HÔ

PIT

AL

NU

MÉ

RIQ

UE

24 OCTOBRE 2017 | WWW.DSIH.FR

Le besoin avant toutIl est utile de revenir aux fondamentauxde l’expression des besoins, par exem-ple dans le contexte d’un établissementpériphérique (P) qui souhaite mutualiserson processus RH avec l’établissementsupport (S).

La première étape consiste à unifor-miser les règles de gestion RH : calculdes heures, des temps de repos, desprimes, etc., autant de règles spécifiquesà chaque établissement et pour les-quelles les discussions entre la directionet les instances représentatives du personnel (IRP) pourront durer desmois, voire davantage. Cette étape estde loin la plus politiquement compli-quée tout en étant indispensable.

La deuxième étape pourra concernerle transfert vers S des fonctions RH sansvéritable valeur ajoutée de P : héberge-ment technique du serveur RH de P (qui ne nécessite pas d’agrément HDSpuisqu’il ne s’agit pas de données médicales), prise en charge du proces-sus de paye (calcul, mise sous enveloppedes bulletins, transfert à la Trésoreriedes fichiers de mandatement).

La troisième étape consiste en untransfert des fonctions RH de P vers S,sur le mode maîtrise d’ouvrage/maîtrised’œuvre (MOA/MOE) : l’ordonnateur ou

responsable du traitement reste P, quidélègue le traitement RH vers S (qui estdonc MOE du processus et agit sur ordre de P). Beaucoup d’entreprises privées procèdent ainsi, ce qui ne représente pas de difficultés techniquesou juridiques particulières si le transfertest correctement bordé : contrat, limitesde responsabilité des acteurs, respectde la réglementation Informatique et Libertés dans l’optique du règlementgénéral sur la protection des données(RGPD) de mai 2018, etc. La principaledifficulté réside dans le fait que lesagents de S vont devoir accéder à unautre progiciel RH que celui de S pourgérer les agents de P : d’où la nécessitéde formations, de maintenance duditprogiciel, de suivi réglementaire, demontées de version, etc. Clairement, àce stade, aucune économie d’échelle

n’est réalisée : ce n’est pas le déplace-ment d’une fonction support d’un pointA à un point B qui permet de réaliserdes gains.

La quatrième étape porte sur la priseen charge totale de la fonction RH de Ppar S : recrutement, politique de forma-tion, budgets RH, etc. À ce stade, en dehors des questions juridiques, unedes problématiques majeures résidedans le fait que les agents de S vont utiliser un seul progiciel (celui de S) pourgérer à la fois les agents de S et ceux deP. Faut-il deux instances de bases dedonnées, ou une seule mais avec uneséparation logique ? Le progiciel RHpermet-il une séparation logique et efficace ? Pas certain que cela soit possible, surtout dans un contexte de certification des comptes qui en demande toujours plus sur la séparationdes rôles et les preuves techniques(traces) relatives au processus RH. C’est,clairement, une étape préalable à la fusion des processus RH – et les juristesdiront si elle est ou non dissociable dela fusion des entités juridiques.

Le noyau avant le resteIl serait faux de croire que la prise encharge RH se résume, sur le plan infor-matique, au transfert de responsabilitéconcernant un seul progiciel : le macro-processus RH est couvert par plusieurslogiciels, allant bien entendu de la payeet de la gestion des carrières à la méde-cine du travail (très sensible), en passantpar la gestion des temps (gros travaild’uniformisation des règles entre P etS), des indemnités, etc. Dans un mondeparfait, il faut commencer par transférerMOA et MOE sur le noyau (annuaireagent, paie et carrière), puis on peut attaquer les modules périphériques. Etcomme, bien entendu, tout ne peut pasêtre fait d’un coup, une phase plus oumoins longue de transition est à pré-voir.

HÔPITAL NUMÉRIQUE

1 Identity Access Management�Suite de l’article p. 26

Le GHT est une fusion déguisée et, le temps de la convergencedes SI, il va bien falloir déterminer des trajectoires sur chaquedomaine fonctionnel. Évidemment, il faudra aller vers une DRHunique, qui utilise un progiciel RH unique pour gérer l’ensemble des agents de la superstructure issue de la fusion des n établissements du GHT. Mais avant cela, quelle trajectoire, quels besoins, quelles priorités ? Et surtout, dans l’objectif de déployer l’IAM1, car l’annuaire des agents est une brique indispensable au futur SI du GHT.

