RGPD médico-social et ESMS
Le secteur social et médico-social est lié par le RGPD (Règlement Général sur la Protection des Données) en vigueur depuis mai 2018. Il n'est plus nécessaire de faire une déclaration auprès de la CNIL. Tous les traitements de données personnelles utilisés dans le cadre des activités professionnelles des ESMS sont soumis au RGPD.
Pour être conforme au RGPD, les établissements doivent notamment :
- disposer d'un registre des activités de traitements,
- assurer le respect des droits des personnes,
- mettre en place des procédures organisationnelles garantissant la sécurité et la confidentialité des données,
- disposer d'un DPO (délégué à la protection des données),
- assurer la sécurité de ses relations contractuelles
- prévoir la remontée d'incident en cas de perte ou de vol d'information à caractère personnel
- prévoir une procédure d'archivage spécifique en cas de départ de l'usager (ou décès de la personne accompagnée)
Le RGPD renforce les droits des usagers et des salariés des ESMS
Le RGPD impose aux établissements dans le secteur social et médico-social d'assurer la protection des informations personnelles, sociales, médicales et financières des personnes accompagnées et des salariés.
Vos parties prenantes ont maintenant plus de contrôle sur leurs données avec l'entrée en vigueur du RGPD.
Par exemple, les usagers ou salariés peuvent désormais introduire des réclamations pour violation des règles (beaucoup plus facilement qu'auparavant). De nouvelles exigences impliquent aussi que les usagers doivent être informés de l'utilisation abusive ou de la perte de données les concernant.
L'obligation de veiller à ce que les données soient stockées et gérées de manière appropriée est cruciale au sein de votre établissement public ou associatif ou entreprise du secteur.
La mise en œuvre du RGPD permet aux personnes accompagnées et aux organismes prestataires de services de travailler plus étroitement ensemble ; ce qui améliore les relations entre les professionnels du secteur et les usagers dont ils s'occupent. Attention néanmoins aux prestataires web de visioconférence.
Les usagers et salariés doivent être assurés que les informations et les données qu'ils fournissent aux organismes prestataires de services sont sans risques et qu’ils peuvent y accéder. Prenons l'exemple des fiches de paie : pouvez-vous conserver la fiche de paie d'un(e) de vos salariés à vie ? La réponse est non.
Démarrer la mise en conformité dans le secteur social et médico-social
Nos conseils pour entamer à votre échelle, la mise en conformité RGPD de votre ESMS :
- définir les finalités des traitements portant sur les données personnelles et les encadrer avec la bonne base légale
- minimiser les données personnelles collectées
- avoir des garanties de conformités des partenaires et fournisseurs de services
- sensibiliser votre personnel
Compte tenu du volume considérable d'informations salariés et usagers utilisées quotidiennement, la mission de mise en conformité peut s'avérer un défi.
En pratique, les établissements dans le secteur médico-sociaux que nous accompagnons ont fait appel à nous car elles faisaient face aux problématiques suivantes :
- manque de temps en interne : il est difficile pour un ETP de libérer le temps suffisant à la mise en conformité et son maintien dans le temps
- difficulté à faire face à la lourdeur et complexité du RGPD : en effet, pour réaliser la mise en conformité, il est nécessaire de s’approprier la réglementation et de rédiger des documents juridiques
- incertitude juridique : même si un ETP libère du temps et fait face à la complexité, une question demeure “par où commencer et est-ce que mes actions sécurisent véritablement mon établissement”