https://global.agfahealthcare.com/france/systemes-informations/hexalis/
http://vieviewer.com/

Politique

Protection des données: le CHU de Nantes met en place une stratégie "pragmatique" de mise en conformité au règlement européen

0 252

(Par Raphaël MOREAUX, au 6ème congrès national de l'Apssis)

LE MANS, 9 avril 2018 (TICsanté) - Le délégué à la protection des données (DPO) du CHU de Nantes, Cédric Cartau, a expliqué le 4 avril lors d'un congrès avoir fait le choix d'une stratégie "pragmatique" pour se conformer au règlement général européen relatif à la protection des données personnelles (RGPD), en se concentrant dans un premier temps sur la mise en conformité de cinq traitements de données "particulièrement sensibles".

Adopté en 2016 par l'Union européenne, le RGPD doit entrer en vigueur le 25 mai 2018, et comprend plusieurs dispositions s'appliquant aux acteurs publics et privés afin d'encadrer les traitements de données personnelles, dont font partie les données de santé, rappelle-t-on (voir dépêche du 13 mai 2016). L'adaptation du droit français à ce règlement fait actuellement l'objet d'un projet de loi, examiné en première lecture par le Parlement (voir dépêche TICpharma du 4 avril 2018).

Cédric Cartau est responsable de la sécurité du système d'information (RSSI) et DPO du groupement hospitalier de territoire (GHT) 44 (Loire-Atlantique), dont le CHU de Nantes est l'établissement support.

Il a présenté au 6e congrès national de l'Association pour la sécurité des systèmes d'information de santé (Apssis) les travaux en cours depuis juin 2017 au sein du GHT afin de mettre en conformité les traitements de données relatives aux agents, aux patients et aux usagers des 13 établissements du groupement.

"Ce que je demande aux établissements du GHT est de s'assurer que leurs principaux traitements sont en règle vis-à-vis de la réglementation informatique et libertés déjà existante. Seules les modifications de ces traitements après le 25 mai tomberont sous les fourches caudines du RGPD", a-t-il expliqué.

Lors de la première étape d'"état des lieux" des traitements assurés par les établissements du GHT, Cédric Cartau a identifié, parmi les 409 traitements de données qui avaient fait l'objet d'une déclaration à la Commission nationale informatique et libertés (Cnil), 32 traitements de données personnelles, dont 14 ont été considérés comme "sensibles".

"Le véritable travail doit porter sur ces 14 traitements", a-t-il souligné, expliquant que les traitements "non sensibles" devaient "simplement être recensés dans un registre" afin de respecter le RGPD.

"Je n'ai matériellement pas le temps de mettre d'équerre tous les traitements avant le 25 mai", a poursuivi Cédric Cartau, expliquant avoir fait le choix de se concentrer sur cinq traitements: les données du dossier patient informatisé (DPI) et la gestion administrative du malade, les informations relatives à l'authentification des agents sur le système d'information (SI), les données de la médecine du travail, les données relatives aux ressources humaines (gestion de la carrière et de la paye) et les fiches d'évènements indésirables générées par les établissements.

La mise en conformité du reste des traitements de données personnelles sera "étalée à raison d'un par mois ou par trimestre sur les 12 à 18 prochains mois", a-t-il précisé. Cela permet, en cas de contrôle par la Cnil après le 25 mai, de disposer d'un "plan opposable de mise en conformité pour démontrer que nous sommes en marche".

Pour chacun des traitements sensibles identifiés au sein du CHU de Nantes, Cédric Cartau a engagé une révision des contrats avec les sous-traitants, dont la co-responsabilité des traitements est prévue par le RGPD.

Afin d'élaborer des avenants aux contrats des sous-traitants, il a conseillé de se servir des modèles fournis par la Cnil. Ces nouvelles clauses ont également été "envoyées à la cellule marché afin qu'elles soient ajoutées à chaque nouveau marché passé avec un fournisseur", a-t-il précisé.

Stratégie vis-à-vis des directions métiers et du personnel

Pour chacun de ces traitements, le CHU de Nantes a dû identifier les maîtrises d'ouvrage à désigner comme "responsable de traitement", au sens du RGPD. Certains cas ont été "simples" à régler, comme la désignation de la DRH en tant que responsable des traitements relatifs aux ressources humaines, d'autres ont été "plus complexes", a constaté Cédric Cartau.

Il a cité le cas du responsable de traitement des données du DPI, pour lequel "au moins trois" entités peuvent être concernées: la direction générale, le département d'information médicale (DIM), ou le président de la commission médicale d'établissement (CME). "Cela va vraisemblablement se jouer entre le DIM et le président de CME", a-t-il relaté.

A chacune de ces maîtrises d'ouvrage, il a demandé d'"intégrer nativement dans tous les nouveaux projets mis en production après le 25 mai les contraintes du RGPD", notamment en matière d'analyse d'impact des projets sur la vie privée.

Il a également partagé avec l'ensemble du GHT un "socle documentaire", présentant par exemple quelle typologie de traitements de données est jugée sensible ou non, à la lueur du règlement européen.

