Le RGPD en EHPAD : quelles sont les solutions possibles pour la Direction ?
Le Règlement (UE) 2016/679, dit "RGPD", introduit un changement important en matière de protection des données personnelles, et notamment celles des résidents et salariés. Il impose aux organismes et à leurs sous-traitants de garantir une protection optimale des données à chaque instant et d'être en mesure de le démontrer (en documentant leur conformité).
Quels sont les impacts du RGPD sur votre Ehpad ?
Comme vous le savez, l'obligation de conformité au règlement général sur la protection des données concerne votre Ehpad. L'entrée en vigueur de cette règlementation européenne a plusieurs effets :
- Responsabilisation accrue des Ehpad en matière de garanties de sécurité des données collectées et traitées (papiers et numériques)
- Renforcement des droits des personnes concernées qu'il s'agisse des résidents (en lits unité classiques, lits unité protégée, lits unité temporaires ou en SSIAD) ou des salariés
- Complexification des évaluations externes
- Alourdissement des sanctions
Les établissements médico-sociaux comme les Ehpad sont particulièrement concernés, avec notamment l'obligation pour les EHPAD de nommer un DPO (Délégué à la Protection des Données).
La mise en place du RGPD en EHPAD est un sujet complexe
Les problématiques découlant du terrain
- Le fils d'un résident me demande tout le dossier de son père, que dois-je faire ?
- Ce prestataire me demande des informations intrusives, puis-je les transférer ?
- J'ai perdu des mon téléphone professionnel avec des photos de résidents, que dois-je faire ?
Les problématiques de la Direction
- C'est bien beau le RGPD, mais je n'ai le temps de m'en charger et mes équipes non plus !
- Quel Ehpad a un Juriste en interne spécialisé en protection des données aujourd'hui ? Aucun.
- Je n'ai pas 40 000 € à mettre dans le RGPD tous les ans
- Même si on s'en occupait en interne, comment savoir si mon établissement est conforme au RGPD ?
Les 3 options de la Direction d'EHPAD pour éviter les sanctions
Option 1 : réaliser sa conformité en DPO interne sans accompagnement
Votre DPO interne rédige par soi-même les documents essentiels de la conformité pour sécuriser votre établissement et réussir vos évaluations. La désignation d'un DPO au sein d'un EHPAD est obligatoire et ne peut pas être membre de la Direction. Votre DPO interne devra avoir le temps suffisant (environ 50% d'un ETP) et les compétences nécessaires pour s'occuper du RGPD de manière continue.
Option 2 : votre DPO interne est accompagné par un spécialiste RGPD
Pour faire face à l'insécurité juridique, votre DPO interne a peut-être besoin d'un accompagnement : formation + vérification du travail et outil RGPD.
Ce type d'accompagnement est généralement proposé par des cabinet de conseil RGPD 360, tels que Blockproof.
Option 3 : Réaliser sa conformité grâce à un DPO externe (la plus populaire)
Vous n'avez ni le temps, ni les ressources internes et l'énergie de vous en occuper ?
Vous pouvez opter pour le DPO externe qui réalisera la mise en place, la formation interne et le suivi de la conformité de votre EHPAD.
Il peut s'agir :
- d'un spécialiste RGPD des établissements médico-sociaux tel que Blockproof
- d'un avocat
- ou d'un consultant RGPD
Nous préciserons maintenant la notion de Délégué à la Protection des Données.
Introduction sur l'obligation de nommer un DPO en EHPAD
Le DPO en EHPAD : définition
Le DPO est le Délégué à la protection des données personnelles de votre Ehpad en charge de conseiller la Direction ("Responsable de traitement") de la politique à suivre en matière de protection des données personnelles (papier et numérique). Attention, la fonction de DPO est "juridique" (avant d'être "informatique").
Le DPO vous représente auprès des autorités (CNIL), gère avec vous les demandes RGPD (des résidents, des familles et des salariés) et vous accompagne en cas de violation de données ou de contrôle des autorités. Dans la majorité des cas, le DPO est aussi en charge de réaliser la mise en place et le suivi de la conformité de l'EHPAD dans le temps. Choisir un DPO externe n'est obligatoirement définitif. Votre EHPAD peut changer de DPO et désigner un DPO interne à l'établissement auprès de la CNIL.
Pourquoi le DPO en EHPAD est obligatoire ?
Oui. Le DPO est obligatoire en EHPAD du fait de la nature sensibles des données sensibles que vous traitez et de la durée de conservation de ces dites données dans le temps. En ce qui concerne les EPMS, vous êtes par définition dans l'obligation de nommer un DPO en qualité d'organisme public.
Un DPO interne en EHPAD est aussi possible
Déjà, le Délégué à la protection des données personnelles de votre Ehpad ne doit pas être membre de la Direction car le DPO conseille sur la politique de l'EHPAD en matière de protection des données et la Direction (Responsable de traitement) décide des actions à mettre en place. Cette logique suit l'adage connu "on ne peut pas être juge et parti".
Ceci étant, si vous disposez d'une ressource interne disposant du temps suffisant pour réaliser la conformité et effectuer le suivi dans le temps, vous disposez de deux options :
1 - tout réaliser par vous-même avec l'aide des outils gratuits de la CNIL et de Blockproof (blog)
2 - être accompagné par Blockproof au démarrage de la conformité avec des ateliers de formations, des sessions de vérifications du travail et la mise à disposition de notre outil RGPD dédié aux EHPAD et leurs spécificités (unité Alzheimer, SSIAD, Accueil de jour, Résidence autonomie, etc.)
Dans le premier cas, très rares sont les Ehpad qui disposent en interne d'un ETP Juriste en droit du numérique spécialisé dans le champs du médico-social. La majorité des DPO interne choisissent donc de cumuler formation, accompagnement et outil RGPD pour réussir la mise en conformité de leur établissement. Par ailleurs, le choix du DPO interne comporte un aléa : le turn-over. Une fois la conformité réalisée, si votre salarié DPO interne souhaite quitter l'EHPAD (ou partir en arrêt maladie), la Direction devra choisir un DPO externe ou former un nouveau DPO interne au sein de ses salariés.
Mise en place en DPO externe, et maintien en DPO interne
Cette stratégie consiste à démarrer la première année en DPO externe, puis basculer en DPO interne à partir de la deuxième année. Cette méthode est choisie par certains établissements de type Ehpad mais aussi d'autres associations et EPMS. Cette stratégie permet de sous-traiter la totalité du travail opérationnel (et complexe) de la phase 1 puis, de récupérer la main en interne pour limiter les coûts. En DPO interne, vous pouvez aussi gérer le maintien de la conformité avec l'aide de notre outil métier RGPD, spécialisé dans le secteur social, médico-social et sanitaire.
Chez Blockproof, nous considérons qu'il est essentiel de laisser la liberté aux ESSMS de changer d'offre ou de stopper la relation contractuelle chaque année. Nous ne sommes pas un contrat photocopieur, qui vous bloquent sur 5 ans. Si vous restez avec nous, c'est que vous êtes satisfaits de notre accompagnement.
PS : 97,8% d'établissements que nous accompagnons décident de travailler avec nous dans le temps.
En qualité d'Ehpad, vous avez à tout moment la possibilité de récupérer votre dossier de conformité. Vous avez aussi la possibilité de changer d'offre d'une année à l'autre. L'objectif ? Permettre aux établissements médico-social d'adapter l'accompagnement selon leurs besoins, leurs budgets et leurs objectifs.