Publicité en cours de chargement...

Publicité en cours de chargement...

SI-DEP, la schizophrénie guette le RSSI/DPO

18 mai 2020 - 19:18,
Tribune - Cédric Cartau
J’ai toujours adoré les curiosités de l’esprit : si vous avez une heure à perdre, je vous suggère d’aller faire un tour sur ce site[1]qui explique la diagonale de Cantor, astuce géniale avec laquelle le mathématicien allemand a démontré qu’il existait plusieurs catégories d’infini (authentique). Bon, en même temps, ne vous penchez pas trop au-dessus du précipice, le bonhomme a terminé ses jours dans un asile. Récemment, je suis tombé sur une autre curiosité avec un ouvrage de Jean-Paul Delahaye : la trompette de Torricelli, qui a la particularité d’avoir une surface infinie, mais un volume intérieur fini. On ne peut donc pas la peindre, mais on peut la remplir d’eau. Mais la remplir d’eau revient à peindre sa surface intérieure, non ?  

Bref, le confinement est propice à des réflexions délicieusement inutiles dans ce genre, et la dernière en date concerne le SI-DEP, l’application nationale sur laquelle les hôpitaux et laboratoires doivent renseigner les identités (entre autres informations) des personnes infectées par le Covid, dans le but de pister la propagation de l’épidémie, mettre les bonnes personnes en quarantaine, etc. Si vous me demandez mon avis sur cette application, je vais immanquablement vous retourner une autre question : à quel « Cédric » vous adressez-vous ? Le RSSI ? Le DPO ? Le professionnel travaillant dans un CHU ? Ou le citoyen ?

Le RSSI ne peut que tiquer légèrement devant l’envoi de données sensibles (personnelles et de santé) à une plateforme nationale, pour laquelle les habilitations d’accès ont été retoquées par différentes instances (accès trop larges, notamment pour le médico-social), et qui vont être exploitées par des entreprises privées. Certes, les données sont anonymisées, mais on sait que, globalement, l’anonymisation ne vaut pas tripette. Sans parler du fait qu’une telle masse de données ne peut qu’aiguiser l’appétit de certains acteurs plus ou moins recommandables. J’en profite d’ailleurs pour rappeler que cette base de données est parfaitement candidate à la technique d’avatars, développée par WeData, sur laquelle j’ai déjà écrit quelques lignes[2].

Le DPO, quant à lui, ne se sent pas spécialement concerné par ce traitement. Selon un texte de loi, son établissement n’est que sous-traitant et pas responsable de traitement. À partir de là, en dehors des mentions légales d’affichage, la responsabilité de son établissement ne peut pas être engagée (à condition, bien entendu, que les prérequis de sécurité soient satisfaits, comme le canal chiffré de communication d’envoi, la minimisation des données envoyées, etc.). Si une entité doit rendre des comptes, ce sera le donneur d’ordre (État, ministère, etc.).

L’agent hospitalier, pour ce qui le concerne, ne peut qu’être d’accord avec cette mesure. Quand on sait ce qu’ont souffert les personnels médicaux et soignants, le nombre global de morts sur le territoire (et ce n’est malheureusement pas terminé), toute mesure est bonne à prendre : il n’y a même pas débat.

Le citoyen est par contre globalement opposé à cette mesure. Non que sa santé et celle des autres ne le préoccupent pas, bien au contraire, mais parce qu’il fait le bilan – il faut toujours faire un bilan ou une évaluation – entre ce qui est gagné et ce qui est perdu. Et c’est tout le problème : si on sait à peu près clairement ce qui est perdu (toujours moins de confidentialité de la donnée médicale, qui n’en avait pas besoin tant la confidentialité en question est en train de devenir un mythe ou un vœu pieux), on a un peu de mal à savoir ce qui va être gagné. Rien, absolument rien, n’apporte la preuve de l’efficacité d’un tel dispositif : les pays africains qui ont eu à lutter contre Ébola et d’autres épidémies du même tonneau ont gagné la bataille avec des mesures simples, back to basic :les masques, la désinfection, l’isolement, la distanciation physique, etc. L’Islande, chez qui le taux d’utilisation de ces dispositifs IT est un des plus élevés au monde, fait le bilan de la faible efficacité de ce genre de dispositifs[3] et préconise plutôt les tests massifs. Bref, tant que l’on ne m’aura pas prouvé que ce dispositif est efficace, je serai très méfiant.

Bon, je dois vous laisser, c’est bientôt le déjeuner et je dois débattre avec moi-même : la cuisse ou l’aile, fromage ou dessert, éclair au café ou tartelette aux fraises.


[1] https://www.youtube.com/watch?v=xqSKawORrPo&list=PLtzmb84AoqRRgqV5DfE_ykuGQK-vCJ_0t&index=16 

[2] /article/3669/anonymisation-comparatif-de-trois-outils-partie-ii.html 

[3] https://www.msn.com/fr-fr/actualite/technologie-et-sciences/coronavirus-malgr%C3%A9-une-adoption-massive-lapplication-de-tra%C3%A7age-islandaise-ne-fait-pas-miracles/ar-BB13XHDy 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.