• Les plus lus

  • 1 semainesem
  • 1 mois
  • 1 an

  Cahier de vacances 2019 du RSSI

  Données de santé : anonymat et pseudonymat

  Prendre un robot par la main… ORATORIO ou l’art de la transformation technologique en douceur des hôpitaux

  Qu'est-ce qu'un CASB ?

  Vers une actualisation de la Charte de bonnes pratiques pour les systèmes d’information de santé

  
  

  Incidents de sécurité des SI de santé : que faut-il déclarer ?

  Mesdames, Messieurs, Docteurs, on a un problème…

  Où en est le « Health Data Hub » aujourd’hui ?

  Violation de données à caractère personnel : place au doute ?

  Révolution dans le domaine des logiciels et des dispositifs médicaux

  
  

  Programme Hop’en : « Hôpital numérique ouvert sur son environnement », quoi de neuf docteur ? (focus sur les prérequis)

  Systèmes d’information hospitaliers : la DGOS dévoile la feuille de route du programme Hop’en !

  Lubie du secteur de la santé vs RGPD

  Incidents de sécurité des SI de santé : que faut-il déclarer ?

  Qu'est-ce qu'un CASB ?

  
  

Du CIL au DPO : anticiper le règlement européen sur les données personnelles

1 réactions

La protection des données personnelles est plus que jamais une préoccupation des DSI à l’hôpital. La Commission européenne a tranché. Le vote définitif concernant le Délégué de protection des données, qui va remplacer le Correspondant Informatique et Libertés, aura lieu au printemps. Les établissements disposeront de deux ans pour organiser la transition.

Avec l’application du règlement européen concernant la protection des données, le Correspondant Informatique et Libertés (CIL) va devenir le Délégué de protection des données (DPO, équivalent de Data Protection Officer). Plus qu’un changement d’habillage, cette évolution marque un pas dans la stratégie de protection des données personnelles. « Le CIL remplit une fonction. Le DPO exercera un vrai métier », explique Frédéric Connes, directeur juridique chez HSC by Deloitte. En effet, la complexité des contraintes légales et administratives nécessitera l’appui d’un professionnel dédié, au plus près du terrain.

Ce qui va changer

Au regard des critères du texte, le DPO sera de facto obligatoire pour les établissements de soins, sachant qu’un seul DPO pourra être mutualisé dans un groupe, du moment qu’il est facilement joignable par chaque établissement. Il sera également possible de désigner un délégué externe.

La confiance numériquepassera donc par le DPO, un garant de la conformité du traitement des données personnelles. Il devra agir dans le respect des principes d’absence de conflit d’intérêts, de confidentialité, d’indépendance et de secret professionnel, pour assister les organismes et faire appliquer le traitement des données conformément au règlement européen.

Plus de responsabilités

Le DPO veillera à la réalisation des analyses de risques et des études d’impact. Il sera l’interlocuteur privilégié en cas de violation de données personnelles et devra veiller à ce que les demandes de droit d’accès soient satisfaites en un mois (au lieu de deux actuellement).

En contrepartie de ces nouvelles responsabilités, de nouveaux moyens seront mis à sa disposition, notamment l’accès direct aux données, sans demande préalable auprès du responsable de leur traitement. « Cette responsabilité devrait à elle seule justifier une augmentation de la rémunération du DPO par rapport à celle du CIL », précise Frédéric Connes.

Comment anticiper ?

Les établissements seront tenus d’être en mesure d’appliquer ce nouveau règlement dans les deux ans. Pour anticiper cette évolution, les CIL qui le souhaitent et qui répondent aux nouvelles exigences pourront être confirmés dans leur fonction en tant que DPO. Il s’agit là de capitaliser sur les travaux déjà réalisés, de permettre à l’organisme de mieux se préparer au nouveau cadre juridique, et au futur DPO de se prépositionner en acquérant l’expérience pratique nécessaire.

Par ailleurs, une série de formations permettront de prendre les devants sur les futures obligations réglementaires :

• Évolution des formalités préalables ;
• Gestion des sous-traitants et des contrats ;
• Sécurité des données personnelles (prévenir en particulier leur violation) ;
• Analyses d’impact ;
• Portabilité ;
• Gestion et communication de crise…

Il sera également nécessaire de développer des équipements et des outils pratiques (documentaires, registre des activités et suivi du traitement des données, inventaire des violations répertoriées, preuves de conformité…). Des mécanismes de veille pour se préparer à candidater à des labels (informatique et libertés…) ainsi que des procédures d’analyse d’impact et de notification de violation de données personnelles, accompagnées d’audits techniques et juridiques du traitement des données devront parallèlement être prévus.

« Il sera également intéressant de participer aux travaux des associations », ajoute Frédéric Connes. Il en existe principalement trois, qui organisent des groupes de travail DPO :

• L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) ;
• L’ADPO (Association des Data Protection Officers) ;
• La CEDPO (Confederation of European Data Protection Organisations).

protection des données, dsi

1 réaction(s) à l'article Du CIL au DPO : anticiper le règlement européen sur les données personnelles

• Ingénieur Etudes et Développements Informatiques

  14/05/2019 - AD'VALOREM - (07)

• Chef de projet Systèmes d’Information H/F

  02/05/2019 - M. GIBAUD - (72)

• Responsable Ingénierie Poste de Travail H/F

  02/05/2019 - M. GIBAUD - (72)

• Directeur du système d'information du GHT territoire Dordogne

  13/12/2018 - Centre Hospitalier de Périgueux - (24)