Une feuille de route 2017 bien garnie !

2016 a vu émerger une somme de textes qui vont peser sur l’activité des DSI. Traités pour la plupart au fil des pages qui précédent, ils sont présentés ici en synthèse de manière à attirer l’attention de nos lecteurs sur les échéances à venir et sur les points de vigilance les plus importants.

Règlement général sur la protection des données du 27 avril 2016 ; loi du 26 janvier 2016 et sa kyrielle de décrets d’application portant notamment sur les groupements hospitaliers de territoire, les incidents graves de sécurité, mais également ses deux ordonnances du 12 janvier 2017 relatives à l’hébergement des données de santé et à la force probante des documents créés ou reproduits sous forme numérique ; guide méthodologique sur le système d’information convergent ; instruction du 14 octobre 2016 fixant un « Plan d’action SSI », etc. L’agenda 2017 s’annonce, pour la direction des systèmes d’information, particulièrement dense.

GHT et SIH convergent

Le 31 décembre 2017 doit marquer la réalisation effective du schéma directeur des systèmes d’information du groupement hospitalier de territoire et la mutualisation des équipes issues des établissements membres du groupement. Sur ce point, la question des ressources humaines focalisera l’attention, s’agissant notamment du sort des contractuels de droit public qui peuplent généralement cette direction.

L’objectif du GHT étant de construire des parcours de soins, il importera de chaîner les prises en charge par un numéro d’identification unique pour le patient, ce qui mobilisera l’identitovigilance afin d’éviter les doublons, travail considérable nécessitant de la concertation, un certain sens de l’organisation et l’exploitation des outils déjà existants.

Comment, par exemple, gérer techniquement les habilitations des professionnels de santé en limitant le risque de violation du secret professionnel ? Tel est l’un des casse-tête que les DSI vont devoir résoudre.

RGPD et mise en place d’un DPO

173 considérants, 99 articles, de 200 à 400 pages (selon les versions de travail et les langues utilisées) : le règlement général sur la protection des données (RGPD) doit s’appliquer à l’identique dans tous les États membres de l’Union européenne à compter du 25 mai 2018.

Ce texte impose l’instauration obligatoire d’un délégué à la protection des données (Data protection officer ou DPO) au sein de toutes les entités représentées par des personnes morales de droit public ou lorsque les activités de base du responsable du traitement des données consistent en des opérations de traitement nécessitant un suivi régulier ou à grande échelle de données sensibles (art. 37, § 1).

Les actuels correspondants Informatique et Libertés désignés sont naturellement pressentis pour l’exercice de cette mission dans la mesure où la fonction évolue très clairement vers l’expertise. Parmi les nouvelles obligations du DPO, deux d’entre elles attirent particulièrement l’attention :

• notifier à la Cnil toute violation des données personnelles 72 heures après en avoir eu connaissance et, en cas de persistance d’un risque élevé pour la vie privée, sans délai à la personne concernée ;
  
• documenter la conformité légale des traitements avant leur mise en oeuvre et pendant tout le cycle de vie des données personnelles (registre des traitements, politique de protection des données, contrats de sous-traitance).

Reste à savoir quel sera le positionnement du DPO (direction générale ou DSI ?) et s’il s’agira d’un poste à temps plein ou d’une fonction support.

Hébergement, numérisation et archivage des données de santé

Les établissements supports souhaitant devenir hébergeurs agréés de données de santé (HDS) devront naturellement « s’approprier » l’ordonnance n° 2017-27 du 12 janvier 2017, par laquelle le gouvernement a modifié les règles d’hébergement des données de santé. Désormais, l’hébergeur est titulaire d’un certificat de conformité, délivré par « des organismes de certification accrédités par l’instance française d’accréditation ou l’instance nationale d’accréditation d’un autre État membre ».

Les hébergeurs ayant déjà obtenu l’agrément HDS conservent leur agrément jusqu’à son échéance. Lorsque l’agrément arrive à échéance « dans les 12 mois » suivant l’entrée en vigueur des dispositions prévues par l’ordonnance, l’hébergeur « dispose d’un délai minimum fixé par décret pour se mettre en conformité ».

L’ordonnance entre en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019. Sur la numérisation et l’archivage, on indiquera simplement qu’une ordonnance n° 2017-29 du 12 janvier 2017 transpose aux fichiers médicaux certaines dispositions du Code civil relatives à l’écrit électronique. Elle autorise la destruction volontaire d’un original pour ne laisser subsister que la copie numérique fiable et durable, sous réserve d’une autorisation de l’administration des archives pour les documents qualifiés d’archives publiques au sens du Code du patrimoine.

L’auteur

Me Omar YAHIA
SELARL YAHIA Avocats
Barreau de Paris