Dans le n° 153-octobre 2023  - Collecte, traitement et protection  16086

Le RGPD, le respect de la qualité

Pourquoi le règlement général sur la protection des données n'est pas qu'une obligation réglementaire... et qu'il est important pour un directeur d'Ehpad de s'y intéresser.

Le règlement européen n° 2016/679, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, est plus connu sous l'acronyme RGPD. Il date du 27 avril 2016, bien que son entrée en vigueur n'ait été effective qu'en mai 2018.

Malgré ce temps écoulé, et le fait que les dispositions protégeant les données personnelles soient reprises dans des textes comme la loi n° 78-17 modifiée, dite « loi Informatique et Libertés », ou des articles du Code pénal et du Code de la santé publique, le sujet reste pour beaucoup théorique et quasi inexistant dans les Ehpad.

Pourtant, le RGPD s'applique à tout organisme traitant les données à caractère personnel des citoyens européens. Cette notion de « données à caractère personnel » est très large, puisqu'elle englobe « toute donnée relative à une personne physique identifiée ou identifiable, directement ou indirectement ». La notion de traitement est aussi vaste, puisqu'elle concerne toute opération sur ces données, de la collecte jusqu'à la destruction.

Une meilleure connaissance des traitements réalisés et des données collectées

La première étape pour le délégué à la protection des données[1] est d'élaborer le registre obligatoire des activités de traitement. C'est l'occasion de constater que certains traitements sont effectués en double, que des données sont collectées inutilement et/ou conservées beaucoup plus longtemps que nécessaire, ou dans des fichiers non répertoriés au lieu de l'être dans un logiciel métier. Une remise à plat des traitements peut permettre de gagner du temps et de la place dans les archives « papier » comme dans le serveur, tout en respectant trois principes fondamentaux du RGPD que sont la minimisation des données, leur conservation limitée et des finalités déterminées.

L'information des personnes concernées

Les résidents et les personnels, principaux concernés en Ehpad, doivent savoir précisément quelles sont les données collectées, pour quelle durée et quelles finalités, mais aussi qui en sera destinataire, comment s'opposer à leur traitement ou demander leur effacement, obtenir une copie ou faire valoir leurs droits... La transparence est un principe fondamental du RGPD, et l'information en est le premier des droits. Ces valeurs sont essentielles pour établir la confiance. Le formulaire de « droit à l'image » par exemple se limite souvent à un accord binaire « oui/non », pour tous les usages. Or, les principes du consentement éclairé tels que définis dans le RGPD exigent de demander un accord par finalité. Certaines personnes acceptent une diffusion de leur image dans l'établissement et le journal interne, mais pas sur le site Internet ou les réseaux sociaux. Il est important aussi de fixer une durée de conservation des images... et de s'organiser pour la respecter !

La sécurisation des données, en particulier des données « sensibles »

Le responsable doit assurer la protection des données qui lui sont confiées, d'autant que l'Ehpad traite de nombreuses données dites « sensibles », comme les données de santé ou relatives à la vie privée. Bien sûr, le personnel est conscient du « secret professionnel », mais à l'heure du « tout numérique », il est particulièrement fragile si des mesures de sécurité appropriées ne sont pas mises en place. Il s'agit d'une obligation de moyens basée sur des mesures techniques : c'est l'occasion de faire le point avec votre informaticien sur vos sauvegardes, antivirus, pare-feu, mises à jour des logiciels et des systèmes d'exploitation, sécurité des accès extérieurs, etc. Mais aussi sur des mesures organisationnelles : gestion des habilitations et des droits d'accès (aux logiciels métiers, aux dossiers du serveur...), mots de passe « forts » (c'est-à-dire suffisamment complexes, uniques et conservés de manière sécurisée[2'), sensibilisation aux mails piégés (« hameçonnage »), messagerie sécurisée pour les données de santé, chiffrement des dossiers sensibles en particulier sur les supports amovibles, verrouillage automatique des sessions au bout de quelques minutes d'inactivité... Ces mesures sont simples et gratuites mais souvent négligées. Il ne faut pas non plus oublier de faire le point sur les mesures de sécurité physique basiques, concernant le serveur en particulier, ou la gestion des clés et des passes.

La protection des données, au coeur de la démarche qualité

Dans le référentiel d'évaluation de la qualité publié en mars 2022 par l'HAS, 6 critères impératifs sur 18 ont un lien avec la protection des données : respect du droit à l'image, respect de la vie privée et de l'intimité, confidentialité et protection des informations et des données, recueil et traitement des plaintes et réclamations, recueil et traitement des événements indésirables (comme les violations de données), plan de gestion de crise et de continuité des activités (il est plus que jamais indispensable de prévoir un volet numérique).

À cela s'ajoutent 4 critères standards : sensibilisation et/ou formation des professionnels à la connaissance des droits de la personne accompagnée, respect des règles de sécurisation des données, des dossiers et des accès, déploiement d'une stratégie numérique, sensibilisation et formation des professionnels aux outils numériques.


16/07/2024  - Note d'information

Des orientations nationales pour l'hébergement temporaire en sortie d'hospitalisation

L'hébergement temporaire en sortie d'hospitalisation totalise désormais 1500 places en Ehpad et bénéficiera en 2024 d'un financement de 42 millions d'euros. Une note d'information donne un cadre national au dispositif.
12/07/2024  - Décret

Proche aidant : le droit à l'AJPA devient rechargeable

Les aidants s'occupant de plusieurs proches dépendants au cours de leur carrière auront un droit rechargeable à l'allocation journalière du proche aidant.
12/07/2024  - Arrêté

Enfin, un Cerfa pour la demande d'agrément d'accueillant familial !

Propre à chaque département, le dossier de demande d'agrément va être remplacé par un formulaire uniformisé.
09/07/2024  - Assurance-maladie

Un décret allonge la durée du 100% pour 4 ALD

Les durées d'exonération de la participation des assurés relevant de certaines affections de longue durée (ALD) sont prolongées.
09/07/2024  - La question du directeur

La validité d'un mandat exprès pour obtenir communication du dossier médical d'une résidente présentant des troubles cognitifs

La fille d'une résidente de notre Ehpad me présente un mandat exprès pour obtenir communication du dossier médical en lieu et place de sa mère. Celui-ci semble être signé par la résidente, mais je m'interroge quant à sa validité car cette dernière souffre d'importants troubles cognitifs. Dois-je communiquer le dossier ?
09/07/2024  - Privé non lucratif

Accord Bass : Axess compte rappeler les financeurs à leur obligation

Axess se réjouit de l'agrément de l'accord Ségur du 4 juin et travaille « à ce que les financements accordés parviennent aux structures du sanitaire, social et médico-social ».
08/07/2024  - Aide à domicile

La compensation du tarif horaire plancher aux départements

Un décret calcule la compensation des surcoûts induits par l'application du tarif minimal de l'aide à domicile.
08/07/2024

Certains départements vont toucher une rallonge APA

Une enveloppe exceptionnelle de 150 millions d'euros est débloquée pour certains départements au titre de l'APA. Un décret fixe les conditions d'éligibilité.
04/07/2024  - FPH

Avis de vacance de postes de D3S

...