INTELIGIA
Sécurité RGPD Protection des données

RGPD appliqué aux ESMS

Le Règlement Général sur la Protection des Données (RGPD) impose aux établissements et services sociaux et médico-sociaux des obligations strictes en matière de protection des données personnelles, notamment des données de santé considérées comme sensibles. La conformité est obligatoire depuis le 25 mai 2018.

1. Définition et enjeux

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen entré en vigueur le 25 mai 2018. Il encadre le traitement des données personnelles sur le territoire de l'Union européenne et renforce les droits des personnes concernées.

Pour les ESMS, le RGPD s'applique à tous les traitements de données personnelles, avec une attention particulière portée aux données de santé, considérées comme des données sensibles nécessitant une protection renforcée.

Enjeux spécifiques pour les ESMS

Les établissements et services médico-sociaux manipulent quotidiennement :

  • Données de santé : dossiers médicaux, projets personnalisés, bilans, prescriptions
  • Données sensibles : handicap, données génétiques, origine ethnique ou raciale
  • Données administratives : identité, situation familiale, ressources financières
  • Données comportementales : habitudes de vie, relations sociales, incidents

Attention : Les données de santé nécessitent une protection renforcée. Tout manquement peut entraîner des sanctions allant jusqu'à 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros.

Principes fondamentaux

Le RGPD repose sur 6 grands principes :

  • Licéité et loyauté : traitement basé sur une base légale claire
  • Finalité : objectifs déterminés, explicites et légitimes
  • Minimisation : collecte limitée au strict nécessaire
  • Exactitude : données à jour et rectifiables
  • Conservation limitée : durées définies et proportionnées
  • Sécurité et confidentialité : protection contre les accès non autorisés

2. Obligations et exigences

Désignation d'un DPO (Délégué à la Protection des Données)

La désignation d'un DPO (Data Protection Officer) est obligatoire pour les ESMS en application de l'article 37 du RGPD, car ils effectuent un traitement à grande échelle de données sensibles de santé.

Les missions du DPO incluent :

  • Informer et conseiller l'organisme sur ses obligations RGPD
  • Contrôler le respect du règlement et du droit national
  • Conseiller sur les analyses d'impact (AIPD)
  • Coopérer avec la CNIL et être le point de contact
  • Sensibiliser et former les personnels

Bon à savoir : Le DPO peut être mutualisé entre plusieurs établissements d'une même structure gestionnaire, ou être externalisé auprès d'un prestataire spécialisé.

Registre des traitements

Tous les ESMS doivent tenir un registre des activités de traitement (article 30 du RGPD) qui documente l'ensemble des traitements de données personnelles effectués.

Pour chaque traitement, le registre doit préciser :

  • Finalité du traitement (exemple : gestion du projet personnalisé)
  • Catégories de données traitées (identité, santé, situation sociale)
  • Catégories de personnes concernées (usagers, familles, salariés)
  • Destinataires des données (ARS, MDPH, organismes payeurs)
  • Durées de conservation
  • Mesures de sécurité mises en place

AIPD (Analyse d'Impact relative à la Protection des Données)

Une AIPD (aussi appelée PIA - Privacy Impact Assessment) est obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes.

Les AIPD sont obligatoires pour :

  • Le DUI (Dossier Usager Informatisé)
  • Les dispositifs de vidéosurveillance
  • Les applications de suivi géolocalisé
  • Les systèmes de contrôle biométrique
  • Tout nouveau traitement à grande échelle de données sensibles

Droits des personnes concernées

Le RGPD renforce les droits des usagers et de leurs représentants légaux :

  • Droit d'accès : obtenir une copie des données personnelles
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : demander la suppression des données (sous conditions)
  • Droit d'opposition : s'opposer à certains traitements
  • Droit à la limitation : limiter temporairement le traitement
  • Droit à la portabilité : récupérer ses données dans un format structuré

Délai de réponse : L'établissement dispose d'un délai maximum d'1 mois pour répondre à une demande d'exercice des droits (prorogeable de 2 mois en cas de complexité).

