Brève

Jean-Yves Haguet (Enovacom) : "Nous avons élevé notre niveau de sécurité par rapport aux services que nous proposons"

Par

Publié le 07/06/2018

Retour sur l'impact du RGPD dans les établissements hospitaliers. Entretien avec Jean-Yves Haguet, délégué à la protection des données chez l'éditeur de logiciel santé Enovacom.

visuel Haguet
Crédit photo : Picasa

DS : Quel est l'impact du RGPD sur les éditeurs de SIH ?

Les hôpitaux sont autant concernés que nous autres éditeurs. Ils ont ce rôle de responsables de traitement parce qu'ils recueillent les données des patients et des salariés. Pour notre part, nous sommes concernés dans la mesure où nous disposons des données de nos collaborateurs et de nos partenaires et clients. Surtout en tant qu'éditeurs, nous devons nous assurer de certaines dispositions en termes de gestion et de protection de ces données personnelles.

DS. Quid de la coresponsabilité entre hôpital et sous-traitants ?

Le responsable du traitement doit s'assurer dans le cadre de sa relation avec les sous-traitants des mesures de sécurisation appropriées qui ont été mises en place par ces derniers. Il a par exemple le droit d'aller auditer le SI du sous-traitant, de demander conseil auprès du sous-traitant, etc.

DS. Quid des amendes en cas de non-respect du règlement européen ?

Par rapport à la loi précédente de la Cnil de 1978, les amendes sont très lourdes et les établissements sont assez démunis. Ils sont obligés de nommer un DPO, qui est l'interlocuteur privilégié. Le responsable du GHT qui est souvent le DG de l'établissement support porte également désormais l'ensemble de la responsabilité sur cette protection. Cette mention doit figurer obligatoirement et expressément dans le statut du GHT.

DS. La sécurité a-t-elle été renforcée chez les éditeurs du fait du RGPD ?

En tant qu'éditeurs, nous avons élevé notre niveau de sécurité par rapport aux services que nous proposons. Dans cette optique, nous avons mené des campagnes d'audit de sécurité sur nos solutions afin de pointer les axes d'amélioration ou les points d'architecture perfectibles. Nous faisons de même pour l'axe certification, par exemple en nous rapprochant de modèles proposés par l'ANSSI.

DS. Pour les données des patients, quelles mesures supplémentaires sont rendues nécessaires par le RGPD ?

La plupart des mesures figurent déjà dans le code de santé publique. Vient s'ajouter par exemple la possibilité de ne plus détenir de données d'un patient. Si ce dernier demande leur suppression, le responsable de traitement est dans l'obligation de le faire ainsi que de le demander à tous les sous-traitants concernés, à condition que le délai de dix ans de conservation réglementaire soit atteint.

DS. Combien avez-vous d'établissements clients ?

Nous avons 1 500 clients qui sont intéressés par notre brique d'échange documentaire (dématérialisation, suivi des factures, échanges avec les institutions). Notre chiffre d'affaires est de près de 12 millions d'euros.

Enovacom est un éditeur de logiciels santé qui couvre trois grandes parties : Echange et interopérabilité (moteur d'intégration qui permet d'échanger des messages entre les logiciels du SI)/Gestion d'identités, d'accès, traçabilité et messagerie sécurisée/biomédical/entrepôt de données (en cours de finalisation).