schedule 1 min de lecture

Le RGPD en EHPAD : les options possibles pour la Direction

RGPD Ehpad Blockproof

Le secteur du RGPD regroupe une vaste panoplie d'offres et de prestataires proposant leurs services pour aider à la mise en conformité des organismes. Les plus présents sont les prestataires pour les entreprises et grands comptes. Même la CNIL privilégie les outils gratuits pour les entreprises.

En pratique, les prestataires capables d'accompagner sans perte de temps les établissements médico-sociaux se font rares. Chez Blockproof, nous commençons déjà vous lister les trois options possibles pour votre Ehpad.

La mise en place du RGPD en EHPAD est un sujet complexe

Les problématiques découlant du terrain

"Comment protéger la confidentialité de mes résidents ?"

"Comment gérer les demandes des familles en conformité avec le RGPD ?"

"Comment réaliser une cartographie des données et connaître les bases légales de mon traitement ?"

"Comment rédiger une procédure en cas de violation de données adaptée à mon établissement ?"

Les problématiques de la Direction

"C'est bien beau le RGPD, mais je n'ai le temps de m'en charger et mes équipes non plus !"

"Quel Ehpad a un Juriste en interne spécialisé en protection des données aujourd'hui ? Aucun."

"Je n'ai pas 10 000 € à mettre dans le RGPD tous les ans !"

"Et même si je m'en occupais, comment savoir si je suis conforme au RGPD ?"

Les 3 options de la Direction pour réaliser la conformité RGPD

Introduction sur l'obligation de nommer un DPO en EHPAD

Le DPO en EHPAD : définition

Le DPO est le Délégué à la protection des données personnelles de votre Ehpad en charge de conseiller la Direction ("Responsable de traitement") de la politique à suivre en matière de protection des données personnelles (papier et numérique). Attention, la fonction de DPO est imminemment juridique (avant d'être "informatique"). Le DPO vous représente auprès des autorités (CNIL), gère avec vous les demandes RGPD (des résidents, des familles et des salariés) et vous accompagne en cas de violation de données ou de contrôle des autorités. Dans la majorité des cas, le DPO est aussi en charge de réaliser la mise en place et le suivi de la conformité de l'EHPAD dans le temps. Choisir un DPO externe n'est obligatoirement définitif. Votre EHPAD peut changer de DPO et désigner un DPO interne à l'établissement auprès de la CNIL.

Pourquoi le DPO en EHPAD est obligatoire ?

Oui. Le DPO est obligatoire en EHPAD du fait de la nature sensibles des données sensibles que vous traitez et de la durée de conservation de ces dites données dans le temps. En ce qui concerne les EPMS, vous êtes par définition dans l'obligation de nommer un DPO en qualité d'organisme public.

Option 1 : réaliser sa conformité via un DPO interne (en toute autonomie)

Votre DPO interne rédige les documents essentiels de la conformité pour sécuriser votre établissement et réussir vos évaluations. La désignation d'un DPO au sein d'un EHPAD est obligatoire et ne peut pas être membre de la Direction.

Option 2 : votre DPO interne est accompagné par un spécialiste RGPD des EHPAD

Afin de faire face à l'insécurité juridique, votre DPO interne a peut-être besoin d'un accompagnement (formation + vérification du travail). Chez Blockproof, nous pouvons aussi vous mettre à disposition un outil RGPD vous permettant d'automatiser le travail de mise en place grâce à nos référentiels de données (EHPAD, Unité Alzheimer, SSIAD, Accueil de jour, Résidence autonomie, etc. ) et modèles juridiques.

Option 3 : Réaliser sa conformité via un DPO externe

Votre DPO externe réalise la mise en place, la formation interne et le suivi de la conformité de votre EHPAD. En qualité de spécialiste RGPD des ESMS, nous proposons chez Blockproof un accompagnement "DPO externe" adapté à vos besoins et budgets.

