Sécurité des SI et conformité au RGPD en Guyane

Le règlement général sur la protection des données (RGPD) est applicable depuis le mois de mai 2018. Déjà, en 2016, l’instruction n° 309 comportait les directives relatives à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information. Pour accompagner les établissements dans leur mise en conformité, l’ARS de Guyane propose un plan de formation. 

Plan d’action SSI

En 2017, à la suite del’instruction n° 309, l’ARS de Guyane a réalisé une enquête auprès des établissements sanitaires et médico-sociaux ainsi que des libéraux (laboratoires, radiologues) pour évaluer leur niveau en termes de culture de la sécurité et de protocoles. « Les établissements sanitaires étaient certes plus en avance que le secteur médico-social, a constaté Zéty Billard, chargée de mission SI à l’ARS.Mais aucun n’était prêt à répondre aux nouvelles exigences. »

Une première session de sensibilisation aux démarches de sécurité a donc été organisée, dès janvier 2018, avec l’Apssis. Elle comportait déjà un volet RGPD pour anticiper l’entrée en vigueur de la réglementation. Et, pour aller plus loin avec les établissements, « nous avons alors décidé de proposer une session spécifique au RGPD », déclare l’Association. Destinée aux établissements sanitaires et médico-sociaux, cette formation se tiendra 26 au 30 novembre.

Une formation en trois temps

Yves Normand, consultant et formateur, sera sur place toute la semaine pour une formation en plusieurs temps qui associera théorie, ateliers pratiques et mise en situations concrètes en établissement :

Le premier jour de formation, plus théorique, consistera à présenter le RGPD ainsi que ses tenants et ses aboutissants. « Il s’agit de remettre chacun à niveau et d’asseoir les connaissances », explique le formateur. Le deuxième jour, lors d’ateliers, les participants entreront dans le détail des outils à mettre en œuvre, par exemple pour l’identification des traitements ou la mise en place des registres de traitement, mais aussi de la méthodologie à appliquer pour une étude d’impact sur la vie privée ou une déclaration d’incident.

Durant les trois autres jours, Yves Normand passera du temps avec les équipes de terrain dans cinq établissements de la région, « pour des sessions tant de sensibilisation que pratiques afin de guider les participants dans les démarches de mise en conformité, en se basant sur leurs outils et leurs fonctionnements », ajoute-t-il. Trois structures de Cayenne seront ainsi concernées de même que les CH de Kourou et de Saint-Laurent-du-Maroni.

Un plan de formation pluriannuel

Les groupes ont été limités à 16 participants pour faciliter des échanges constructifs. « Le nombre de demandes était tel que nous avons dû restreindre à une personne la représentation de chaque établissement, explique Zéty Billard. La demande d’accompagnement sur la mise en place des registres et des procédures en interne est forte. Il y a toute une culture à apporter. »

Cette formation est une première pour l’ARS qui souhaite « réitérer l’expérience ettravaille sur un plan de formation pluriannuel ». Le GCS Guyasis est d’ailleurs en train de monter en compétence et réfléchit à un catalogue de services à proposer aux établissements pour les accompagner sur le volet de la sécurité des systèmes d’information.