Le RGPD en EHPAD : quelles sont les solutions possibles pour la Direction ?

Le Règlement (UE) 2016/679, dit "RGPD", introduit un changement important en matière de protection des données personnelles, et notamment celles des résidents et salariés. Il impose aux organismes et à leurs sous-traitants de garantir une protection optimale des données à chaque instant et d'être en mesure de le démontrer (en documentant leur conformité).
Quels sont les impacts du RGPD sur votre Ehpad ?
Comme vous le savez, l'obligation de conformité au règlement général sur la protection des données concerne votre Ehpad. L'entrée en vigueur de cette règlementation européenne a plusieurs effets.
- Responsabilisation accrue des Ehpad en matière de garanties de sécurité des données collectées et traitées (papiers et numériques)
- Renforcement des droits des personnes concernées qu'il s'agisse des résidents (en lits unité classiques, lits unité protégée, lits unité temporaires ou en SSIAD) ou des salariés
- Élargissement du champ d'application territorial et matériel de la protection des données à tous les secteurs d'activité et à tous les organismes traitant des données à caractère personnel dans toute l'Union Européenne.
- Les contrôles et les sanctions seront également renforcés.
Les établissements sociaux et médico-sociaux comme les Ehpad sont particulièrement concernés, avec notamment l'obligation pour les EHPAD de nommer un DPO (Délégué à la Protection des Données). Il existe de nombreuses offres et un grand nombre de prestataires proposant leurs services pour aider à la mise en conformité RGPD des organismes. Les plus présents sont les prestataires pour les entreprises et grands comptes. Même la CNIL privilégie les outils gratuits pour les entreprises.
En pratique, les prestataires capables d'accompagner sans perte de temps les établissements médico-sociaux se font rares.
La mise en place du RGPD en EHPAD est un sujet complexe
Les problématiques découlant du terrain
"Comment protéger la confidentialité de mes résidents ?"
"Comment gérer les demandes des familles en conformité avec le RGPD ?"
"Comment réaliser une cartographie des données et connaître les bases légales de mon traitement ?"
"Comment rédiger une procédure en cas de violation de données adaptée à mon établissement ?"
Les problématiques de la Direction
"C'est bien beau le RGPD, mais je n'ai le temps de m'en charger et mes équipes non plus !"
"Quel Ehpad a un Juriste en interne spécialisé en protection des données aujourd'hui ? Aucun."
"Je n'ai pas 15 000 € à mettre dans le RGPD tous les ans !"
"Et même si je m'en occupais, comment savoir si je suis conforme au RGPD ?"
Les 3 options de la Direction pour éviter les sanctions de la CNIL
Avant d'entrer dans le détail des solutions possibles, revenons rapidement sur la notion de Délégué à la Protection des Données.
Introduction sur l'obligation de nommer un DPO en EHPAD
Le DPO en EHPAD : définition
Le DPO est le Délégué à la protection des données personnelles de votre Ehpad en charge de conseiller la Direction ("Responsable de traitement") de la politique à suivre en matière de protection des données personnelles (papier et numérique). Attention, la fonction de DPO est "juridique" (avant d'être "informatique").
Le DPO vous représente auprès des autorités (CNIL), gère avec vous les demandes RGPD (des résidents, des familles et des salariés) et vous accompagne en cas de violation de données ou de contrôle des autorités. Dans la majorité des cas, le DPO est aussi en charge de réaliser la mise en place et le suivi de la conformité de l'EHPAD dans le temps. Choisir un DPO externe n'est obligatoirement définitif. Votre EHPAD peut changer de DPO et désigner un DPO interne à l'établissement auprès de la CNIL.
Pourquoi le DPO en EHPAD est obligatoire ?
Oui. Le DPO est obligatoire en EHPAD du fait de la nature sensibles des données sensibles que vous traitez et de la durée de conservation de ces dites données dans le temps. En ce qui concerne les EPMS, vous êtes par définition dans l'obligation de nommer un DPO en qualité d'organisme public.
