# Questions pour le DSI — Clinique Anoust
## Rendez-vous du 14 avril 2026

---

## A. DPI et système d'information

| # | Question | Pourquoi c'est important | Notes |
|---|----------|-------------------------|-------|
| 1 | **Quel logiciel DPI utilisez-vous ?** (Cariatides, Cortexte, Osiris, Hopital Manager, Mediboard, autre ?) | Détermine toute l'approche d'extraction et les connecteurs possibles | |
| 2 | **Quelle version ?** Depuis quand déployé ? | Les anciennes versions ont moins d'API | |
| 3 | **Quelle base de données sous-jacente ?** (Oracle, SQL Server, PostgreSQL ?) | Si accès direct possible, c'est un plan B en parallèle de Léa | |
| 4 | **L'éditeur propose-t-il des API ou exports programmés ?** | Alternative ou complément au RPA | |
| 5 | **Y a-t-il un contrat de support interdisant l'accès direct à la BDD ?** | Risque contractuel à évaluer | |
| 6 | **Quels modules DPI sont déployés ?** (prescription, observations, agenda, urgences, RIM-P ?) | Périmètre de données disponibles | |
| 7 | **Le RIM-P est-il géré par le DPI ou un outil tiers ?** | Le RIM-P est notre point d'entrée le plus rapide | |
| 8 | **Des mises à jour DPI sont-elles prévues ?** | Risque de casser les parcours Léa pendant le POC | |

---

## B. Infrastructure technique

| # | Question | Pourquoi c'est important | Notes |
|---|----------|-------------------------|-------|
| 9 | **Infrastructure serveurs ?** (on-premise, cloud privé, hybride, infogéré ?) | Si on-premise → dispense HDS. Si tiers → certification HDS obligatoire | |
| 10 | **Quel hyperviseur ?** (VMware, Proxmox, Hyper-V ?) | Pour provisionner la VM du POC | |
| 11 | **Pouvez-vous provisionner une VM dédiée POC ?** (idéal : 8 vCPU, 32 Go RAM, 500 Go SSD) | Hébergement EDS + Léa serveur | |
| 12 | **Quel OS serveur ?** (Ubuntu, RHEL, Windows Server ?) | Compatibilité stack technique | |
| 13 | **Architecture réseau ?** VLAN santé isolé ? DMZ ? | Isolation nécessaire pour l'EDS | |
| 14 | **Accès VPN ou bastion pour maintenance à distance ?** | Interventions sans déplacement | |
| 15 | **Politique de backup ?** (fréquence, rétention, stockage) | Protection des données EDS | |
| 16 | **Bande passante réseau interne ?** (Gigabit ? 10G ?) | Performance extraction | |

---

## C. Volumétrie et données

| # | Question | Pourquoi c'est important | Notes |
|---|----------|-------------------------|-------|
| 17 | **Combien de patients en file active annuelle ?** | Dimensionnement EDS | |
| 18 | **Volume total de dossiers 2024-2025 à traiter ?** | Estimation charge de travail Léa | |
| 19 | **Types de documents dans les dossiers ?** (CR hospitalisation, observations infirmières, courriers, prescriptions, résultats labo ?) | Périmètre d'extraction | |
| 20 | **Volume estimé de texte libre par patient ?** (observations, entretiens) | La psy a beaucoup de texte → impact anonymisation | |
| 21 | **Les données RIM-P / PMSI sont-elles exportables ?** Format ? Qui gère ? | Point d'entrée le plus rapide pour le POC | |
| 22 | **Y a-t-il des données structurées codées ?** (CIM-10, EDGAR, CSARR ?) | Qualité de base pour l'EDS | |

---

## D. Sécurité et conformité

| # | Question | Pourquoi c'est important | Notes |
|---|----------|-------------------------|-------|
| 23 | **Avez-vous un DPO ?** Qui ? Interne ou externe ? | Obligatoire. Interlocuteur clé pour l'AIPD | |
| 24 | **Existe-t-il une PSSI ?** (Politique de Sécurité des SI) | Cadre à respecter | |
| 25 | **Avez-vous un RSSI ?** | Interlocuteur sécurité | |
| 26 | **Quel niveau de certification ?** (HOP'EN, ISO 27001 ?) | Maturité sécurité | |
| 27 | **Chiffrement en place ?** (au repos, en transit) | Prérequis EDS | |
| 28 | **Gestion des accès ?** (AD, LDAP, SSO ?) | Intégration authentification | |
| 29 | **Programme CaRE : où en êtes-vous ?** (BIA fait ? Plans de continuité ?) | Échéance juin 2026 | |
| 30 | **Conformité Ségur du Numérique : quels référentiels implémentés ?** | Maturité interopérabilité | |