Pour le DSI, l’IAMen ligne de mire

GHT : le casse-tête dela gestion des identités

vu par nos experts

HOP_NUM_Gestion_idendités_24_26_28_Mise en page 1 25/09/17 15:00 Page1

Vers l’IAMLes établissements qui se sont engagésdans des projets de déploiement decartes à puces multiservices (IAM) savent que l’informatisation de la fonc-tion RH ne s’arrête pas là. Elle est intimement liée au provisionnementd’un méta-annuaire technique centralutilisé pour alimenter les différentessources : accès physique aux locaux, accès parking, accès SIH, accès self. Etsurtout pour automatiser au maximumle provisionnement des habilitations applicatives, ce qui nécessite là aussi de dérouler des règles de gestion communes, et donc partagées par tousles acteurs : commission médicale d’éta-blissement pour l’accès au dossier patient informatisé et aux fonctions supports (laboratoires, imagerie, phar-macie), DSI pour les fonctions bureau-tiques de base (messageries, partagesde fichiers), etc.La difficulté d’un tel projet provientaussi du fait que les sources des identi-tés ne sont pas seulement issues despersonnels payés par l’établissement,mais multiples : étudiants, stagiaires nonrémunérés, personnels mis à disposi-tion, internes, etc. La trajectoire d’un

projet IAM est un véritable chemin de croix si cette dimension n’est pas prévue « by design » dans la refonte desprocessus RH du GHT.

Ce qu’il faut retenirL’IAM est une des briques de base duSI : ne pas l’avoir déployée, c’est se trou-ver de fait dans l’incapacité de faire faceà certains besoins fonctionnels (délivrerles comptes et les habilitations aux utilisateurs en temps et en heure) ou auxcontraintes exogènes (authentificationforte de plus en plus exigée par lesnormes et les référentiels). La gestiondes identités des agents au sein d’unGHT est bien entendu une question quiimpacte le fonctionnement des DRH,mais se limiter à cette dimension revientà se contraindre de rejouer le film douloureux d’un projet IAM, à l’échelon

d’un GHT. La liberté d’il y a quelquesannées de ne pas s’engager dans unprojet IAM a disparu : les diverses certifications qui pèsent maintenant surles établissements (certification descomptes, mais aussi Haute Autorité desanté) réduisent la marge de manœuvreà la portion congrue, et ne pas l’anticiperrevient à s’introduire un énorme cailloudans la chaussure informatique.

La question que doivent se poser lesDRH n’est donc surtout pas « commentmutualiser les fonctions RH au sein d’unGHT », mais bien « comment gérer lesidentités des agents ayant un liencontractuel avec tout ou partie desmembres d’un GHT », ce qui est trèsdifférent.

� Cédric Cartau

Le point de vue du DSI met en évidence la nécessité d’organiser la coresponsabilitéde traitement entre les membres du GHT. Mise en place à des fins cosmétiques, elleaboutirait vraisemblablement à une désorganisation importante, source de risquesopérationnels et juridiques.Pierre Desmarais

�

HÔ

PIT

AL

NU

MÉ

RIQ

UE

26 OCTOBRE 2017 | WWW.DSIH.FR

HÔPITAL NUMÉRIQUE

GHT : le casse-tête de la gestion des identités vu par nos experts (suite)

La loi Touraine a introduit dans le Code de la santé publique un nouvel outil de coopération sanitaire : le groupement hospitalier de territoire. Ce que ne révèle pas expressément la loi, nous rappelle Pierre Desmarais, c’est l’identité du bénéficiaire de cet outil : l’État. En effet, leGHT poursuit manifestement un objectif de rationalisation de la gestion des établissements desanté publics et, de façon connexe, de réduction des dépenses de santé. Quoi de mieux alors,pour étrenner le système d’information convergent du GHT, que de commencer par quelquechose de simple, de standardisé, comme la gestion des ressources humaines ?

Pour le juriste, le début d’un casse-tête

ProblématiqueDans ce cadre se posera rapidement laquestion de la gestion de l’identité despersonnels. C’est en effet la base. Sanselle, la gestion des ressources humainesest impossible et les droits d’accès auSI ne peuvent être accordés. Mais gérerl’identité des personnels passe par lamise en œuvre d’un traitement de don-nées, lequel doit être mis en œuvre sousla responsabilité d’une personne phy-sique ou morale. C’est le début d’un

casse-tête que le législateur n’a pas souhaité résoudre.

Origine du casse-têteLe GHT est une fusion d’établissementsde santé publics qui cache son nom. Résultat, le GHT n’est pas une personnemorale. Ce déguisement interdit la désignation du GHT en qualité de responsable de traitement, le droit fran-çais et européen ne permettant de fairepeser des obligations que sur des êtres

ou des entités disposant de la person-nalité juridique. Il va donc falloir identi-fier un autre responsable de traitementque le GHT, solution qui aurait pourtantarrangé tous ses membres. Alors, qui,parmi les établissements membres etl’établissement support, détermine lafinalité et les moyens du traitement nécessaire à la gestion de l’identité despersonnels ?

