https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Systèmes d'information

GHT: le délégué à la protection des données doit disposer de "relais" dans les établissements

1 796

LE MANS (TICsanté) - Le délégué à la protection des données personnelles (Data Protection Officer en anglais -DPO) d'un groupement hospitalier de territoire (GHT) doit pouvoir se reposer sur des "relais" dans les différents établissements et sur des procédures de contrôle pour assumer pleinement son rôle de "conseil" et d'"alerte", a estimé le 3 avril Cédric Cartau, DPO du CHU de Nantes et du GHT Loire-Atlantique (GHT 44).

Cédric Cartau est intervenu à l'occasion du 7e congrès national de l'Association pour la sécurité des systèmes d'information de santé (Apssis), qui s'est tenu au Mans du 2 au 4 avril, pour dresser un premier bilan sur la fonction de DPO, rendue obligatoire dans tous les établissements de santé par le règlement général européen relatif à la protection des données personnelles (RGPD) entré en vigueur en mai 2018.

Il assure la fonction de DPO pour le CHU de Nantes et pour les 12 autres établissements du GHT, regroupant au total 18.000 agents. Il est également vice-président de l'Apssis.

Du fait du nombre de structures et des traitements de données personnelles dont il faut assurer la conformité à la réglementation, "le DPO doit selon moi quitter le mode du 'je fais' pour dire 'je mets en place des process qui font, et je les contrôle'", a-t-il analysé.

Il faut donc "mettre en place des relais", c'est-à-dire des personnels sensibilisés à l'impératif de protection des données, qui joueront le "rôle de capteurs et d'alarmes" aux "endroits stratégiques" du groupement, a-t-il poursuivi, mentionnant "a minima la direction des achats, la direction informatique, le biomédical et les services techniques".

Il a conseillé de choisir pour ces relais des "profils de qualiticiens" ou les anciens correspondants informatique et libertés (CIL).

"Il faut tout miser sur le triptyque indicateurs, incidents, audits", a-t-il estimé, incitant à "rendre le plus autonomes possible les grandes directions fonctionnelles dans la mise en place de leurs propres audits".

Le DPO "ne doit pas tomber dans le piège du blocage", a-t-il ajouté. Il a expliqué que son rôle consiste davantage à conseiller et à alerter, puisque la décision finale revient toujours aux directions métiers et à la maîtrise d'ouvrage, qui est responsable des risques liés au traitement de données.

"Bilan subtilement nuancé" un an après le RGPD

Présentant un "bilan subtilement nuancé" des travaux menés pour cette première année d'entrée en vigueur du RGPD, il a noté que plusieurs chantiers s'étaient révélés moins problématiques que prévus, comme le recensement des traitements de données personnelles réalisés à l'hôpital ou l'élaboration des analyses de risque et d'impacts sur la vie privée.

Il a assuré n'avoir "pas eu de problème" avec la sensibilisation des maîtrises d'ouvrage, qui étaient déjà "très acculturées" aux tenants et aboutissants du règlement européen.

Il a toutefois mentionné plusieurs problèmes qu'il n'avait pas anticipés comme l'existence de traitements de données "en mode shadow", c’est-à-dire n'étant pas contrôlés par la direction des systèmes d'information (DSI). Il a cité le cas de traitements assurés par la direction des achats ou par des équipes de recherche.

"Il y a eu besoin de mettre en place différents filtres à plusieurs endroits de la gouvernance de mon établissement", a-t-il expliqué.

Parmi les autres problématiques moins attendues, il a mentionné la rédaction des avenants aux contrats avec les fournisseurs, où "le pire côtoie le pire", certains projets régionaux ou nationaux pour lesquels il s'avère "compliqué de dire qui est responsable de traitement et qui ne l'est pas", ou encore la conformité des études épidémiologiques et de la veille sanitaire.

Des problématiques propres aux GHT

Cédric Cartau a pointé un "flou juridique" concernant l'établissement support d'un GHT, dont la loi du 26 janvier 2016 mentionne la responsabilité concernant la mise en oeuvre de la conformité à la loi informatique et libertés.

"Un établissement support ne peut pas être responsable de la conformité des établissements périphériques puisque cela dépend d'une entité juridique, et que le GHT n'a pas de personnalité juridique", a-t-il souligné.

Il a partagé les limites du DPO, qui peut être "sur-sollicité" dans les GHT regroupant de nombreux établissements.

Il a fait référence à la "myriade de structures satellites qui gravitent autour d'un CHU" comme les groupements d'intérêt économique (GIE) qui s'occupent de l'imagerie, de la blanchisserie ou de la restauration, et qui doivent aussi s'assurer de leur conformité au RGPD.

Cédric Cartau a également mentionné la question -qui "va nous occuper pendant des années"- des accès croisés au dossier patient informatisé (DPI) par plusieurs professionnels de santé de différents établissements du GHT.

Raphael Moreaux
raphael.moreaux@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

L'Igas pointe la "convergence retardée" des SIH dans les GHT (rapport)

PARIS (TICsanté) - Défaut d'interopérabilité, manque de consensus des choix logiciels, inégale structuration des DIM de territoire... dans un rapport rendu public le 11 février, l'Inspection générale des affaires sociales (Igas) a pointé les causes du "retard" de la convergence des SIH dans les GHT et a formulé ses recommandations.

0 1423

En bref

Doctolib édite deux chartes sur sa politique de protection des données personnelles

Dans deux chartes publiées le 12 février sur son site internet, Doctolib, leader européen de la prise de rendez-vous en ligne, a présenté ses engagements pour protéger les données personnelles de santé de ses utilisateurs.

0 684

Vos réactions

Afficher/Masquer les commentaires (1)

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
8 + 2 =
http://www.canyon.fr/
https://openbi.org/
https://www.mipih.fr/votre-projet-mipih/piloter-la-performance/desionnel2.html

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • WebconfĂ©rence "Les grandes tendances de la e-santĂ© en 2021"

    A partir du 26/01/2021

  • SANTEXPO LIVE (Ex-Paris Healthcare Week)

    Du 09/03/2021 au 11/03/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021