https://vieviewer.com/
https://openbi.org/covid19-suivi-du-covid-19/

Systèmes d'information

GHT: le délégué à la protection des données doit disposer de "relais" dans les établissements

1 592

LE MANS (TICsanté) - Le délégué à la protection des données personnelles (Data Protection Officer en anglais -DPO) d'un groupement hospitalier de territoire (GHT) doit pouvoir se reposer sur des "relais" dans les différents établissements et sur des procédures de contrôle pour assumer pleinement son rôle de "conseil" et d'"alerte", a estimé le 3 avril Cédric Cartau, DPO du CHU de Nantes et du GHT Loire-Atlantique (GHT 44).

Cédric Cartau est intervenu à l'occasion du 7e congrès national de l'Association pour la sécurité des systèmes d'information de santé (Apssis), qui s'est tenu au Mans du 2 au 4 avril, pour dresser un premier bilan sur la fonction de DPO, rendue obligatoire dans tous les établissements de santé par le règlement général européen relatif à la protection des données personnelles (RGPD) entré en vigueur en mai 2018.

Il assure la fonction de DPO pour le CHU de Nantes et pour les 12 autres établissements du GHT, regroupant au total 18.000 agents. Il est également vice-président de l'Apssis.

Du fait du nombre de structures et des traitements de données personnelles dont il faut assurer la conformité à la réglementation, "le DPO doit selon moi quitter le mode du 'je fais' pour dire 'je mets en place des process qui font, et je les contrôle'", a-t-il analysé.

Il faut donc "mettre en place des relais", c'est-à-dire des personnels sensibilisés à l'impératif de protection des données, qui joueront le "rôle de capteurs et d'alarmes" aux "endroits stratégiques" du groupement, a-t-il poursuivi, mentionnant "a minima la direction des achats, la direction informatique, le biomédical et les services techniques".

Il a conseillé de choisir pour ces relais des "profils de qualiticiens" ou les anciens correspondants informatique et libertés (CIL).

"Il faut tout miser sur le triptyque indicateurs, incidents, audits", a-t-il estimé, incitant à "rendre le plus autonomes possible les grandes directions fonctionnelles dans la mise en place de leurs propres audits".

Le DPO "ne doit pas tomber dans le piège du blocage", a-t-il ajouté. Il a expliqué que son rôle consiste davantage à conseiller et à alerter, puisque la décision finale revient toujours aux directions métiers et à la maîtrise d'ouvrage, qui est responsable des risques liés au traitement de données.

"Bilan subtilement nuancé" un an après le RGPD

Présentant un "bilan subtilement nuancé" des travaux menés pour cette première année d'entrée en vigueur du RGPD, il a noté que plusieurs chantiers s'étaient révélés moins problématiques que prévus, comme le recensement des traitements de données personnelles réalisés à l'hôpital ou l'élaboration des analyses de risque et d'impacts sur la vie privée.

Il a assuré n'avoir "pas eu de problème" avec la sensibilisation des maîtrises d'ouvrage, qui étaient déjà "très acculturées" aux tenants et aboutissants du règlement européen.

Il a toutefois mentionné plusieurs problèmes qu'il n'avait pas anticipés comme l'existence de traitements de données "en mode shadow", c’est-à-dire n'étant pas contrôlés par la direction des systèmes d'information (DSI). Il a cité le cas de traitements assurés par la direction des achats ou par des équipes de recherche.

"Il y a eu besoin de mettre en place différents filtres à plusieurs endroits de la gouvernance de mon établissement", a-t-il expliqué.

Parmi les autres problématiques moins attendues, il a mentionné la rédaction des avenants aux contrats avec les fournisseurs, où "le pire côtoie le pire", certains projets régionaux ou nationaux pour lesquels il s'avère "compliqué de dire qui est responsable de traitement et qui ne l'est pas", ou encore la conformité des études épidémiologiques et de la veille sanitaire.

Des problématiques propres aux GHT

Cédric Cartau a pointé un "flou juridique" concernant l'établissement support d'un GHT, dont la loi du 26 janvier 2016 mentionne la responsabilité concernant la mise en oeuvre de la conformité à la loi informatique et libertés.

"Un établissement support ne peut pas être responsable de la conformité des établissements périphériques puisque cela dépend d'une entité juridique, et que le GHT n'a pas de personnalité juridique", a-t-il souligné.

Il a partagé les limites du DPO, qui peut être "sur-sollicité" dans les GHT regroupant de nombreux établissements.

Il a fait référence à la "myriade de structures satellites qui gravitent autour d'un CHU" comme les groupements d'intérêt économique (GIE) qui s'occupent de l'imagerie, de la blanchisserie ou de la restauration, et qui doivent aussi s'assurer de leur conformité au RGPD.

Cédric Cartau a également mentionné la question -qui "va nous occuper pendant des années"- des accès croisés au dossier patient informatisé (DPI) par plusieurs professionnels de santé de différents établissements du GHT.

Raphael Moreaux
raphael.moreaux@apmnews.com

http://www.computer-engineering.fr/

Acteurs

Une nouvelle charte de bonnes pratiques se prépare entre fédérations hospitalières et éditeurs informatiques

PARIS (TICsanté) - Une nouvelle charte de bonnes pratiques visant à améliorer les relations contractuelles entre donneurs d'ordre et prestataires spécialisés dans les systèmes d'information de santé est en cours de finalisation pour être adoptée d'ici juillet par les fédérations hospitalières et des représentants des éditeurs et entreprises de services numériques, a-t-on appris fin mai lors de la Paris Healthcare Week.

0 604

Acteurs

Le Mipih inaugure son nouveau data center amiénois (vidéo)

AMIENS (TICsanté) - Avec 1.200 m² de superficie et "plusieurs dizaines de pétaoctects de capacité de stockage", le nouveau data center amiénois du groupement d'intérêt public (GIP) Mipih (Midi Picardie informatique hospitalière) forme "l'un des plus grands centres de stockage de données de santé de France", s'est félicité Pierre Maggioni, directeur général du GIP, lors de l'inauguration du nouveau bâtiment le 5 juin.

0 605

Vos réactions

Afficher/Masquer les commentaires (1)

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
8 + 1 =
http://www.canyon.fr/
http://www.mediane.tm.fr/mediane-planning-sanitaire/

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • HealthTech Innovation Days

    Du 22/06/2020 au 23/06/2020

  • SIDO 2020

    Du 03/09/2020 au 04/09/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e Journées des start-up innovantes du dispositif médical

    Le 13/04/2021