Vous êtes dans : Accueil > Tribunes libres >

RGPD, et alors ? Une synthèse positive et non alarmiste à l’usage des établissements de santé

Vincent Trély, MARDI 12 DéCEMBRE 2017 Soyez le premier à réagirSoyez le premier à réagir

Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.

Si l’on décide de regarder la bouteille comme « à moitié pleine », et si l’on considère que depuis le programme Hôpital numérique (2012), la publication de la PSSI-MCAS et de la PGSSI-S de l’Asip Santé, bon nombre d’exigences issues du RGPD étaient déjà requises, on peut alors modérer le stress et penser global.

Prenons quelques exemples :

Le responsable du traitement ? Il existe depuis longtemps : l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004 en donnait la définition et fixait le cadre des responsabilités. Le RGPD énonce : « On entend par […] “responsable du traitement” la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. »

Dans le cas des établissements de santé, il s’agit du directeur (ou directeur général), pour l’ensemble des traitements. Il délègue, de façon formelle, les responsabilités afférentes au « rang 2 », c’est-à-dire aux directeurs fonctionnels, chefs de pôle et président de CME. Ainsi, le responsable des traitements RH est le DRH, celui des traitements financiers, le DAF, celui des traitements associés aux soins, le président de CME, celui des traitements de spécialité, le chef de pôle… L’enjeu est maintenant de remettre les responsables du traitement au centre du système, en leur expliquant leurs responsabilités, stratégiques en termes d’évolution, de sécurité, de conformité, d’habilitation, et les possibilités que leur offre la délégation avec pertinence et contrôle (vers des référents métiers SI, des gestionnaires d’habilitations, par exemple). 

La documentation des traitements ? Elle existe pour partie. Il s’agit de l’organiser et de la formaliser. Cette documentation comprendra a minima :

  • Une description des conditions des traitements sous forme d’une fiche, incluse à un registre. Une fois les traitements listés, il s’agit d’expliquer leur rôle et quels types de données ils embarquent. Si la Qualité a documenté les processus métiers et si la DSI a ses indicateurs Hôpital numérique à jour, incluant la cartographie applicative et les flux, il y a déjà de la matière.
  • Une étude d’impact sur la vie privée (EIVP, ou PIA, ou AIPD) pour les traitements à grande échelle de données de santé. La PSSI-MCAS et la PGSSI-S demandent déjà de réaliser des analyses de risques en amont sur les projets ayant un impact sur le SI. Il semble intéressant de regrouper les deux et de travailler sur un outil unique, de type analyse des risques, avec des scénarios de menaces prenant en compte les exigences de l’EIVP (en l’occurrence l’impact sur la vie privée en cas d’accès illégitime, de modification non désirée et de disparition). Il est à noter que la Cnil diffuse un outil de réalisation de PIA sur https://www.cnil.fr/fr/PIA-privacy-impact-assessment, qui a le mérite d’organiser les choses. Cédric Cartau, RSSI & DPO du CHU de Nantes, en parle ici : http://www.dsih.fr/article/2748/le-pere-noel-est-en-avance-a-la-cnil.html
  • Les mentions d’information délivrées aux personnes concernées et la trace du recueil du consentement le cas échéant ainsi qu’une description des mécanismes de gestion des droits d’opposition ou d’accès. Ce document est la continuité du prérequis P3.3 HNUM, consistant à s’assurer du respect des droits des patients par la mise en œuvre de processus d’information et de recueil d’autorisations adaptés. Il s’agit avant tout d’un volet juridique, qui devrait être porté par la direction fonctionnelle adaptée (Qualité, Juridique, Relation avec les usagers).
  • Les contrats avec les prestataires concourant au traitement. La PSSI-MCAS et l’instruction 309 d’octobre 2016 imposent la tenue à jour d’un inventaire précis des actifs (matériels et logiciels) ainsi que l’existence de contrats de support à jour. Il s’agit donc simplement de les associer aux bons traitements, puisque, théoriquement, ils existent et sont référencés.
  • Enfin, une description de la procédure de gestion des violations de données. Celle-ci est en partie définie dans le cadre de la santé, par le décret du 12 septembre 2016 concernant le signalement des incidents SSI de santé, et d’ores et déjà dotée d’un outil de signalement et d’analyse (1). La procédure est à compléter par une description des modalités de communication à la Cnil et aux personnes concernées sous 72 heures. Dans le cas d’une fuite ou d’une altération de données « globale », informer les patients d’un bassin de santé consiste à provoquer une conférence de presse circonstanciée.

