Clause de traitement de données

Toutes les informations législatives relatives au SIH, CNIL, CIL
Répondre
daniel
Messages : 17
Enregistré le : 18 avr. 2016 14:34
Etablissement : Hopitaux Champagne Sud
Fonction : RSSI
CIL / DPO / DPD : Oui
Site Internet de l'établissement : http://ch-troyes.fr

Clause de traitement de données

Message par daniel » 01 mars 2019 11:40

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

daniel
Messages : 17
Enregistré le : 18 avr. 2016 14:34
Etablissement : Hopitaux Champagne Sud
Fonction : RSSI
CIL / DPO / DPD : Oui
Site Internet de l'établissement : http://ch-troyes.fr

Re: Clause de traitement de données

Message par daniel » 07 mars 2019 14:07

Je savais que ce sujet allait vous passionner :lol:

Frédéric.B
Messages : 2
Enregistré le : 07 mars 2019 10:00
Etablissement : GHT82
Fonction : Autre (Préciser dans le champ missions)
CIL / DPO / DPD : Oui

Re: Clause de traitement de données

Message par Frédéric.B » 07 mars 2019 16:49

Bonjour Daniel,
DPO depuis peu pour mon GHT, je n’ai pas de réponses fermes et définitives à tes questions mais des pistes de réflexions à te proposer car je suis également confronté à ces problématiques.
Voici donc mes positions
- Pas de signature de ma part, je ne suis pas représentant légal.
- En revanche, autant que faire se peut, je cherche à donner un avis favorable/défavorable ou une recommandation au contrat ou à l’avenant si j’en ai connaissance.
- En parallèle, je vais essayer de mettre en place des sortes de fiches réflexes pour les acheteurs afin qu’ils sachent détecter si les clauses sont solides ou bancales avec un maximum d’autonomie. ça va être long et ça va nécessiter un accompagnement
- Le pacemaker est un très bon exemple. Une discussion sur le sujet avec la permanence de la CNIL m’a confirmé que demander au fournisseur l’analyse d’impact de son traitement de données récupérées et les mesures de sécurités en place était un bon début.
- Les sous-traitants qui se défaussent en cas de problème, ça fait partie des clauses que j’appelle bancales et qui allument une lumière rouge, les contrats sont alors à étudier attentivement, notamment pour tout ce qui relève de la responsabilité des uns et des autres. Attention à ne pas contractualiser le fait que nous prenons pour nous la responsabilité qui relève du sous-traitant.
Voilà, je suis conscient que ça n’aide pas beaucoup mais j’espère que ça permettra de faire un petit pas ou de susciter l’expression d’autres avis sur le sujet.
Cordialement
Frédéric.B

JCROMAN85
Messages : 6
Enregistré le : 31 août 2016 14:56
Etablissement : CH Côte de Lumiere
Fonction : Technicien SI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://ch-cotedelumiere.fr/
Contact :

Re: Clause de traitement de données

Message par JCROMAN85 » 08 mars 2019 13:56

Bonjour,

Je suis également confronté à un problème similaire avec des produits utilisés dans le service de gastro-entérologie.
Dans ce cas pas de document à signer mais juste une acceptation des conditions d'utilisation lors de la création de compte en ligne pour accéder au service avec parfois une case à cocher demandant à un praticien de s'engager pour son établissement (dexcom).
Le PrivacyShield est régulièrement cité comme référence légale avec de multiples rappel que en cas de litige la juridiction référente sera celle de l'état de Californie et une close précisant qu'il n'y a pas de traitement de donnée de santé.

Une des problématiques que je constate sur ce type de produit est qu'il sont souvent associé à un texte publié au JO précisant leurs modalités de prescription et de prise en charge par la sécurité sociale. A partir de la il devient difficile de refusé a un praticien l'usage de ce type de service qui la plus part du temps répondent à un besoin réel pour le patient.

Plusieurs piste de travail de mon coté :
  • Dans le cas de signature obligatoire seul le DG en a le pouvoir.
    De la sensibilisation au près des prescripteurs afin d’à minima pouvoir recenser l'utilisation de ce type de dispositif et d’éviter de tomber dans le shadowIT.
    Mettre en place une politique de gestion en concertation avec la DG et le corps médical de ce type de produit afin de pouvoir répondre rapidement au demande.
Voila ou j'en suis, pas de solution miracle.
Cordialement,
Jean-Christophe

michael
Messages : 151
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
CIL / DPO / DPD : Non

Re: Clause de traitement de données

Message par michael » 11 mars 2019 09:46

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

daniel
Messages : 17
Enregistré le : 18 avr. 2016 14:34
Etablissement : Hopitaux Champagne Sud
Fonction : RSSI
CIL / DPO / DPD : Oui
Site Internet de l'établissement : http://ch-troyes.fr

Re: Clause de traitement de données

Message par daniel » 11 mars 2019 15:54

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Olivier
Messages : 7
Enregistré le : 15 mars 2016 16:21
Etablissement : GHT 72 - CH Le Mans
Fonction : RSSI
CIL / DPO / DPD : Oui

Re: Clause de traitement de données

Message par Olivier » 14 mars 2019 09:08

Bonjour à tous,
de notre côté, nous allons procéder comme suit :
- Pour les clauses de conformité au RGPD envoyées par les sociétés, sous forme d'avenant par exemple (pour l'instant très peu) --> lecture, analyse par le DPO et signature par le DG si OK. si Pas OK demande de modifications à la société (Là on peut s'engager dans un parcours du combattant).

- Pour les contrats en cours, si les sociétés n'ont pas encore envoyé leurs clauses/avenants, nous leur envoyons les notres à signer en A/R.

- Pour les nouveaux marchés, nous y intégrons nos clauses de conformité au RGPD, la société s'engage sur celles-ci. (nous annexons à ces clauses un document d'exigences de sécurité sur lesquelles la société s'engage).

- Pour ce qui est de demander les PIA aux sociétés, j'ai entendu parler d'au moins une grosse société leader sur son créneau qui refuse. Si quelqu'un avait un texte officiel ou des informations prouvant qu'une société ne peut refuser, cela m'intéresserait fortement, car j'ai moi-même en ce moment a faire avec un éditeur qui m'explique que son PIA ne peut être communiqué car relevant du secret industriel.

Je ne sais pas si vous avez le même sentiment que moi, mais j'ai constaté qu' il y avait un fossé (proche du grand canyon) entre des sociétés fabricantes de stimulateurs cardiaques qui blindent juridiquement leurs contrats avec des juristes et certaines sociétés qui sont complètement out sur le sujet et qui vous proposent à peu prés n'importe quoi comme clauses. (y compris des clauses illégales au regard du RGPD).

Bref nous ne sommes pas arrivés au bout avec la mise en place du RGPD.

Voili,voilou

Frédéric.B
Messages : 2
Enregistré le : 07 mars 2019 10:00
Etablissement : GHT82
Fonction : Autre (Préciser dans le champ missions)
CIL / DPO / DPD : Oui

Re: Clause de traitement de données

Message par Frédéric.B » 14 mars 2019 09:35

Bonjour,
pour les grosses sociétés qui refusent toute discussion et qui refusent de fournir leurs analyses d'impact sous couvert de secret industriel (alors qu'on est sur des données sensibles...), personnellement j'aurais tendance à poser la question à la CNIL plutôt qu'à un juriste (et peut-être en citant par mégarde le nom de la société en question...)

Répondre

Retourner vers « Législatif et CNIL »