Un guide d’application pratique du RGPD pour les établissements de santé retardataires

Il arrive tardivement. Presque un an après l’entrée en vigueur du règlement général sur la protection des données (RGPD), la direction générale de l’offre de soins (DGOS) dépendant du ministère de la Santé publie un mémento sur le sujet. Présenté comme un outil ayant “pour objectif d’éclairer les décideurs sur les conséquences, pour les établissements de santé, de ce nouveau contexte réglementaire et d’en préciser les enjeux”, le document de 28 pages rappelle plutôt les “notions-clés” que recouvre le RGPD (qu’est-ce qu’une donnée à caractère personnel ? qui est responsable de traitement ?…), le rôle du data protection officer (DPO) et ce qu’impliquent la tenue du registre des traitements ou les analyses d’impacts sur la vie privée. Il se clôture par un mémo-quiz intitulé “RGPD – êtes-vous prêt ?”.

Toutefois, ce mémento destiné aux directions des établissements se montre pratique : chaque élément du RGPD est expliqué de façon claire et adaptée à ce type de structure, exemples concrets à la clé, des liens vers des fiches de la Commission nationale de l’informatique et des libertés (Cnil) sont proposés tout au long du document ainsi qu’en fin de guide un glossaire et une liste des outils et sites institutionnels de référence. La DGOS rappelle ainsi qu’un recoupement d’informations constitue une donnée à caractère personnel, citant “le fils du notaire hospitalisé dans notre établissement habitant au 11 boulevard Raspail à Paris”. À l’inverse, l’adresse “consultantexterne@etablissement.fr” n’en est pas une “car c’est une adresse mail non nominative, ne rentrant pas dans le champ du RGPD, pour autant que cette adresse fonctionnelle ne puisse être associée à une seule personne ; dans le cas contraire, elle deviendrait alors indirectement nominative”. Et la liste des données de santé gérées par les établissements, par nature, en raison de leur utilisation ou parce qu’elles résultent d’un croisement de données, est précisée.

Le DPO doit être un qualiticien

Autre exemple pratique : la désignation du responsable de traitement au sein d’un groupement hospitalier de territoire (GHT). Est alors expliquée la coresponsabilité de traitement entre les établissements parties au GHT et l’établissement support, en cas notamment de dossier médical partagé ou de traitement utilisé pour la pharmacie commune ou pour le laboratoire commun de biologie médicale. Et la nécessité de formaliser un accord sous forme de convention, dans le règlement intérieur du GHT ou au niveau du registre des traitements. Plus loin, une page détaille “comment choisir (son) DPO” : lui assurer une position stratégique au sein de la hiérarchie, ne pas le placer en position de conflits d’intérêt, maîtriser autant l’IT que les sujets juridiques, etc. À ce titre, le responsable de la sécurité des systèmes d’information (RSSI) du centre hospitalo-universitaire (CHU) de Rennes, Frédéric Alliaume, posait la question du profil à recruter sur le 7e congrès national de la sécurité des systèmes d’information de santé. Réponse de Cédric Cartau, qui intervenait en tant que RSSI du CHU de Nantes, DPO de son GHT (13 établissements) et auteur de nombreux ouvrages sur les SI hospitaliers : le DPO doit être un qualiticien. “Le plus mauvais DPO qui existe est un informaticien. Je suis bien placé pour en parler, j’en suis un. Le DPO est une démarche qualité, pas technique. Quand je le peux, je mets donc en œuvre des qualiticiens.” Mais “il y a des exceptions : un informaticien préalablement correspondant Informatique et libertés (CIL) dans un CH” par exemple.

Enfin, la partie consacrée aux analyses d’impact sur la vie privée indique quand il faut les mener et dirige vers l’outil de la Cnil qui permet de formaliser ces études. Les contrats en cas de sous-traitance des traitements ne sont pas oubliés, avec un exemple de clauses fourni par la Cnil qui propose également un modèle de fiches et de registres des activités de traitement. Lors du congrès, il a été annoncé que la publication de ce guide par la DGOS “devrait être complétée par la mise en œuvre d’un groupe de travail santé qui devrait aider à définir des traitements dits standards”.