�Suite de l’article p. 28

HOP_NUM_Gestion_idendités_24_26_28_Mise en page 1 25/09/17 15:01 Page2

HÔ

PIT

AL

NU

MÉ

RIQ

UE

28 OCTOBRE 2017 | WWW.DSIH.FR

Les membres du GHT pilotent-ils encore le traitement ?Faute de fusion, chaque membre duGHT va rester l’employeur de son per-sonnel. Les établissements continuerontdonc à définir individuellement la fina-lité de ce traitement de données. En revanche, ils perdront totalement la maîtrise des moyens du traitement, dèslors que la centralisation de la gestionde l’identité se fera au niveau de l’éta-blissement pilote, lequel définira doncseul les outils nécessaires à la mise enœuvre de ce traitement.

L’établissement support ne pourra pas en endosser la responsabilité Pour autant, l’établissement support nepourra pas – et surtout, ne voudra pas –endosser la responsabilité de traitement.D’une part, parce que s’il ne maîtrisepas la totalité des ressources humainesdes établissements, il ne peut assurerles obligations d’un responsable de traitement. D’autre part, faute de pou-voir imposer et contrôler le respect deses directives par le personnel d’établis-sements juridiquement indépendants.De dernière part, en raison de la res-ponsabilité juridique qu’il encourraitseul du fait du portage unilatéral de laresponsabilité de traitement.

L’ébauche d’une solutionLe règlement général relatif à la protec-tion des données, qui entrera en vigueurle 25 mai 2018, pourrait offrir l’ébauched’une solution à ce challenge – et à tousceux afférents aux traitements de don-nées au sein du GHT – en permettant lamise en place de coresponsabilité detraitement. L’idée consisterait à érigerles établissements membres et l’établis-sement support en qualité de respon-sables et de répartir contractuellement– c’est alors une obligation autantqu’une nécessité – les rôles et les res-ponsabilités de chacun. De la sorte, lesmembres pourront continuer à déter-miner la finalité et à mettre en œuvre letraitement, tandis que l’établissementsupport pourra en définir les moyens.2018 ? Mais le GHT, c’est maintenant !Effectivement, mais la Cnil a appliquéle texte par anticipation dans une déci-sion Facebook Inc. et Facebook Irelanddu 27 avril 2017. Si la Cnil l’a fait, rienn’empêche les GHT d’en faire autant.

Mais une ébauche seulementD’accord, nous avons désormais une solution pour mettre en place le traite-ment de données nécessaires à la ges-tion de l’identité des personnels, sansque l’établissement support se retrouveseul face à tant de responsabilités. Maisle casse-tête n’est pas résolu : on ne faitqu’en découvrir l’étendue.

Reste à savoir comment la confidentia-lité des données relatives aux person-nels des membres est assurée. L’établis-sement support va-t-il opter pour lasécurité et créer une instance de basede données par membre ou se borner àcréer des catégories spécifiques dans sabase pour chaque membre ? Dans le se-cond cas, comment s’assurer que le per-sonnel de l’établissement support n’in-teragira pas avec ces bases ? Commentéviter que les ressources humaines desmembres ne consultent indûment lesdonnées relatives des autres membresou de l’établissement support ? Le pro-giciel utilisé pour gérer l’identité despersonnels permet-il de limiter les droitsd’accès d’un utilisateur à une catégoriedéterminée de personnels ? Commentgère-t-on la traçabilité, puisque l’établis-sement support verra l’identifiant desutilisateurs, sans connaître leur identitédans le SI des membres ? Des questions, encore des questions, et toujours sansvraies réponses.

La réponse viendra du terrain,mais pas du système DCet amas de questions n’étonnera pasle lecteur expérimenté. La pratique y répond habituellement par le systèmeD. Mais avec des sanctions pouvant allerjusqu’à 4 % du chiffre d’affaires et uneCnil annonçant clairement son intentionde « sensibiliser les personnes et les res-ponsables de traitement aux droits etobligations issus de la loi Informatiqueet Libertés » par la sanction, ce n’estclairement pas la panacée. D’autant querien ne garantit que les membres etl’établissement support auront le mêmeseuil d’acceptabilité du risque juridico-financier. La réponse est donc ailleurs.Gageons que seul le terrain permettrade la trouver.

� Pierre Desmarais

HÔPITAL NUMÉRIQUE

GHT : le casse-tête de la gestion des identités vu par nos experts (fin)

L’approche de la question sous l’angle duresponsable du traitement rejoint laquestion du transfert de responsabilitéMOA/MOE du point de vue SI. Que lesdeux visions se rejoignent démontre quenous ne devons pas, ni Pierre Desmarais,ni moi-même, être à côté de la plaque !Cédric Cartau

�

HOP_NUM_Gestion_idendités_24_26_28_Mise en page 1 25/09/17 15:01 Page3