3e Colloque SSI Santé du ministère (partie 2)

Thomas Dautieu, directeur adjoint à la Direction de la conformité de la Cnil, voit dans ce règlement une « crédibilisation » des « Cnil » européennes, une responsabilisation des acteurs avec le renforcement des droits des personnes ainsi que le renforcement des sanctions.

« Je suis surpris de voir l’étonnement provoqué par ce règlement. La protection des données à caractère personnel n’a rien de nouveau : elle existe depuis 40 ans ! », a-t-il rappelé avant d’exposer les grandes obligations de ce règlement :

• réaliser des analyses d’impact (avec l’outil PIA fourni par la Cnil, par exemple) ;
• notifier la Cnil et les victimes lors d’incidents ;
• mettre en place des mesures techniques et organisationnelles pour agencer la mise en conformité ;
• nommer un délégué à la protection des données (DPD), le fameux DPO, Data Protection Officer en anglais ;
• tenir un registre des traitements.

Ce règlement valide le choix qu’avait fait la France avec la désignation du CIL (correspondant Informatique et Libertés).

Selon lui, « le DPD doit :

• connaître les métiers ;
• connaître la réalité opérationnelle ;
• avoir une autorité, un bon niveau hiérarchique au sein de son établissement ;
• avoir des remontées d’informations. »

Il a par ailleurs souligné que « sa fonction ne doit pas se confondre avec celle du responsable de traitement. Il doit pouvoir mener des audits et mettre les mains dans le cambouis ».

Cédric Cartau, a quant à lui présenté son approche de la mise en œuvre de la conformité RGPD au CHU de Nantes.
Il a relevé que certaines obligations ne s’appliquaient pas aux données de santé de nos établissements, comme le recueil du consentement et le droit à l’effacement.
Dans sa cartographie des traitements, revue perpétuellement en mode PDCA (ou roue de Deming), il a identifié que peu de traitements étaient finalement sensibles.

« Aujourd’hui, il faut déclarer des traitements de données et non des logiciels ! » 

Pour 409 logiciels au CHU de Nantes, il n’y a en réalité que 23 traitements. 20 à 30 logiciels servent à un seul et même traitement.
Il a également rappelé qu’au sein d’un établissement de santé les traitements de données à caractère personnel ne se limitaient pas aux données des patients et qu’il ne fallait pas oublier les traitements qui concernent les ressources humaines et la médecine du travail.

« Les traitements concernant la recherche posent problème car la frontière entre recherche et soins manque souvent de clarté », a-t-il précisé.

Cédric a également attiré l’attention sur les traitements relatifs aux enquêtes :
« Si elles sont anonymes, le RGPD ne s’applique pas, mais dans certains cas, les résultats sont détournés vers un dossier patient bis ! »
Ainsi que sur la partie décisionnelle :
« Le requêtage peut, dans certains cas, faire l’objet d’un traitement à part. »

Selon lui, nous n’avons pas d’autre choix que de faire confiance aux professionnels, tout en les responsabilisant :
« Maîtriser les fichiers bureautiques sauvages qui traînent sur le SI est impossible ! »

Il faut s’appuyer sur la réglementation. La charte informatique doit imposer de placer les données dans les logiciels métiers, ce qui permettra d’engager la responsabilité de l’agent en cas de non-respect.

Le responsable de traitement doit lui aussi s’engager en signant l’analyse d’impact obligatoire pour chaque traitement.

En ce qui concerne les prestataires, Cédric préconise de leur demander de réaliser des audits :

« Démontrez-nous que vous vous êtes posé un minimum de questions, c’est ce que dit le RGS ! »

« Il faut exiger d’eux ce qu’exige de nous la Cnil ! », a-t-il conclu.

Lors des échanges avec la salle sur ce thème, notre FSSI, Philippe Loudenot, a indiqué que le RGPD rappelait bien l’importance de protéger les données dans leur ensemble (DICP), et pas seulement leur confidentialité !

À suivre…

(1) 3ème Colloque SSI Santé du ministère (Partie 1)

(2) règlement général européen sur la protection des données