RGPD dans les hôpitaux, chronique d’une prise en main – épisode 4

Le RGPD est composé d’une liste d’actions et de mesures qui toutes, prises unitairement, sont simples : il n’y a aucune difficulté dans l’établissement d’un registre, ni dans l’introduction de la privacy by design dans les projets, pas plus que dans la revue des contrats fournisseurs. Mais ces actions sont tellement nombreuses que toute la difficulté de l’opération consiste à savoir par quoi commencer, comment ne rien rater, surtout dans le contexte de gestion du risque juridique : à moins d’y consacrer des sommes considérables, dans le monde de la santé, aucun établissement ne pourra être 100 % conforme. Il faudra donc faire des choix sur les mesures les plus urgentes à prendre et celles qui attendront.

Une des difficultés qui apparaît – et qu’aucun consultant n’a évoquée devant moi – concerne la signature des appréciations des risques. Je m’explique : pour ceux qui n’ont pas de CIL (correspondant Informatique et Libertés), la mise en conformité d’un traitement se termine par l’envoi (papier, fax ou électronique) du formulaire de déclaration. Il suffit de donner une délégation de signature (la plupart du temps au DSI), et l’affaire est réglée. Avec un CIL, c’est même encore plus simple : en dehors des cas rares des demandes d’autorisation (surtout dans le secteur particulier de la recherche), le CIL n’a qu’une inscription au registre interne à gérer. Mais avec le RGPD on change de gamme : le responsable du traitement (la MOA métier) va devoir signer (avec un stylo et sur un coin de table) l’appréciation formelle des risques. Quand il va s’agir de traitement dans le domaine RH, certes le DRH va être légèrement surpris au début, mais il s’agit d’une personne rompue aux formalités administratives, et cela ne posera aucun souci. On se trouve dans le cas présent avec une MOA facile à identifier. Mais quid du dossier patient ? Qui est la MOA dans ce cas ? Le président de CME ? Dans ce cas, il va lui falloir une délégation de signature. Le DG ? Il faudra prévoir un temps d’explication, dans un petit établissement pas de problème, mais dans un gros CHU pas évident.

Et toujours dans la même veine, qui est le responsable du traitement d’une application technique telle que la messagerie électronique ? Le DSI ? Pourquoi pas, mais chacun comprendra qu’il ne pourra pas être le DPO (facile dans un gros établissement, plus difficile dans un petit), et que le DPO ne pourra nullement dépendre de lui (pour ceux qui ne l’avaient pas encore réalisé). Dans un GHT pour lequel l’établissement support assure la conformité Cnil (et donc RGPD), le DPO devra aussi prévoir un temps d’explication aux autres directions d’établissement et ne pas se laisser prendre au piège du : « C’est à l’établissement support de signer les appréciations des risques des traitements de tout le monde », ce qui est bien entendu exclu.

Dans un gros établissement, on identifie 21 traitements (à comparer aux quelques centaines de déclarations de logiciels qui ont été faites depuis bientôt 20 ans). Sur ces 21 traitements, il faut distinguer ceux qui se rapportent aux données non sensibles (liste de fournisseurs, liste de prêt de véhicules aux agents de l’établissement, etc.) des traitements dits « sensibles » au sens de la Cnil (données médicales, données de mineurs, etc.), qui représentent entre le quart et le tiers de la liste initiale. Il va donc falloir prioritairement concentrer les efforts sur certains traitements (étape 4 du guide de la Cnil(4)). L’approche fractale me convient tout à fait dans ce contexte : réduire 80 % des non-conformités en utilisant 20 % des moyens, puis analyser l’impact (pour la vie privée autant que pour l’établissement) des 20 % des non-conformités qui ne sont pas couvertes, et recommencer.

Qu’il s’agisse de petits ou de gros établissements, dans tous les cas la direction en charge de la conformité Cnil a tout intérêt à procéder avant le 25 mai 2018 à la déclaration de ces 21 traitements (plus ou moins, selon les cas). Ainsi, à partir du 25 mai, elle ne sera redevable du RGPD que dans les cas de changement de traitement.

Pour le reste, on peut se perdre dans la liste sans fin d’actions recommandées par le RGPD, mais il semble important de revenir à l’esprit des textes, qui peut se résumer simplement : en mettant en place un traitement de données, le responsable du traitement doit se poser certaines questions ; il n’est plus possible de faire n’importe quoi avec les données des gens, et la conformité ne se résume pas à l’envoi d’un fax.

(1) /article/2580/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-1.html 

(2) /article/2636/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-2.html 

(3) /article/2650/rgpd-dans-les-hopitaux-chronique-d-une-prise-en-main-episode-3.html 

(4) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes