Publicité en cours de chargement...

Publicité en cours de chargement...

SI-DEP, la schizophrénie guette le RSSI/DPO

18 mai 2020 - 19:18,
Tribune - Cédric Cartau
J’ai toujours adoré les curiosités de l’esprit : si vous avez une heure à perdre, je vous suggère d’aller faire un tour sur ce site[1]qui explique la diagonale de Cantor, astuce géniale avec laquelle le mathématicien allemand a démontré qu’il existait plusieurs catégories d’infini (authentique). Bon, en même temps, ne vous penchez pas trop au-dessus du précipice, le bonhomme a terminé ses jours dans un asile. Récemment, je suis tombé sur une autre curiosité avec un ouvrage de Jean-Paul Delahaye : la trompette de Torricelli, qui a la particularité d’avoir une surface infinie, mais un volume intérieur fini. On ne peut donc pas la peindre, mais on peut la remplir d’eau. Mais la remplir d’eau revient à peindre sa surface intérieure, non ?  

Bref, le confinement est propice à des réflexions délicieusement inutiles dans ce genre, et la dernière en date concerne le SI-DEP, l’application nationale sur laquelle les hôpitaux et laboratoires doivent renseigner les identités (entre autres informations) des personnes infectées par le Covid, dans le but de pister la propagation de l’épidémie, mettre les bonnes personnes en quarantaine, etc. Si vous me demandez mon avis sur cette application, je vais immanquablement vous retourner une autre question : à quel « Cédric » vous adressez-vous ? Le RSSI ? Le DPO ? Le professionnel travaillant dans un CHU ? Ou le citoyen ?

Le RSSI ne peut que tiquer légèrement devant l’envoi de données sensibles (personnelles et de santé) à une plateforme nationale, pour laquelle les habilitations d’accès ont été retoquées par différentes instances (accès trop larges, notamment pour le médico-social), et qui vont être exploitées par des entreprises privées. Certes, les données sont anonymisées, mais on sait que, globalement, l’anonymisation ne vaut pas tripette. Sans parler du fait qu’une telle masse de données ne peut qu’aiguiser l’appétit de certains acteurs plus ou moins recommandables. J’en profite d’ailleurs pour rappeler que cette base de données est parfaitement candidate à la technique d’avatars, développée par WeData, sur laquelle j’ai déjà écrit quelques lignes[2].

Le DPO, quant à lui, ne se sent pas spécialement concerné par ce traitement. Selon un texte de loi, son établissement n’est que sous-traitant et pas responsable de traitement. À partir de là, en dehors des mentions légales d’affichage, la responsabilité de son établissement ne peut pas être engagée (à condition, bien entendu, que les prérequis de sécurité soient satisfaits, comme le canal chiffré de communication d’envoi, la minimisation des données envoyées, etc.). Si une entité doit rendre des comptes, ce sera le donneur d’ordre (État, ministère, etc.).

L’agent hospitalier, pour ce qui le concerne, ne peut qu’être d’accord avec cette mesure. Quand on sait ce qu’ont souffert les personnels médicaux et soignants, le nombre global de morts sur le territoire (et ce n’est malheureusement pas terminé), toute mesure est bonne à prendre : il n’y a même pas débat.

Le citoyen est par contre globalement opposé à cette mesure. Non que sa santé et celle des autres ne le préoccupent pas, bien au contraire, mais parce qu’il fait le bilan – il faut toujours faire un bilan ou une évaluation – entre ce qui est gagné et ce qui est perdu. Et c’est tout le problème : si on sait à peu près clairement ce qui est perdu (toujours moins de confidentialité de la donnée médicale, qui n’en avait pas besoin tant la confidentialité en question est en train de devenir un mythe ou un vœu pieux), on a un peu de mal à savoir ce qui va être gagné. Rien, absolument rien, n’apporte la preuve de l’efficacité d’un tel dispositif : les pays africains qui ont eu à lutter contre Ébola et d’autres épidémies du même tonneau ont gagné la bataille avec des mesures simples, back to basic :les masques, la désinfection, l’isolement, la distanciation physique, etc. L’Islande, chez qui le taux d’utilisation de ces dispositifs IT est un des plus élevés au monde, fait le bilan de la faible efficacité de ce genre de dispositifs[3] et préconise plutôt les tests massifs. Bref, tant que l’on ne m’aura pas prouvé que ce dispositif est efficace, je serai très méfiant.

Bon, je dois vous laisser, c’est bientôt le déjeuner et je dois débattre avec moi-même : la cuisse ou l’aile, fromage ou dessert, éclair au café ou tartelette aux fraises.


[1] https://www.youtube.com/watch?v=xqSKawORrPo&list=PLtzmb84AoqRRgqV5DfE_ykuGQK-vCJ_0t&index=16 

[2] /article/3669/anonymisation-comparatif-de-trois-outils-partie-ii.html 

[3] https://www.msn.com/fr-fr/actualite/technologie-et-sciences/coronavirus-malgr%C3%A9-une-adoption-massive-lapplication-de-tra%C3%A7age-islandaise-ne-fait-pas-miracles/ar-BB13XHDy 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dedalus France : une nouvelle étape dans la trajectoire de transformation

Dedalus France : une nouvelle étape dans la trajectoire de transformation

24 juin 2025 - 07:50,

Actualité

- DSIH

Dedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.