447fbb2c6e
Some checks failed
security-audit / Bandit (scan statique) (push) Successful in 12s
security-audit / pip-audit (CVE dépendances) (push) Successful in 10s
security-audit / Scan secrets (grep) (push) Successful in 8s
tests / Lint (ruff + black) (push) Successful in 13s
tests / Tests unitaires (sans GPU) (push) Failing after 14s
tests / Tests sécurité (critique) (push) Has been skipped
Point de sauvegarde incluant les fichiers non committés des sessions précédentes (systemd, docs, agents, GPU manager). Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
7.4 KiB
7.4 KiB
Questions pour le DSI — Clinique Anoust
Rendez-vous du 14 avril 2026
A. DPI et système d'information
| # | Question | Pourquoi c'est important | Notes |
|---|---|---|---|
| 1 | Quel logiciel DPI utilisez-vous ? (Cariatides, Cortexte, Osiris, Hopital Manager, Mediboard, autre ?) | Détermine toute l'approche d'extraction et les connecteurs possibles | |
| 2 | Quelle version ? Depuis quand déployé ? | Les anciennes versions ont moins d'API | |
| 3 | Quelle base de données sous-jacente ? (Oracle, SQL Server, PostgreSQL ?) | Si accès direct possible, c'est un plan B en parallèle de Léa | |
| 4 | L'éditeur propose-t-il des API ou exports programmés ? | Alternative ou complément au RPA | |
| 5 | Y a-t-il un contrat de support interdisant l'accès direct à la BDD ? | Risque contractuel à évaluer | |
| 6 | Quels modules DPI sont déployés ? (prescription, observations, agenda, urgences, RIM-P ?) | Périmètre de données disponibles | |
| 7 | Le RIM-P est-il géré par le DPI ou un outil tiers ? | Le RIM-P est notre point d'entrée le plus rapide | |
| 8 | Des mises à jour DPI sont-elles prévues ? | Risque de casser les parcours Léa pendant le POC |
B. Infrastructure technique
| # | Question | Pourquoi c'est important | Notes |
|---|---|---|---|
| 9 | Infrastructure serveurs ? (on-premise, cloud privé, hybride, infogéré ?) | Si on-premise → dispense HDS. Si tiers → certification HDS obligatoire | |
| 10 | Quel hyperviseur ? (VMware, Proxmox, Hyper-V ?) | Pour provisionner la VM du POC | |
| 11 | Pouvez-vous provisionner une VM dédiée POC ? (idéal : 8 vCPU, 32 Go RAM, 500 Go SSD) | Hébergement EDS + Léa serveur | |
| 12 | Quel OS serveur ? (Ubuntu, RHEL, Windows Server ?) | Compatibilité stack technique | |
| 13 | Architecture réseau ? VLAN santé isolé ? DMZ ? | Isolation nécessaire pour l'EDS | |
| 14 | Accès VPN ou bastion pour maintenance à distance ? | Interventions sans déplacement | |
| 15 | Politique de backup ? (fréquence, rétention, stockage) | Protection des données EDS | |
| 16 | Bande passante réseau interne ? (Gigabit ? 10G ?) | Performance extraction |
C. Volumétrie et données
| # | Question | Pourquoi c'est important | Notes |
|---|---|---|---|
| 17 | Combien de patients en file active annuelle ? | Dimensionnement EDS | |
| 18 | Volume total de dossiers 2024-2025 à traiter ? | Estimation charge de travail Léa | |
| 19 | Types de documents dans les dossiers ? (CR hospitalisation, observations infirmières, courriers, prescriptions, résultats labo ?) | Périmètre d'extraction | |
| 20 | Volume estimé de texte libre par patient ? (observations, entretiens) | La psy a beaucoup de texte → impact anonymisation | |
| 21 | Les données RIM-P / PMSI sont-elles exportables ? Format ? Qui gère ? | Point d'entrée le plus rapide pour le POC | |
| 22 | Y a-t-il des données structurées codées ? (CIM-10, EDGAR, CSARR ?) | Qualité de base pour l'EDS |
D. Sécurité et conformité
| # | Question | Pourquoi c'est important | Notes |
|---|---|---|---|
| 23 | Avez-vous un DPO ? Qui ? Interne ou externe ? | Obligatoire. Interlocuteur clé pour l'AIPD | |
