2 min de lecture

RGPD et établissement médico-social : quelles options pour la Direction ?

RGPD et établissement médico-social : quelles options pour la Direction ?

Le Règlement Général sur la protection des Données, dit "RGPD", encadre la protection de la vie privée des citoyens européens responsabilise les Directions d'établissements quant à la gestion des données personnelles, sous peine de sanctions. Le RGPD impose aux établissements dans le secteur du médico-social (et à leurs sous-traitants) de garantir une protection optimale des informations à chaque instant et d'être en mesure de le démontrer (en mettant à jour leur conformité dans le temps).

Les 5 impacts du RGPD dans le médico-social

L'obligation de conformité au RGPD concerne votre établissement car vous traitez des informations de manière directe ou indirecte sur des personnes physiques (personnes accompagnées et salariés principalement), peu importe votre code FINESS.

Le RGPD vient impacter le secteur médico-social avec :

  1. Responsabilisation accrue des Directions en matière de garanties de sécurité des données collectées et traitées (papiers et numériques)
  2. Renforcement des droits des personnes concernées (usagers et salariés)
  3. Exigence élevée sur les données sensibles collectées par les établissements (exemples : données de santé et données sur les personnes vulnérables)
  4. Exigences renforcées dans le cadre des évaluations externes
  5. Problématiques dans la mise en place de la réglementation (coût temporel, financier et cognitif)

Les établissements sociaux et médico-sociaux (ESSMS) comme les associations dans le secteur du handicap, de la protection de l'enfance, des personnes âgées, de l'addictologie, ou l'hébergement temporaire sont particulièrement concernés, avec notamment l'obligation pour les ESMS de nommer un DPO (Délégué à la Protection des Données).

Les 3 options de la Direction d'un établissement médico-social

La désignation d'un DPO (interne ou externe) au sein d'un établissement médico-social est obligatoire car vous traitez des données sensibles (données de santé ou données personnes vulnérables) dans le temps.

Option 1 : réaliser sa conformité en DPO externe (option populaire)

Votre établissement médico-social n'a ni le temps, ni les ressources internes, ni l'énergie de vous en occuper. Cette situation est très fréquente au sein des établissements médico-sociaux, à l'exception peut-être de grandes structures comme le Groupe SOS et l'ADMR.

La mise en conformité implique : un coût temporel, cognitif et financier. Or, les associations ou EPMS n'ont pas les ressources internes disponibles pour s'en occuper à 100%.

C'est pourquoi, la majorité des ESMS choisissent le DPO externe (plus de 80% de nos clients) comme prestataire en charge de la mise en conformité opérationnelle et point de contact auprès de la CNIL.

Le DPO externe peut être un spécialiste RGPD des établissements médico-sociaux tel que Blockproof, ou bien un avocat ou encore un consultant RGPD.

Option 2 : réaliser sa conformité en DPO interne (sans accompagnement)

Vous désignez un DPO interne qui sera en charge de rédiger les documents de la conformité pour sécuriser votre établissement et réussir vos évaluations. Attention, le DPO ne peut pas être membre de la Direction.

Votre DPO interne devra avoir le temps suffisant (environ 50% d'un ETP), le budget et les compétences nécessaires pour s'occuper du RGPD de manière continue. La CNIL va conduire en 2023 une enquête sur les moyens alloués aux DPO interne des organismes pour éviter les "DPO fantômes".

Les métiers choisis en DPO interne peuvent être par exemple :

  • les Référents ou Référentes Qualité,
  • ou encore dans les plus petites associations, les assistants ou assistantes de direction.

Il est crucial que la personne choisie dispose du temps nécessaire et de l'appétence nécessaire pour se lancer dans le RGPD.

Option 3 : votre DPO interne est accompagné par un spécialiste RGPD

Pour faire face à l'insécurité juridique, votre DPO interne a peut-être besoin d'un accompagnement, de support juridique, de formations ou de vérification du travail. Le DPO interne d'un SAAD par exemple pourrait aussi avoir besoin d'un outil de productivité pour gérer le RGPD.

Chez Blockproof, nous pouvons vous aider sur ces points. Si vous optez pour un autre prestataire sur la partie formation, pensez à vérifier que l'organisme soit certifié Qualiopi (comme Blockproof) pour bénéficier d'un financement OPCO même minime sur la formation.

La mise en place du RGPD dans un établissement médico-social est difficile

Les problématiques de la Direction

  • "C'est bien beau le RGPD, mais je n'ai le temps de m'en charger avec tous les projets en cours !"
  • "Quel établissement médico-social a un Juriste en interne spécialisé en protection des données aujourd'hui ? Aucun."
  • " Je n'ai pas 45 000 euros à mettre tous les ans pour du RGPD !"
  • "J'ai de plus en plus d'obligations à gérer, le RGPD est un caillou de plus dans ma chaussure"

Problèmes pour les établissements médico-sociaux

  • "Comment protéger la confidentialité de mes usagers ?"
  • "Comment gérer les demandes des familles en conformité avec le RGPD ?"
  • "Comment réaliser une cartographie des données et connaître les bases légales de mon traitement ?"
  • "Comment rédiger une procédure en cas de violation de données adaptée à mon établissement ?"
  • "C'est une règlementation tellement obscure, qu'on ne sait pas par où commencer"

Mise en place en DPO externe, et maintien en DPO interne

Cette stratégie consiste à démarrer la première année en DPO externe, pour ensuite basculer en DPO interne à partir de la deuxième année.

Cette méthode est choisie par certains établissements de type Ehpad ou mais aussi d'autres associations et EPMS dans l'optique de sous-traiter la totalité du travail opérationnel (et complexe) de la mise en place des documents puis, de récupérer la main en interne pour limiter les coûts l'année suivante.

A titre d'exemple, avec Blockproof, votre DPO interne pourra gérer le maintien de la conformité avec l'aide de notre outil métier RGPD, adapté au secteur social, médico-social et sanitaire.

Intérêts du RGPD pour un établissement médico-social

Pourquoi mettre en place le RGPD au sien d'un établissement médico-social ?

  1. structurer son système d'information
  2. respecter la vie privée des personnes, en accord avec sa mission sociale
  3. se protéger des fuites de données
  4. valoriser son action auprès des familles et financeurs
  5. éviter les sanctions financières allant jusqu'à 20 millions d'euros
  6. éviter les sanctions contre la Direction (dommages et intérêts au civil ou pénal)

RGPD : contrainte ou atout pour les ESSMS ?

Le RGPD a aussi son intérêt une fois que la démarche est lancée et maintenue au sein d'un établissement. La CNIL et l'ANS en font part dans un webinaire dédié.

Ce webinaire explique également les objectifs du RGPD, notamment dans le champs des données sensibles.

Vous pouvez retrouver dans ce webinar et sur le site de la CNIL de la documentation RGPD si vous souhaitez vous lancer par vous-même dans la conformité.

En pratique, cela constitue un bon moyen de confronter la complexité et le temps que la démarche RGPD implique pour votre établissement médico-social (environ 50% d'un ETP). Un exemple simple : que faire du dossier usager après son départ ?

La fine connaissance de Blockproof relative aux ESMS (ITEP, IME, FAM, SSIAD, SAAD, MAS, MECS, CAARUD, EHPAD, etc.) et leurs métiers vous permet de gagner du temps et de sécuriser votre démarche RGPD.
Blockproof RGPD
article author
Vincent R.