Publicité en cours de chargement...
En direct du 7ème congrès de l’Apssis : Rex de Cédric Cartau sur une année de RGPD
Cédric Cartau nous a exposé toutes les choses qu’il n’avait pas vu venir il y a un peu moins d’un an (et pourtant, il avait déjà largement balayé le sujet l’an passé), juste avant l’entrée en vigueur du fameux règlement général sur la protection des données.
Des traitements en mode « shadow », d’autres traitements pour lesquels la DSI n’a jamais été consulté et qui ne passent que par la direction des achats par exemple.
Des traitements qui n’apparaissaient pas comme évidents lors d’une première analyse, comme la recherche (pas toujours formelle), les enquêtes, les études épidémiologiques, la veille sanitaire et en particulier les signalements des BMR au niveau régional, où les informations à caractère personnel des patients sont transmises à des établissements qui n’interviendront jamais dans la prise en charge de nombreux patients.
Certains traitements, comme le vote électronique, nécessite une étude d’impact (PIA), beaucoup plus importante que le DPI, a-t-il pu souligner.
De nombreux « petits » traitements que l’on n’avait pas vu venir rendent la conformité complexe, la mise en place d’une DSI de GHT avec les données RH des agents qui doivent transiter entre plusieurs entités juridiques, les reCAPTCHA, pour lesquels les adresses IP, données à caractère personnel s’en vont chez Google, les traitements relatifs aux assurances, pour lesquels les données à caractère personnel des agents ou patients peuvent êtres transmises à l’assureur ou encore le marché d’enlèvement des corps…
Cédric a notamment constaté une « sur-sollicitation » du DPO à qui l’on demande souvent de « tout connaître sur tout ». Il a également rappelé son rôle de conseil et la nécessité d’accepter que ses conseils ne soient pas toujours suivis.
À l’échelle du GHT, il a également exposé le besoin de s’appuyer sur des relais de terrain, qu’il a choisit de préférence du côté de la qualité et qu’il a ensuite formés. Selon lui, les plus mauvais relais, exceptés ceux qui ont suivi un cursus de CIL, sont les informaticiens ! (ce n’est pas faux).
« Il faut tout miser sur les contrôles et rendre autonomes les directions fonctionnelles ».
Si l’engouement médiatique autour du RGPD a apporté des bénéfices, il a également déclenché des réactions excessives sur des traitements non sensibles chez certains.
Cédric a également rappelé les difficultés relatives aux échanges de données de patients avec la justice.
Pour conclure, il a rappelé que le DPO devait être un négociateur qui ne devait pas tomber dans le piège du blocage à outrance, qu’il devait tout miser sur le triptyque : indicateurs, incidents, audits et que la cartographie des traitements devrait être établie en se basant sur la cartographie des processus de soins.
À méditer...
Avez-vous apprécié ce contenu ?
A lire également.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE
02 juin 2025 - 15:00,
Communiqué
- GPLExpertGPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...