Vous reprendrez bien un peu de RGPD ?

« Avril 2018 arrive, il nous reste moins de deux mois pour nous mettre en conformité avec le RGPD. Si vous n’avez encore rien commencé, il est important de retenir que la France n’a de convention d’extradition qu’avec 78 pays sur les 193 reconnus par l’ONU. Il est donc urgent pour vous de prendre un billet d’avion… Pour ceux qui sont plus ou moins bien avancés, il est peut-être temps de faire un point d’étape, afin de comptabiliser les trous dans les raquettes respectives, et lister les plus béants ou les plus urgents à boucher.

La vision systémique du projet en mode PDCA – roue de Deming – a l’immense mérite de balayer large. Certaines questions complexes apparaissent, certains points durs transparaissent, et la dualité RSSI/DPO qui a pas mal occupé le débat courant 2017 n’est en fait qu’une question mineure. Quelle est la cartographie des traitements ? Entre l’établissement qui déclare ses logiciels et celui qui se focalise sur les traitements, la masse de travail change considérablement. Quel socle commun mettre en place, sans oublier que les patients ne sont pas les seuls dont les données sont traitées ? Quels sont les traitements sensibles ? Et parmi ceux-ci, quels sont ceux qui engendrent un risque de non-conformité ? Comment traiter la question des enquêtes et des requêtes en mode évaluation ? Comment traiter les équipements en mode “boîte noire” type biomédical ? Par qui faire signer l’étude d’impact sur la vie privée du DPI ? Comment aborder la question des fichiers bureautiques sauvages ? Enfin, comment traiter la question des avenants aux contrats ? Entre un simple fournisseur de progiciel en mode On Premise, et un fournisseur de solution SaaS, voire un sous-traitant complet de traitement, entre le simple courrier de rappel, l’accord de confidentialité et l’avenant, la stratégie n’est pas la même. Mais surtout, comment réduire le risque de non-conformité dans un contexte où aucune entreprise ne sera prête à 100 %, et comment faire pour que le RGPD soit une chance pour le RSSI ou le DPO, et pas un boulet ? »

Ce sont ces questions auxquelles se proposera de répondre Cédric Cartau, dans le cadre d’une conférence inédite préparée pour le Congrès Apssis 2018 !

Retrouvez le programme complet du Congrès sur https://www.apssis.com/le-congres/2018/programme.html

À propos de l’Apssis

Organisme unique dédié à la sécurité des systèmes d’information de santé, l’Apssis, association Loi 1901 fondée en 2010, a pour objet de constituer et d’animer l’écosystème pluriprofessionnel dédié à la réflexion sur la sécurité numérique de santé. Ses finalités, détaillées dans ses statuts, reposent sur quatre axes : son Congrès national, les manifestations dédiées à ses adhérents, la formation ciblée des personnels de santé et la promotion de la sécurité des SI de santé par l’animation des acteurs. L’Apssis fédère déjà plus de 100 membres, avec la volonté de promouvoir et de dynamiser la sécurisation du système d’information global de santé. www.apssis.com