Vous êtes dans : Accueil > Tribunes libres >

3e Colloque SSI Santé du ministère (partie 2)

Charles Blanc-Rolin, MARDI 12 DéCEMBRE 2017 Soyez le premier à réagirSoyez le premier à réagir

Après la sensibilisation à la SSI évoquée dans une première partie(1), le second thème abordé lors de ce congrès fut le RGPD (2), qui entrera en application le 25 mai 2018 et pour lequel la mobilisation de chacun s’amplifie de jour en jour.

Thomas Dautieu, directeur adjoint à la Direction de la conformité de la Cnil, voit dans ce règlement une « crédibilisation » des « Cnil » européennes, une responsabilisation des acteurs avec le renforcement des droits des personnes ainsi que le renforcement des sanctions.

« Je suis surpris de voir l’étonnement provoqué par ce règlement. La protection des données à caractère personnel n’a rien de nouveau : elle existe depuis 40 ans ! », a-t-il rappelé avant d’exposer les grandes obligations de ce règlement :

  • réaliser des analyses d’impact (avec l’outil PIA fourni par la Cnil, par exemple) ;
  • notifier la Cnil et les victimes lors d’incidents ;
  • mettre en place des mesures techniques et organisationnelles pour agencer la mise en conformité ;
  • nommer un délégué à la protection des données (DPD), le fameux DPO, Data Protection Officer en anglais ;
  • tenir un registre des traitements.

Ce règlement valide le choix qu’avait fait la France avec la désignation du CIL (correspondant Informatique et Libertés).

Selon lui, « le DPD doit :

  • connaître les métiers ;
  • connaître la réalité opérationnelle ;
  • avoir une autorité, un bon niveau hiérarchique au sein de son établissement ;
  • avoir des remontées d’informations. »

Il a par ailleurs souligné que « sa fonction ne doit pas se confondre avec celle du responsable de traitement. Il doit pouvoir mener des audits et mettre les mains dans le cambouis ».

Cédric Cartau, a quant à lui présenté son approche de la mise en œuvre de la conformité RGPD au CHU de Nantes.
Il a relevé que certaines obligations ne s’appliquaient pas aux données de santé de nos établissements, comme le recueil du consentement et le droit à l’effacement.
Dans sa cartographie des traitements, revue perpétuellement en mode PDCA (ou roue de Deming), il a identifié que peu de traitements étaient finalement sensibles.

« Aujourd’hui, il faut déclarer des traitements de données et non des logiciels ! » 

Pour 409 logiciels au CHU de Nantes, il n’y a en réalité que 23 traitements. 20 à 30 logiciels servent à un seul et même traitement.
Il a également rappelé qu’au sein d’un établissement de santé les traitements de données à caractère personnel ne se limitaient pas aux données des patients et qu’il ne fallait pas oublier les traitements qui concernent les ressources humaines et la médecine du travail.

« Les traitements concernant la recherche posent problème car la frontière entre recherche et soins manque souvent de clarté », a-t-il précisé.

Cédric a également attiré l’attention sur les traitements relatifs aux enquêtes :
« Si elles sont anonymes, le RGPD ne s’applique pas, mais dans certains cas, les résultats sont détournés vers un dossier patient bis ! »
Ainsi que sur la partie décisionnelle :
« Le requêtage peut, dans certains cas, faire l’objet d’un traitement à part. »

Selon lui, nous n’avons pas d’autre choix que de faire confiance aux professionnels, tout en les responsabilisant :
« Maîtriser les fichiers bureautiques sauvages qui traînent sur le SI est impossible ! »

Il faut s’appuyer sur la réglementation. La charte informatique doit imposer de placer les données dans les logiciels métiers, ce qui permettra d’engager la responsabilité de l’agent en cas de non-respect.

Le responsable de traitement doit lui aussi s’engager en signant l’analyse d’impact obligatoire pour chaque traitement.

En ce qui concerne les prestataires, Cédric préconise de leur demander de réaliser des audits :

« Démontrez-nous que vous vous êtes posé un minimum de questions, c’est ce que dit le RGS ! »

« Il faut exiger d’eux ce qu’exige de nous la Cnil ! », a-t-il conclu.

Lors des échanges avec la salle sur ce thème, notre FSSI, Philippe Loudenot, a indiqué que le RGPD rappelait bien l’importance de protéger les données dans leur ensemble (DICP), et pas seulement leur confidentialité !

À suivre…

(1) 3ème Colloque SSI Santé du ministère (Partie 1)

(2) règlement général européen sur la protection des données

ssi, RGPD, cnil, protection des données, chu de nantes, chu