Problème Ehpad solution Blockproof

94 % des EHPAD que nous aidons ont choisi un DPO externe

En deux mots, l'accompagnement DPO externe cumule un(e) Juriste Expert RGPD spécialisé dans votre secteur et accompagnant déjà plusieurs Ehpad et l'utilisation d'un outil RGPD s'adaptant à votre Ehpad et spécificités (unité Alzheimer, SSIAD, Accueil de jour, Résidence autonomie, etc).

Une solution adaptée à votre Ehpad avec Blockproof :

- gain de temps

- paix sociale

- éligibilité aux financements

Un environnement structuré avec Blockproof :

- gage de qualité avec plus de 350 établissements qui nous font confiance

- montée de compétence interne

- flexibilité pour changer d'offre ou arrêter le contrat

Pour obtenir les tarifs, vous pouvez consulter la page offre de notre site internet.

Un DPO interne en EHPAD est aussi possible

Déjà, le Délégué à la protection des données personnelles de votre Ehpad ne doit pas être membre de la Direction car le DPO conseille sur la politique de l'EHPAD en matière de protection des données et la Direction (Responsable de traitement) décide des actions à mettre en place. Cette logique suit l'adage connu "on ne peut pas être juge et parti".

Ceci étant, si vous disposez d'une ressource interne disposant du temps suffisant pour réaliser la conformité et effectuer le suivi dans le temps, vous disposez de deux options :

1 - tout réaliser par vous-même avec l'aide des outils gratuits de la CNIL et de Blockproof (blog)

2 - être accompagné par Blockproof au démarrage de la conformité avec des ateliers de formations, des sessions de vérifications du travail et la mise à disposition de notre outil RGPD dédié aux EHPAD et leurs spécificités (unité Alzheimer, SSIAD, Accueil de jour, Résidence autonomie, etc.)

Dans le premier cas, très rares sont les Ehpad qui disposent en interne d'un ETP Juriste en droit du numérique spécialisé dans le champs du médico-social. La majorité des DPO interne choisissent donc de cumuler formation, accompagnement et outil RGPD pour réussir la mise en conformité de leur établissement. Par ailleurs, le choix du DPO interne comporte un aléa : le turn-over. Une fois la conformité réalisée, si votre salarié DPO interne souhaite quitter l'EHPAD (ou partir en arrêt maladie), la Direction devra choisir un DPO externe ou former un nouveau DPO interne au sein de ses salariés.

Mise en place en DPO externe, et maintien en DPO interne

Cette stratégie consiste à démarrer la première année en DPO externe, puis basculer en DPO interne à partir de la deuxième année. Cette méthode est choisie par certains établissements de type Ehpad mais aussi d'autres associations et EPMS. Cette stratégie permet de sous-traiter la totalité du travail opérationnel (et complexe) de la phase 1 puis, de récupérer la main en interne pour limiter les coûts. En DPO interne, vous pouvez aussi gérer le maintien de la conformité avec l'aide de notre outil métier RGPD, spécialisé dans le secteur social, médico-social et sanitaire.

Chez Blockproof, nous considérons qu'il est essentiel de laisser la liberté aux ESSMS de changer d'offre ou de stopper la relation contractuelle chaque année. Nous ne sommes pas un contrat photocopieur, qui vous bloquent sur 5 ans. Si vous restez avec nous, ce que vous êtes satisfaits de notre accompagnement. Aujourd'hui, 97,8% d'établissements décident chaque année de rester chez Blockproof en DPO externe ou DPO interne.

Chaque année, oui ! Tous nos contrats sont à engagement de 12 mois. En qualité d'Ehpad, vous avez la possibilité (chaque année) de récupérer tout votre dossier de conformité et partir. Vous avez aussi la possibilité de changer d'offre d'une année à l'autre. L'objectif ? Permettre aux établissements d'adapter l'accompagnement selon leurs besoins, leurs budgets et leurs objectifs.