Rémi Tilly (responsable de la SSI de Sesan) “Les établissements hospitaliers ne seront pas prêts pour le RGPD le 25 mai”

Quel est votre rôle vis-à-vis de la mise en conformité avec le RGPD ?

Depuis 2014, nous avons au GCS une mission d’accompagnement sur la Sécurité des systèmes d’information (SSI), à l’origine portée sur les établissements dont le budget dépasse les 100 millions d’euros. Naturellement, une dizaine de Groupements hospitaliers de territoires (GHT) sont venus vers nous pour avancer sur la mise en conformité avec le RGPD. Dans ce cas, nous contractualisons avec l’établissement support du GHT et intervenons sur tous ses établissements. Nos points de contact privilégiés sur ce sujet sont les DSI, ce qui est dommage car il faudrait que les directions des établissements soient plus sensibilisées. Certains établissements voudraient que nous assurions aussi le rôle de DPO (délégué à la protection des données) mais nous refusons : il ne faut pas déléguer la responsabilité et les risques à un DPO externe.

Quels processus mettez-vous en place ?

La première action est de regarder la partie registre des établissements : quelles données sont récoltées, dans quel cadre, avec quels traitements… Il faut recenser ces informations de façon macro, sans forcément entrer dans le détail. Si je peux identifier aujourd’hui 60 % des traitements, c’est déjà bien. Il faut aussi identifier les plus critiques (par exemple, un portail d’admission pour enregistrer les données des futurs patients) et donner la priorité aux nouveaux projets. Concrètement, trois responsables de la SSI et moi intervenons au sein de l’établissement, avec la DSI et d’autres directions, afin de savoir ce qu’ils font des données personnelles : se contentent-ils d’utiliser les outils déployés ou font-ils des extractions pour utiliser d’autres outils ? Envoient-ils des données à l’extérieur ? Cela arrive souvent mais il faut s’assurer que leur usage est bien légitime. Une fois ce processus réalisé, il faut mener une analyse d’impact et éventuellement obtenir une homologation pour les principaux projets. Il faut aussi s’assurer que tous les outils existent pour qu’un patient puisse exercer ses droits concernant ses données. Dans le cas contraire, l’image de l’établissement pourrait être affectée.

Où en sont aujourd’hui les établissements que vous accompagnez ?

Ce travail a commencé il y a quelques mois seulement et les établissements étaient déjà peu à jour concernant la loi informatique et libertés. Cela prend beaucoup de temps d’identifier tous les traitements. Dans le meilleur des cas, nous trouvons des morceaux de registre et dans le pire seulement une ou deux déclarations à la CNIL. Il faut aussi qu’ils nomment un DPO… quelques établissements l’ont fait. J’estime que le point d’avancement se situe entre 10 et 33 %. Il est donc clair que personne ne sera prêt le 25 mai. Cependant l’important n’est pas de viser une conformité complète, qui demanderait des moyens irraisonnables, mais de se mettre dans une démarche normative avec une amélioration continue, grâce notamment au DPO interne. Nous serons là pour assurer la mutualisation des outils développés.