex de Cédric Cartau sur une année de RGPD
Cédric Cartau nous a exposé toutes les choses qu’il n’avait pas vu venir il y a un peu moins d’un an (et pourtant, il avait déjà largement balayé le sujet l’an passé), juste avant l’entrée en vigueur du fameux règlement général sur la protection des données.
Des traitements en mode « shadow », d’autres traitements pour lesquels la DSI n’a jamais été consulté et qui ne passent que par la direction des achats par exemple.
Des traitements qui n’apparaissaient pas comme évidents lors d’une première analyse, comme la recherche (pas toujours formelle), les enquêtes, les études épidémiologiques, la veille sanitaire et en particulier les signalements des BMR au niveau régional, où les informations à caractère personnel des patients sont transmises à des établissements qui n’interviendront jamais dans la prise en charge de nombreux patients.
Certains traitements, comme le vote électronique, nécessite une étude d’impact (PIA), beaucoup plus importante que le DPI, a-t-il pu souligner.
De nombreux « petits » traitements que l’on n’avait pas vu venir rendent la conformité complexe, la mise en place d’une DSI de GHT avec les données RH des agents qui doivent transiter entre plusieurs entités juridiques, les reCAPTCHA, pour lesquels les adresses IP, données à caractère personnel s’en vont chez Google, les traitements relatifs aux assurances, pour lesquels les données à caractère personnel des agents ou patients peuvent êtres transmises à l’assureur ou encore le marché d’enlèvement des corps…
Cédric a notamment constaté une « sur-sollicitation » du DPO à qui l’on demande souvent de « tout connaître sur tout ». Il a également rappelé son rôle de conseil et la nécessité d’accepter que ses conseils ne soient pas toujours suivis.
À l’échelle du GHT, il a également exposé le besoin de s’appuyer sur des relais de terrain, qu’il a choisit de préférence du côté de la qualité et qu’il a ensuite formés. Selon lui, les plus mauvais relais, exceptés ceux qui ont suivi un cursus de CIL, sont les informaticiens ! (ce n’est pas faux).
« Il faut tout miser sur les contrôles et rendre autonomes les directions fonctionnelles ».
Si l’engouement médiatique autour du RGPD a apporté des bénéfices, il a également déclenché des réactions excessives sur des traitements non sensibles chez certains.
Cédric a également rappelé les difficultés relatives aux échanges de données de patients avec la justice.
Pour conclure, il a rappelé que le DPO devait être un négociateur qui ne devait pas tomber dans le piège du blocage à outrance, qu’il devait tout miser sur le triptyque : indicateurs, incidents, audits et que la cartographie des traitements devrait être établie en se basant sur la cartographie des processus de soins.
À méditer...
Avez-vous apprécié ce contenu ?
A lire également.
RGPD et cyber : l’ouverture de la chasse à la bécasse et à la galinette cendrée[1]
20 oct. 2025 - 13:47,
Tribune
-En l’espace d’une semaine, je tombe sur deux « news » de la planète RGPD/RSSI, à propos desquelles on se demande comment les organisations impliquées ont bien pu « en arriver là » – sans conséquences gravissimes, heureusement.

La combinaison Philips SpeechLive et Dragon Medical One fluidifie l’organisation au sein du Cabinet de Cardiologie SCP Cardiovasculaire de l’Est
17 oct. 2025 - 15:01,
Communiqué
- PhilipsLa SCP Cardiovasculaire de l’Est constitue un groupement d’experts en cardiologie qui propose une offre complète de soins avec une forte présence à Nancy, Essey-lès-Nancy et Épinal. Elle réunit 12 cardiologues associés qui exercent en cabinet comme en clinique, avec une expertise allant du suivi méd...

Accès au DPI et secret médical : un professionnel de santé ne peut tout voir, même en équipe
13 oct. 2025 - 11:17,
Tribune
-L’accès aux dossiers patients informatisés (« DPI ») dans le respect du secret médical est une question épineuse à laquelle sont confrontés, au quotidien, les professionnels de santé. Dans une récente affaire, le Conseil d’Etat s’est prononcé sur le cas de l’accès aux DPI d’un service médical hospit...

France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux
29 sept. 2025 - 13:08,
Communiqué
- Ministère de l'Enseignement supérieur et de la RechercheLe programme France 2030 continue de stimuler l’innovation en France. Le ministère de l’Enseignement supérieur et de la Recherche a récemment lancé l’appel à projets “Pionniers de l’intelligence artificielle”, destiné à soutenir des technologies d’IA de rupture dans des secteurs stratégiques, dont l...