Une charte a été élaborée afin d'engager les agents à ne saisir des données personnelles "que dans les logiciels institutionnels prévus à cet effet", a expliqué Cédric Cartau. Si un individu saisit ce type d'informations dans des fichiers du type Excel* ou Access*, "la responsabilité juridique de l'institution est dégagée, la responsabilité intuitu personae de l'agent est engagée", a rappelé le RSSI.

De nombreuses "complexités" à résoudre

Cédric Cartau a mis en avant plusieurs complexités de mise en conformité "en cours de traitement" au sein du GHT 44. Il a cité les traitements qui relèvent du domaine de la recherche, pour lesquels des processus de pseudonymisation des bases de données médicales sont concernés par le RGPD.

"L'irruption récente des entrepôts de données de santé" dans plusieurs établissements comme les CHU de Rennes, de Nantes, ou l'AP-HP (Assistance publique-Hôpitaux de Paris), pose également question vis-à-vis du règlement. "Les traitements de données y sont par définition très compliqués à encadrer puisqu'on utilise souvent ces entrepôts pour chercher des corrélations entre des variables, sans savoir véritablement ce qu'on cherche", a-t-il expliqué. "C'est le principe du big data" et "le RGPD arrive ici à ses frontières", a-t-il observé.

Cédric Cartau a évoqué les cas "très complexes" où il est difficile de savoir qui est le responsable de traitement au sein du GHT. Il a cité l'exemple d'un groupement de coopération sanitaire (GCS) pour la biologie, au sein duquel deux établissements du groupement collaborent et utilisent un même logiciel, hébergé par l'un des établissements et utilisé par des salariés de droit privé du GCS et des agents hospitaliers.

Il a également soulevé les problèmes posés par la convergence informatique en cours dans les GHT. "On commence à faire interopérer des logiciels entre établissements, à mettre en place des accès croisés pour qu'un praticien d'un établissement A se déplaçant dans un établissement B ait accès aux données de ce dernier, et inversement", a-t-il expliqué. "Le fait qu'on reste des entités juridiques séparées mais qu'on commence à interopérer des données fait voler en éclats la notion de responsables de traitement par silo au sein d'un GHT", a-t-il noté.

Au sein du GHT 44, Cédric Cartau, "DPO de territoire" rattaché au CHU de Nantes, a expliqué avoir fait le choix de nommer des "relais" dans les autres établissements ayant des profils de type juriste ou qualiticien". Il a relevé des "niveaux de maturité extrêmement divers" des directions générales sur l'impact du RGPD selon les établissements du GHT.

Pour sensibiliser ces directions, il a incité ses homologues à rappeler les risques encourus en cas de non-conformité: une amende de 20 millions d'euros et une injonction d'arrêt du traitement des données. "Quand vous parlez réglementaire dans le monde informatique, personne ne lève l'oreille. Quand vous parlez de 20 millions d'euros, tout le monde écoute", a-t-il remarqué.

rm/cd/eh

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

En bref

Publication de l'ordonnance sur la loi relative à la protection des données personnelles

Le gouvernement a publié le 13 décembre au Journal officiel l'ordonnance de mise en application de la loi du 20 juin 2018 relative à la protection des données personnelles qui réécrit la loi "Informatique et libertés" de 1978.

0 274

Systèmes d'information

L'AP-HP veut renforcer la formation continue de ses professionnels aux outils numériques

PARIS, 11 décembre 2018 (TICsanté) - Le directeur des systèmes d'information (DSI) de l'Assistance publique-hôpitaux de Paris (AP-HP), Laurent Treluyer, a indiqué le 3 décembre travailler à la mise en place, au premier semestre 2019, d'un programme de formation continue des professionnels hospitaliers aux outils numériques, et au dossier patient informatisé (DPI) Orbis* en particulier.

0 337
https://digital-solutions2.konicaminolta.fr/FR-20190521-TDS-0-MLT-EVT-HVF-0-01-Page-de-contact-HIT.html?utm_medium=email&utm_campaign=FR-20190521-TDS-0-MLT-EVT-HVF-0-salon-HIT-2019&utm_source=Event&utm_term=&utm_content=contact

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
2 + 5 =
http://www.canyon.fr/
https://www.groupepsih.com/
https://www.evolucare.com/?utm_source=ticsante&utm_medium=banniere&utm_campaign=hit2019

Les offres APMjob.com

https://www.nuance.com/fr-fr/healthcare/events/parishealthcareweek2019.html?cid=7010W000002O459QAC&cn=EHM-IP-20190320-PHW19&ls=Inbound%20Inquiry&rs=TICSANTE

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • 2e Forum Derm@to Connecté

    Le 17/05/2019

  • Paris Healthcare Week 2019

    Du 21/05/2019 au 23/05/2019

  • 59èmes Journées d'études et de formation de l'IHF

    Du 05/06/2019 au 07/06/2019

https://pgpromotion.site.calypso-event.net/visiteur/visiteur-he-gh-hit/coordonnees.htm?utm_source=SW&utm_medium=BAN&utm_campaign=TICSANTE