En direct du 6ème Congrès National de l'APSSIS – l’état des lieux des GHT, le volet juridique

La fonction achat, qui est centralisée au sein de l’établissement support depuis le 1^erjanvier 2018, est la première à poser question. Si les établissements périphériques gardent la responsabilité de l’expression des besoins, l’établissement support garde la maîtrise des différentes étapes de la passation des marchés. Quid alors de la responsabilité en cas de contentieux ? Quid de la responsabilité des agents des établissements périphériques mis à disposition de l’établissement de l’établissement support dans le cadre de la constitution de cellule achat centralisée, par exemple sur la question de la délégation de signature ? Bref, pas mal de questions, peu de réponses et des questions qui appellent d’autres questions. Selon M^e Omar Yahia, nous n’en sommes qu’au début de la perception des impacts des différents textes.

Pour ce qui est de la fonction RH, les mises à disposition – ou autres formes de transfert – de personnel comportent un risque social à gérer par le chef de l’établissement support. Selon M° Yahia, des contentieux ultérieurs sont à prévoir sur ce sujet d’autant que les textes donnent à l’administration tout pouvoir pour des transferts de personnels, avec des différences substantielles entre les titulaires et les contractuels. M^e Yahia souligne l’importance de la gestion du changement et surtout le fait que les transferts de personnels sont d’abord une opération RH avant d’être une opération juridique.

Enfin pour des sujets plus informatiques tels la convergence des DPI, quid des politiques d’habilitation d’accès, quid des politiques communes de sanctions en cas d’abus constaté, quid de l’articulation des différentes CME pour la définition de ces politiques ?

M^e Margueritte Brac de la Perrière revient sur le RGPD et les interrogations les plus récentes. Tout d’abord, certaines formulations sur le RGPD sont tellement génériques que les interprétations et les mises en applications seront très diverses en fonction des pays de l’UE. Le RGPD soulève pas mal de questions, sur des processus qui ne sont pas forcément au cœur des préoccupations des DPO : par exemple, la question bien tordue d’archivage des données nominatives, et des processus de suppression (particulièrement complexe dans le domaine des données de santé).

Je ne crois pas trahir l’esprit de l’intervention et des questions / réponses en disant que l’hypothèse que l’établissement support se déclare responsable de traitement de tous les DPI n’est pas irréaliste, va dans l’esprit général de différents arrêts et décisions sur d’autres sujets, et résoudrait d’un trait de plume pas mal de questions notamment celle – très complexe – de l’hébergement de données de santé par l’établissement support.

Cette intervention, qui a lieu tous les ans, est passionnante surtout par ses évolutions. Au fur et à mesure que les textes se bougent, les analyses de M^e Brac de la Perrière et M^e Yahia se précisent et le centre de gravité des interrogations évolue extrêmement vite. Bref, il n’y a pas que du côté des malwares et des produits de sécurité qu’un RSSI doit effectuer une veille permanente, le juridique et les différentes lois et textes (RGPD, mais pas que) en font aussi partie.

Hors de question que je rate cette intervention de la prochaine édition du congrès de l’APSSIS.