SI-DEP, la schizophrénie guette le RSSI/DPO
18 mai 2020 - 19:18,
Tribune
- Cédric CartauBref, le confinement est propice à des réflexions délicieusement inutiles dans ce genre, et la dernière en date concerne le SI-DEP, l’application nationale sur laquelle les hôpitaux et laboratoires doivent renseigner les identités (entre autres informations) des personnes infectées par le Covid, dans le but de pister la propagation de l’épidémie, mettre les bonnes personnes en quarantaine, etc. Si vous me demandez mon avis sur cette application, je vais immanquablement vous retourner une autre question : à quel « Cédric » vous adressez-vous ? Le RSSI ? Le DPO ? Le professionnel travaillant dans un CHU ? Ou le citoyen ?
Le RSSI ne peut que tiquer légèrement devant l’envoi de données sensibles (personnelles et de santé) à une plateforme nationale, pour laquelle les habilitations d’accès ont été retoquées par différentes instances (accès trop larges, notamment pour le médico-social), et qui vont être exploitées par des entreprises privées. Certes, les données sont anonymisées, mais on sait que, globalement, l’anonymisation ne vaut pas tripette. Sans parler du fait qu’une telle masse de données ne peut qu’aiguiser l’appétit de certains acteurs plus ou moins recommandables. J’en profite d’ailleurs pour rappeler que cette base de données est parfaitement candidate à la technique d’avatars, développée par WeData, sur laquelle j’ai déjà écrit quelques lignes[2].
Le DPO, quant à lui, ne se sent pas spécialement concerné par ce traitement. Selon un texte de loi, son établissement n’est que sous-traitant et pas responsable de traitement. À partir de là, en dehors des mentions légales d’affichage, la responsabilité de son établissement ne peut pas être engagée (à condition, bien entendu, que les prérequis de sécurité soient satisfaits, comme le canal chiffré de communication d’envoi, la minimisation des données envoyées, etc.). Si une entité doit rendre des comptes, ce sera le donneur d’ordre (État, ministère, etc.).
L’agent hospitalier, pour ce qui le concerne, ne peut qu’être d’accord avec cette mesure. Quand on sait ce qu’ont souffert les personnels médicaux et soignants, le nombre global de morts sur le territoire (et ce n’est malheureusement pas terminé), toute mesure est bonne à prendre : il n’y a même pas débat.
Le citoyen est par contre globalement opposé à cette mesure. Non que sa santé et celle des autres ne le préoccupent pas, bien au contraire, mais parce qu’il fait le bilan – il faut toujours faire un bilan ou une évaluation – entre ce qui est gagné et ce qui est perdu. Et c’est tout le problème : si on sait à peu près clairement ce qui est perdu (toujours moins de confidentialité de la donnée médicale, qui n’en avait pas besoin tant la confidentialité en question est en train de devenir un mythe ou un vœu pieux), on a un peu de mal à savoir ce qui va être gagné. Rien, absolument rien, n’apporte la preuve de l’efficacité d’un tel dispositif : les pays africains qui ont eu à lutter contre Ébola et d’autres épidémies du même tonneau ont gagné la bataille avec des mesures simples, back to basic :les masques, la désinfection, l’isolement, la distanciation physique, etc. L’Islande, chez qui le taux d’utilisation de ces dispositifs IT est un des plus élevés au monde, fait le bilan de la faible efficacité de ce genre de dispositifs[3] et préconise plutôt les tests massifs. Bref, tant que l’on ne m’aura pas prouvé que ce dispositif est efficace, je serai très méfiant.
Bon, je dois vous laisser, c’est bientôt le déjeuner et je dois débattre avec moi-même : la cuisse ou l’aile, fromage ou dessert, éclair au café ou tartelette aux fraises.
[1] https://www.youtube.com/watch?v=xqSKawORrPo&list=PLtzmb84AoqRRgqV5DfE_ykuGQK-vCJ_0t&index=16
[2] /article/3669/anonymisation-comparatif-de-trois-outils-partie-ii.html