3e Colloque SSI Santé du ministère (partie 2)
12 déc. 2017 - 09:39,
Tribune
- Charles Blanc-RolinThomas Dautieu, directeur adjoint à la Direction de la conformité de la Cnil, voit dans ce règlement une « crédibilisation » des « Cnil » européennes, une responsabilisation des acteurs avec le renforcement des droits des personnes ainsi que le renforcement des sanctions.
« Je suis surpris de voir l’étonnement provoqué par ce règlement. La protection des données à caractère personnel n’a rien de nouveau : elle existe depuis 40 ans ! », a-t-il rappelé avant d’exposer les grandes obligations de ce règlement :
- réaliser des analyses d’impact (avec l’outil PIA fourni par la Cnil, par exemple) ;
- notifier la Cnil et les victimes lors d’incidents ;
- mettre en place des mesures techniques et organisationnelles pour agencer la mise en conformité ;
- nommer un délégué à la protection des données (DPD), le fameux DPO, Data Protection Officer en anglais ;
- tenir un registre des traitements.
Ce règlement valide le choix qu’avait fait la France avec la désignation du CIL (correspondant Informatique et Libertés).
Selon lui, « le DPD doit :
- connaître les métiers ;
- connaître la réalité opérationnelle ;
- avoir une autorité, un bon niveau hiérarchique au sein de son établissement ;
- avoir des remontées d’informations. »
Il a par ailleurs souligné que « sa fonction ne doit pas se confondre avec celle du responsable de traitement. Il doit pouvoir mener des audits et mettre les mains dans le cambouis ».
Cédric Cartau, a quant à lui présenté son approche de la mise en œuvre de la conformité RGPD au CHU de Nantes.
Il a relevé que certaines obligations ne s’appliquaient pas aux données de santé de nos établissements, comme le recueil du consentement et le droit à l’effacement.
Dans sa cartographie des traitements, revue perpétuellement en mode PDCA (ou roue de Deming), il a identifié que peu de traitements étaient finalement sensibles.
« Aujourd’hui, il faut déclarer des traitements de données et non des logiciels ! »
Pour 409 logiciels au CHU de Nantes, il n’y a en réalité que 23 traitements. 20 à 30 logiciels servent à un seul et même traitement.
Il a également rappelé qu’au sein d’un établissement de santé les traitements de données à caractère personnel ne se limitaient pas aux données des patients et qu’il ne fallait pas oublier les traitements qui concernent les ressources humaines et la médecine du travail.
« Les traitements concernant la recherche posent problème car la frontière entre recherche et soins manque souvent de clarté », a-t-il précisé.
Cédric a également attiré l’attention sur les traitements relatifs aux enquêtes :
« Si elles sont anonymes, le RGPD ne s’applique pas, mais dans certains cas, les résultats sont détournés vers un dossier patient bis ! »
Ainsi que sur la partie décisionnelle :
« Le requêtage peut, dans certains cas, faire l’objet d’un traitement à part. »
Selon lui, nous n’avons pas d’autre choix que de faire confiance aux professionnels, tout en les responsabilisant :
« Maîtriser les fichiers bureautiques sauvages qui traînent sur le SI est impossible ! »
Il faut s’appuyer sur la réglementation. La charte informatique doit imposer de placer les données dans les logiciels métiers, ce qui permettra d’engager la responsabilité de l’agent en cas de non-respect.
Le responsable de traitement doit lui aussi s’engager en signant l’analyse d’impact obligatoire pour chaque traitement.
En ce qui concerne les prestataires, Cédric préconise de leur demander de réaliser des audits :
« Démontrez-nous que vous vous êtes posé un minimum de questions, c’est ce que dit le RGS ! »
« Il faut exiger d’eux ce qu’exige de nous la Cnil ! », a-t-il conclu.
Lors des échanges avec la salle sur ce thème, notre FSSI, Philippe Loudenot, a indiqué que le RGPD rappelait bien l’importance de protéger les données dans leur ensemble (DICP), et pas seulement leur confidentialité !
À suivre…
(1) 3ème Colloque SSI Santé du ministère (Partie 1)
(2) règlement général européen sur la protection des données
