Clarifier le cadre réglementaire spécifique aux données de santé

Rappeler les fondamentaux du RGPD appliqués aux données de santé (données sensibles, bases légales, droits des patients)
Comprendre le cadre légal français applicable aux données de santé (Code de la santé publique, acteurs, responsabilités)
Situer les référentiels HDS et leurs évolutions récentes (nouveau référentiel, calendrier, impacts pour les hébergeurs)
Identifier les cas où la certification HDS est obligatoire et ceux où elle ne l’est pas
Atelier fil rouge : cartographier les principaux textes applicables à son établissement ou à sa solution e-santé

Identifier les traitements et les données de santé à caractère personnel

Recenser les principaux traitements de données de santé dans un établissement ou chez un éditeur e-santé
Différencier les catégories de données (administratives, médicales, facturation, télésanté, recherche, etc.)
Analyser les finalités, les bases légales et les durées de conservation applicables
Identifier les flux de données : internes, externes, hébergeurs, prestataires, dispositifs médicaux connectés
Atelier fil rouge : construire une fiche de registre RGPD pour un traitement de données de santé représentatif

Comprendre les exigences HDS et leur articulation avec le RGPD

Présenter le référentiel HDS (version en vigueur), ses activités et son périmètre d’application
Analyser les obligations de sécurité, de traçabilité, de localisation et de transparence imposées aux hébergeurs de données de santé
Relier les exigences HDS aux principes du RGPD (sécurité, confidentialité, intégrité, disponibilité, accountability)
Identifier les impacts organisationnels et contractuels pour un établissement de santé et pour un prestataire hébergeur
Atelier fil rouge : vérifier, sur un cas d’école, si l’activité exercée nécessite une certification HDS et avec quelles conséquences

Intégrer les apports de NIS2 pour les acteurs de la santé

Comprendre pourquoi et comment certains acteurs de la santé sont concernés par NIS2 (entités essentielles / importantes)
Identifier le lien entre NIS2, RGPD et HDS sur la gestion des risques, la gouvernance et la gestion des incidents
Analyser les obligations de notification d’incidents de sécurité et leur articulation avec les obligations CNIL
Appréhender les sanctions et les attentes en matière de résilience des services de santé numériques
Atelier fil rouge : analyser l’impact d’un incident de sécurité sur un SI de santé et lister les notifications à réaliser

Structurer un dispositif de sécurité et de conformité pour un SI de santé

Définir les rôles et responsabilités : DPO, RSSI, direction, métiers, prestataires, hébergeurs
Mettre en place une démarche de gestion des risques adaptée aux traitements de données de santé
Articuler politiques, procédures, contrats et clauses spécifiques dans le contexte santé / HDS
Prévoir la gouvernance des projets e-santé : privacy by design, sécurité by design, AIPD lorsque nécessaire
Atelier fil rouge : élaborer les grandes lignes d’un plan d’actions sécurité / conformité pour un projet e-santé

Construire un plan d’actions opérationnel et priorisé

Prioriser les chantiers : données sensibles les plus exposées, dépendances critiques, hébergeurs, dispositifs médicaux
Définir des actions rapides (quick wins) et des actions structurantes à moyen terme
Préparer la relation avec les autorités (CNIL, ANS) et les audits de certification HDS éventuels
Identifier les besoins en formation et sensibilisation des équipes (médical, administratif, IT, partenaires)
Atelier fil rouge final : formaliser une feuille de route sur 12 à 18 mois pour renforcer la conformité RGPD / HDS / NIS2 de son SI de santé