Le plus dur consiste certainement à identifier les traitements. La Cnil apporte des éléments sur https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles. Dans le cadre particulier des SI de santé (ou SIH), l’analyse de Cédric Cartau dans un cycle de quatre articles parus dans DSIH Magazine (www.dsih.fr), sur le RGPD et certaines de ses déclinaisons opérationnelles, propose un très bon éclairage. 

Le délégué à la protection des données ou DPO ? Là, c’est peut-être un peu plus compliqué, quoique… Rappelons quelques principes : le DPO ne peut pas être un directeur fonctionnel responsable de traitement (2) (ni DG, ni DRH, ni directeur opérationnel), ni le DSI, exploitant des traitements. Il doit être rattaché à la plus haute autorité pour être libre, et crédible. Il doit bénéficier des moyens nécessaires à l’exercice de sa mission principale : garantir la conformité. Cela ne vous rappelle pas les grands débats sur le positionnement et les moyens du RSSI ?

Si l’on admet qu’il faut un RSSI fort et positionné par GHT, si l’on admet qu’il faut un DPO fort et positionné par GHT, si l’on admet qu’il existe peu de CIL (d’ailleurs souvent RSSI) et si l’on prend en compte la variable des moyens et des capacités de recrutement des établissements de santé, alors pourquoi pas un DPO-RSSI, dans une phase de préfiguration d’une cible à deux têtes à plus long terme.

On parle évidemment d’un vrai temps plein, avec les pouvoirs et les moyens de travailler en transversal, avec les responsables de traitement et leurs représentants, ayant de réelles fonctions de conseil et de contrôle sur la DSI et sur le portefeuille de projets numériques, biomédical inclus. Il serait supporté par un conseil juridique interne ou externe et à la tête d’un budget dédié à la réalisation d’audits de conformité technique, organisationnelle et documentaire.

Le DPO externe, style « commissaire aux comptes », et assurant la conformité ? Cette option est juridiquement et opérationnellement complexe dans le cas des traitements de données secrètes (dont les données de santé à caractère personnel) et massives (cas des structures de santé). Il est conseillé de privilégier un CDI, comme le précise l’analyse des avocates Garance Mathias et Aline Alfer ainsi que de la spécialiste du droit de la protection des données Amandine Kashani-Poor dans leur ouvrage Le DPO : clé de voûte de la conformité (RB Édition, chapitre « Quand doit-on désigner un DPO ? »). Le DPO devra en tout état de cause disposer d’un support interne, par des relais (les RDPO), et pouvoir également compter sur quelques sociétés de conseil en Amoa. 

Les amendes ? J’ai plus de craintes pour les grands groupes commerciaux privés que pour les hôpitaux ou les Ehpad. La collecte massive de nos données, commencée il y a environ 15 ans, avec une information minime, parfois douteuse, des personnes concernées, va devoir évoluer vers une plus grande transparence, qui passera certainement par des « exemples » médiatisés. En ce qui concerne les hôpitaux, l’État infligera une amende à un établissement de santé financé par ses soins… et dont il gère les pertes, ou les bénéfices. Il y aura donc des embrouilles entre les GHT, les ARS, la Cnil et le ministère.

C’est l’image de marque de l’établissement qui pâtira d’une mauvaise presse, et donc son attractivité tant pour les patients que pour les professionnels de santé. L’enjeu reste toujours la qualité globale, systèmes numériques inclus, plus que la peur de l’amende. 

Cela fait donc déjà des années que les DSI et RSSI de santé font « du RGPD sans le savoir », en poussant la mise en œuvre des règles et des bonnes pratiques (3).
Il n’y a donc pas de raison de paniquer. Il faudra simplement poursuivre le travail engagé, en espérant que le buzz autour du RGPD permettra l’accélération des prises de conscience au plus haut niveau des organisations et la mobilisation des moyens adaptés.

L'auteur 

Vincent TrelyVincent Trély
CEO Cabinet Vincent Trély Consultants
Président de l’Apssis


(1)   Processus de signalement des incidents de sécurité dans la sphère Santé :

(2)   Liste des conflits d’intérêts DPO 

(3)   PSSI État, PSSI-MCAS, PGSSI-S, certification HAS, certification des comptes, Code de la santé publique, guides Anssi, agrément HADS, certification ISO…

rssi, dsi, cnil, pgssi, directeur, données de santé, protection des données, établissements de santé, cédric cartau, dsih, sécurité, numérique


VIDAL