Option 1 : réaliser sa conformité via un DPO interne (sans accompagnement)
Votre DPO interne rédige les documents essentiels de la conformité pour sécuriser votre établissement et réussir vos évaluations. La désignation d'un DPO au sein d'un EHPAD est obligatoire et ne peut pas être membre de la Direction. Votre DPO interne devra avoir le temps suffisant (environ 50% d'un ETP) et les compétences nécessaires pour s'occuper du RGPD de manière continue.
Option 2 : votre DPO interne est accompagné par un spécialiste RGPD
Pour faire face à l'insécurité juridique, votre DPO interne a peut-être besoin d'un accompagnement : formation + vérification du travail et outil RGPD. Chez Blockproof, nous pouvons vous aider en ce sens.
Option 3 : Réaliser sa conformité via un DPO externe
Vous n'avez pas le temps, les ressources internes et l'énergie de vous en occuper ? Optez pour le DPO externe qui réalisera la mise en place, la formation interne et le suivi de la conformité de votre EHPAD. Il peut s'agir d'un spécialiste RGPD des établissements médico-sociaux tel que Blockproof, d'un avocat ou d'un consultant RGPD.
Un DPO interne en EHPAD est aussi possible
Déjà, le Délégué à la protection des données personnelles de votre Ehpad ne doit pas être membre de la Direction car le DPO conseille sur la politique de l'EHPAD en matière de protection des données et la Direction (Responsable de traitement) décide des actions à mettre en place. Cette logique suit l'adage connu "on ne peut pas être juge et parti".
Ceci étant, si vous disposez d'une ressource interne disposant du temps suffisant pour réaliser la conformité et effectuer le suivi dans le temps, vous disposez de deux options :
1 - tout réaliser par vous-même avec l'aide des outils gratuits de la CNIL et de Blockproof (blog)
2 - être accompagné par Blockproof au démarrage de la conformité avec des ateliers de formations, des sessions de vérifications du travail et la mise à disposition de notre outil RGPD dédié aux EHPAD et leurs spécificités (unité Alzheimer, SSIAD, Accueil de jour, Résidence autonomie, etc.)
Dans le premier cas, très rares sont les Ehpad qui disposent en interne d'un ETP Juriste en droit du numérique spécialisé dans le champs du médico-social. La majorité des DPO interne choisissent donc de cumuler formation, accompagnement et outil RGPD pour réussir la mise en conformité de leur établissement. Par ailleurs, le choix du DPO interne comporte un aléa : le turn-over. Une fois la conformité réalisée, si votre salarié DPO interne souhaite quitter l'EHPAD (ou partir en arrêt maladie), la Direction devra choisir un DPO externe ou former un nouveau DPO interne au sein de ses salariés.

Mise en place en DPO externe, et maintien en DPO interne
Cette stratégie consiste à démarrer la première année en DPO externe, puis basculer en DPO interne à partir de la deuxième année. Cette méthode est choisie par certains établissements de type Ehpad mais aussi d'autres associations et EPMS. Cette stratégie permet de sous-traiter la totalité du travail opérationnel (et complexe) de la phase 1 puis, de récupérer la main en interne pour limiter les coûts. En DPO interne, vous pouvez aussi gérer le maintien de la conformité avec l'aide de notre outil métier RGPD, spécialisé dans le secteur social, médico-social et sanitaire.
Chez Blockproof, nous considérons qu'il est essentiel de laisser la liberté aux ESSMS de changer d'offre ou de stopper la relation contractuelle chaque année. Nous ne sommes pas un contrat photocopieur, qui vous bloquent sur 5 ans. Si vous restez avec nous, c'est que vous êtes satisfaits de notre accompagnement.
PS : 97,8% d'établissements que nous accompagnons décident de travailler avec nous dans le temps.
En qualité d'Ehpad, vous avez à tout moment la possibilité de récupérer votre dossier de conformité. Vous avez aussi la possibilité de changer d'offre d'une année à l'autre. L'objectif ? Permettre aux établissements d'adapter l'accompagnement selon leurs besoins, leurs budgets et leurs objectifs.