Durées de conservation

Les données ne peuvent être conservées indéfiniment. La CNIL et le Code de l'action sociale et des familles prévoient des durées maximales :

  • Dossier usager (DUI) : 20 ans après la fin de l'accompagnement pour un majeur, jusqu'aux 28 ans de la personne pour un mineur
  • Dossiers administratifs : 5 ans après la fin du contrat/accompagnement
  • Documents comptables et financiers : 10 ans
  • Données RH : 5 ans après le départ du salarié
  • Vidéosurveillance : 1 mois maximum (sauf enquête judiciaire)

Sanctions en cas de non-conformité

La CNIL dispose de pouvoirs de sanction importants en cas de manquement au RGPD :

  • Avertissement pour les manquements mineurs
  • Mise en demeure avec délai de mise en conformité
  • Limitation temporaire ou définitive du traitement
  • Amendes administratives :
    • Jusqu'à 10 millions d'euros ou 2% du CA pour certaines violations
    • Jusqu'à 20 millions d'euros ou 4% du CA pour les violations graves
  • Sanctions pénales en cas d'atteinte aux systèmes de traitement

3. Mise en conformité

Les 6 étapes de la conformité RGPD

La CNIL propose une méthodologie en 6 étapes pour accompagner les ESMS :

Étape 1 : Désigner un pilote

Nommer un DPO ou référent interne en charge du projet RGPD

Étape 2 : Cartographier les traitements

Recenser tous les traitements dans le registre des activités

Étape 3 : Prioriser les actions

Identifier les traitements à risque nécessitant une AIPD

Étape 4 : Gérer les risques

Réaliser les AIPD et mettre en place les mesures de sécurité

Étape 5 : Organiser les processus internes

Mettre en place les procédures d'exercice des droits et de notification des violations

Étape 6 : Documenter la conformité

Constituer et tenir à jour la documentation probante (principe d'accountability)

Mesures de sécurité techniques

Les ESMS doivent mettre en œuvre des mesures de sécurité appropriées :

  • Contrôle des accès : authentification forte, gestion des habilitations
  • Chiffrement : des données sensibles, des sauvegardes et des communications
  • Traçabilité : logs des accès aux dossiers usagers
  • Sauvegardes régulières : sécurisées et testées
  • Mises à jour de sécurité : systèmes et logiciels à jour
  • Antivirus et pare-feu : protection contre les cybermenaces
  • Politique de mots de passe : complexité et renouvellement

Mesures organisationnelles

  • Sensibilisation et formation des professionnels au RGPD
  • Chartes informatiques définissant les bonnes pratiques
  • Procédures d'exercice des droits des usagers
  • Gestion des sous-traitants : clauses contractuelles RGPD
  • Notification des violations : procédure de signalement à la CNIL sous 72h
  • Archivage et destruction : respect des durées de conservation

Accountability : Le RGPD impose un principe de responsabilité (accountability) : l'établissement doit être en mesure de démontrer sa conformité à tout moment.

4. Cadre réglementaire

Textes européens

Textes nationaux

Référentiels et lignes directrices

Référentiels CNIL : Bien que non contraignants juridiquement, les référentiels de la CNIL constituent des outils d'aide à la conformité reconnus et recommandés pour les ESMS.

5. Ressources utiles

Sites officiels

CNIL - Commission Nationale de l'Informatique et des Libertés

Site officiel de l'autorité de contrôle française, guides pratiques et actualités RGPD

Accéder au site cnil.fr →

Guides et documentation

Guide RGPD pour les ESMS

Guide pratique de l'UNAF pour les professionnels du secteur social et médico-social

Télécharger →

Référentiel d'accompagnement médico-social

Référentiel CNIL spécifique au suivi social et médico-social

Consulter →

Modèle de registre des traitements

Template téléchargeable pour documenter vos traitements

Télécharger →

Outil PIA (AIPD)

Logiciel gratuit de la CNIL pour réaliser vos analyses d'impact

Télécharger →

Outils pratiques

Contact CNIL

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 place de Fontenoy - TSA 80715
75334 Paris Cedex 07
01 53 73 22 22
Formulaire de plainte en ligne ↗

6. Services liés

Sécurité et conformité

Hébergement HDS

Certification obligatoire pour l'hébergement de données de santé

PGSSI-S

Politique Générale de Sécurité des SI de Santé

Consentement numérique

Recueil et gestion du consentement des usagers

DUI

Dossier Usager Informatisé conforme RGPD

Besoin d'accompagnement pour votre conformité RGPD ?

INTELIGIA vous aide à cartographier vos traitements, tenir votre registre et automatiser votre conformité RGPD grâce à l'IA responsable.

Contactez-nous