---

## E. Gouvernance et organisation

| # | Question | Pourquoi c'est important | Notes |
|---|----------|-------------------------|-------|
| 31 | **Y a-t-il un médecin DIM motivé et disponible ?** | **Facteur n°1 de succès** — sans DIM, le POC échoue | |
| 32 | **La CME est-elle informée / favorable ?** | Gouvernance médicale | |
| 33 | **Y a-t-il déjà des projets de recherche sur les données patients ?** | Si oui, formalités CNIL déjà en place | |
| 34 | **Base légale envisagée pour l'EDS ?** (mission d'intérêt public, intérêt légitime ?) | Détermine la procédure CNIL | |
| 35 | **La clinique participe-t-elle au service public hospitalier ?** (convention ARS ?) | Si oui → mission d'intérêt public → référentiel CNIL EDS applicable | |
| 36 | **Quel est le positionnement de la direction sur l'innovation ?** | Soutien stratégique | |

---

## F. Budget, timeline et ambition

| # | Question | Pourquoi c'est important | Notes |
|---|----------|-------------------------|-------|
| 37 | **Budget disponible pour le POC ?** (matériel, prestation, jours/homme) | Cadrage financier | |
| 38 | **Timeline souhaitée ?** (notre estimation : 3 mois) | Aligner les attentes | |
| 39 | **Ressources mobilisables ?** (DIM dédié, admin sys, médecin référent) | Charge côté clinique | |
| 40 | **Financements identifiés ?** (AAP ARS, DGOS, ANR, programme CaRE ?) | Possibilité de co-financement | |
| 41 | **Ambition post-POC ?** (production, extension, publication, multi-sites ?) | Dimensionner la suite | |
| 42 | **D'autres établissements du groupe sont-ils intéressés ?** | Potentiel de déploiement | |

---

## G. Points d'attention à aborder (nous)

### Ce que nous devons expliquer au DSI

1. **Léa est 100% locale** — aucune donnée ne quitte le réseau. Pas de cloud, pas d'API externe. Argument massue en psychiatrie.

2. **Supervision humaine permanente** — Léa n'est pas autonome, elle apprend sous supervision d'un humain. Conforme AI Act.

3. **Anonymisation intégrée** — le pipeline dé-identifie AVANT tout stockage dans l'EDS. On ne stocke jamais de données nominatives dans l'EDS de recherche.

4. **Notes personnelles du psychiatre** — nous sommes conscients de cette particularité légale et l'avons intégrée dans la conception (exclusion automatique).

5. **OMOP CDM** — standard international du Health Data Hub. L'EDS sera nativement interopérable si la clinique souhaite participer à des projets de recherche nationaux.

6. **Open source** — pas de coût de licence. Le coût est 100% en temps humain et infrastructure.

### Points à valider absolument avant de partir

- [ ] Le DPI utilisé (nom + version)
- [ ] La base légale pour l'EDS (mission d'intérêt public ou pas)
- [ ] La disponibilité d'un médecin DIM
- [ ] La capacité à provisionner une VM
- [ ] L'accord de principe pour un accès au DPI (même en lecture écran)
- [ ] Le calendrier de la prochaine étape

---

## H. Checklist de conformité EDS (référentiel CNIL 2021-118)

Pour référence — à parcourir avec le DPO :

- [ ] Finalité déterminée de l'EDS
- [ ] Base légale identifiée (art. 6 + art. 9 RGPD)
- [ ] AIPD réalisée
- [ ] Information des patients
- [ ] Exercice des droits (accès, rectification, opposition)
- [ ] Mesures de sécurité (chiffrement, accès, audit trail)
- [ ] Pseudonymisation des données
- [ ] Gouvernance (comité, responsable, charte d'accès)
- [ ] Durée de conservation définie
- [ ] Procédure pour les réutilisations (recherche)