| 24 | Existe-t-il une PSSI ? (Politique de Sécurité des SI) | Cadre à respecter | |
| 25 | Avez-vous un RSSI ? | Interlocuteur sécurité | |
| 26 | Quel niveau de certification ? (HOP'EN, ISO 27001 ?) | Maturité sécurité | |
| 27 | Chiffrement en place ? (au repos, en transit) | Prérequis EDS | |
| 28 | Gestion des accès ? (AD, LDAP, SSO ?) | Intégration authentification | |
| 29 | Programme CaRE : où en êtes-vous ? (BIA fait ? Plans de continuité ?) | Échéance juin 2026 | |
| 30 | Conformité Ségur du Numérique : quels référentiels implémentés ? | Maturité interopérabilité |
E. Gouvernance et organisation
| # | Question | Pourquoi c'est important | Notes |
|---|---|---|---|
| 31 | Y a-t-il un médecin DIM motivé et disponible ? | Facteur n°1 de succès — sans DIM, le POC échoue | |
| 32 | La CME est-elle informée / favorable ? | Gouvernance médicale | |
| 33 | Y a-t-il déjà des projets de recherche sur les données patients ? | Si oui, formalités CNIL déjà en place | |
| 34 | Base légale envisagée pour l'EDS ? (mission d'intérêt public, intérêt légitime ?) | Détermine la procédure CNIL | |
| 35 | La clinique participe-t-elle au service public hospitalier ? (convention ARS ?) | Si oui → mission d'intérêt public → référentiel CNIL EDS applicable | |
| 36 | Quel est le positionnement de la direction sur l'innovation ? | Soutien stratégique |
F. Budget, timeline et ambition
| # | Question | Pourquoi c'est important | Notes |
|---|---|---|---|
| 37 | Budget disponible pour le POC ? (matériel, prestation, jours/homme) | Cadrage financier | |
| 38 | Timeline souhaitée ? (notre estimation : 3 mois) | Aligner les attentes | |
| 39 | Ressources mobilisables ? (DIM dédié, admin sys, médecin référent) | Charge côté clinique | |
| 40 | Financements identifiés ? (AAP ARS, DGOS, ANR, programme CaRE ?) | Possibilité de co-financement | |
| 41 | Ambition post-POC ? (production, extension, publication, multi-sites ?) | Dimensionner la suite | |
| 42 | D'autres établissements du groupe sont-ils intéressés ? | Potentiel de déploiement |
G. Points d'attention à aborder (nous)
Ce que nous devons expliquer au DSI
-
Léa est 100% locale — aucune donnée ne quitte le réseau. Pas de cloud, pas d'API externe. Argument massue en psychiatrie.
-
Supervision humaine permanente — Léa n'est pas autonome, elle apprend sous supervision d'un humain. Conforme AI Act.
-
Anonymisation intégrée — le pipeline dé-identifie AVANT tout stockage dans l'EDS. On ne stocke jamais de données nominatives dans l'EDS de recherche.
-
Notes personnelles du psychiatre — nous sommes conscients de cette particularité légale et l'avons intégrée dans la conception (exclusion automatique).
-
OMOP CDM — standard international du Health Data Hub. L'EDS sera nativement interopérable si la clinique souhaite participer à des projets de recherche nationaux.
-
Open source — pas de coût de licence. Le coût est 100% en temps humain et infrastructure.
Points à valider absolument avant de partir
- Le DPI utilisé (nom + version)
- La base légale pour l'EDS (mission d'intérêt public ou pas)
- La disponibilité d'un médecin DIM
- La capacité à provisionner une VM
- L'accord de principe pour un accès au DPI (même en lecture écran)
- Le calendrier de la prochaine étape
H. Checklist de conformité EDS (référentiel CNIL 2021-118)
Pour référence — à parcourir avec le DPO :
- Finalité déterminée de l'EDS
- Base légale identifiée (art. 6 + art. 9 RGPD)
- AIPD réalisée
- Information des patients
- Exercice des droits (accès, rectification, opposition)
- Mesures de sécurité (chiffrement, accès, audit trail)
- Pseudonymisation des données
- Gouvernance (comité, responsable, charte d'accès)
- Durée de conservation définie
- Procédure pour les réutilisations (recherche)