Rattachement hiérarchique d’un RSSI de GHT
Arlésienne de la sécurité des SI, le rattachement d’un RSSI de GHT se pose de manière d’autant plus forte que l’on change d’échelle : dimension régionale, budgets SI sans commune mesure, couverture fonctionnelle plus importante, etc.
Si le rattachement direct d’un RSSI à une DSI était une hypothèse envisageable à l’ère pré-GHT (après tout, mieux vaut un RSSI technique que pas de RSSI du tout), ce n’est plus possible avec la dimension GHT. Pour preuve, l’avalanche sans précédent de textes et règlements (RGPD, diverses instructions ministérielles, HAS, etc.), qui débordent très largement de la technique et engagent la responsabilité du chef d’établissement support. La loi de santé 2016 stipule d’ailleurs expressément que l’établissement support assure la conformité Informatique et Libertés pour tout le GHT… et la Cnil est très attachée à l’indépendance du CIL (et bientôt du DPO) vis-à-vis de la technique (DSI) et des métiers (MOA). Et, dans beaucoup de GHT, le DPO sera aussi le RSSI.
Il est donc temps de penser plus large.
Il y a plusieurs solutions : rattachement direct à la DG, rattachement à la Qualité, rattachement à la sécurité physique des biens et des personnes, etc. Ces solutions sont très « personnes-dépendantes », mais une seule chose est sûre : le rattachement à la DSI n’est plus une solution « par défaut » acceptable
Cédric Carteau.
RSSI du CHU de Nantes, vice-président de l’APSSIS, il est également chargé de cours à l’Ecole des hautes études en santé publique. Il a publié de nombreux ouvrages spécialisés concernant le système d’information hospitalier et sa sécurisation.