Cette année, l’ASINHPA a souhaité mettre à l’honneur la e-CPS qui va venir compléter le service CPS de l’ANS. La e-CPS permet en effet un accès à des services de santé avec une authentification forte au travers d’une application mobile. Cette authentification s’appuie sur le tiers de confiance fournisseur d’identité “Pro Santé Connect”. 

L’objectif de cette présentation était de faire un retour d’expérience de l’implémentation de la e-CPS. Cette présentation a été portée par Patrice Boisseuil du SILPC et Nicolas Jolivet du SIB. Dans un premier temps, le SILPC a fait un retour d’expérience de l’implémentation au CHU de Limoges et de Bordeaux dans le cadre de projets d’une plateforme régionale d’interopérabilité. Nous avons présenté la solution technique mise en place et des vidéos de démonstration de cas d’usage.

Ensuite le SIB a présenté une autre proposition d’implémentation d’un portail d’authentification unique pour un GHT permettant de fournir les identités de manière centralisé. Cette solution a été implémentée dans Sillage par le Centre de Services Mutualisé du SIB rendant ainsi Sillage compatible avec la e-CPS.

En 2020, nous avons concrétisé le travail d’identification réalisé auprès des établissements et remporté l’appel d’offres RGPD du GHT Normandie centre. Nous avons ainsi été nommé DPO des 9 établissements du GHT pour 4 ans.

La première année a été essentiellement orientée sur :

• L‘identification des différents acteurs dans les établissements
• L’identification du SIB comme DPO pour tous les acteurs des établissements
• La mise en place d’une gouvernance de la protection des données à caractère personnel à l’échelle du GHT avec adaptation pour chaque établissement
• La structuration des démarches et des procédures pour la conformité
• La réalisation d’audit RGPD et la création des Plans d’actions associés pour chaque établissement
• La rédaction des premiers éléments du corpus documentaire.

L’objectif du SIB est de construire une démarche commune de mise en conformité au travers de la mise en œuvre d’ateliers de travail autour de grandes thématiques du RGPD telles que le registre des traitements, l’information des agents et des patients, les contrats,… La mutualisation a tout son sens pour gagner en temps et en efficacité.

Les prochaines actions sont la rédaction du registre des traitements pour les 9 établissements. Cette phase est consommatrice en temps et demande un investissement certain des établissements. Les traitements les plus sensibles devront également passer par l’étape Analyse d’impact sur la vie privée. Le DPI en fait partie et constituera à coup sûr un gros chantier.

La mission est pilotée par le DPO, agent du SIB, qui bénéficie du support de tous les membres de l’équipe SIB selon leurs compétences :

• sur des aspects contractuels et légaux,
• sur des aspects spécifiques au registre EPSM et EHPAD
• sur les Registres Recherches
• sur des questions liées spécifiquement aux mesures de sécurité

La connaissance du secteur santé et l’équipe composées d’experts de domaines divers sont les forces du SIB.

Ce modèle d’accompagnement a également séduit 7 établissements du Hainault Cambrésis. Une seconde consultante DPO a pris la charge de cette mission. Basée à l’agence de Lille, elle débute ce nouvel accompagnement avec le support de toute l’équipe.

En fin d’année 2019, certains établissements du GHT du Loiret envisageaient de soumettre des dossiers de financement dans le cadre du Projet Hop’en.

Le projet Hop’en a défini un certain nombre de prérequis à respecter. La mission du SIB était donc de :

• définir et formaliser la politique de sécurité des systèmes d’information du GHT, et la décliner pour chacun des établissements. Cette PSSI est un prérequis de l’exigence P2.4.
• faire un état des lieux établissement par établissement (existence et maturité),  circonscrit aux critères
  • P1.2 : Cellule d’identito-vigilance opérationnelle
  • P2.1 : Plan de reprise d’activité du système d’information et procédure de fonctionnement en mode dégradé et de retour à la normale du SI
  • P2.4 : existence d’un plan d’actions sécurité SI, d’une fonction de responsable sécurité SI et d’une procédure de remontée des incidents
  • P3.2 : Document lié au règlement intérieur formalisant les règles d’accès et d’usage du SI
  • P3.3 : Information du patient sur les conditions d’utilisation des données de santé à caractère personnel

Les exigences P3.4 et P4.2 étaient hors périmètre.
Une première version de la PSSI de GHT a été rédigée suite à l’analyse du corpus documentaire existant. Chaque chapitre a ensuite été revu en ateliers de validation avec les établissements afin d’aboutir à une PSSI adaptée au GHT. La PSSI a ensuite été déclinée pour chaque établissement.

Les audits sur les critères Hop’en ont été menés dans chaque établissement. À l’issue de l’analyse des documents existants, des entretiens ont été menés afin de mesurer les écarts entre les exigences du référentiel et les pratiques des établissements. A partir de la grille d’analyse, un indice de maturité a été calculé et un plan d’action élaboré. L’ensemble des documents a été mis à disposition des établissements.
L’analyse des écarts a permis d’identifier un besoin commun en terme de rédaction de PCA/PRA. Cette mission sera réalisée en 2021 par le SIB.