Le règlement européen n° 2016/679, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, est plus connu sous l'acronyme RGPD. Il date du 27 avril 2016, bien que son entrée en vigueur n'ait été effective qu'en mai 2018.

Malgré ce temps écoulé, et le fait que les dispositions protégeant les données personnelles soient reprises dans des textes comme la loi n° 78-17 modifiée, dite « loi Informatique et Libertés », ou des articles du Code pénal et du Code de la santé publique, le sujet reste pour beaucoup théorique et quasi inexistant dans les Ehpad.

Pourtant, le RGPD s'applique à tout organisme traitant les données à caractère personnel des citoyens européens. Cette notion de « données à caractère personnel » est très large, puisqu'elle englobe « toute donnée relative à une personne physique identifiée ou identifiable, directement ou indirectement ». La notion de traitement est aussi vaste, puisqu'elle concerne toute opération sur ces données, de la collecte jusqu'à la destruction.

Une meilleure connaissance des traitements réalisés et des données collectées

La première étape pour le délégué à la protection des données[1] est d'élaborer le registre obligatoire des activités de traitement. C'est l'occasion de constater que certains traitements sont effectués en double, que des données sont collectées inutilement et/ou conservées beaucoup plus longtemps que nécessaire, ou dans des fichiers non répertoriés au lieu de l'être dans un logiciel métier. Une remise à plat des traitements peut permettre de gagner du temps et de la place dans les archives « papier » comme dans le serveur, tout en respectant trois principes fondamentaux du RGPD que sont la minimisation des données, leur conservation limitée et des finalités déterminées.

L'information des personnes concernées

Les résidents et les personnels, principaux concernés en Ehpad, doivent savoir précisément quelles sont les données collectées, pour quelle durée et quelles finalités, mais aussi qui en sera destinataire, comment s'opposer à leur traitement ou demander leur effacement, obtenir une copie ou faire valoir leurs droits... La transparence est un principe fondamental du RGPD, et l'information en est le premier des droits. Ces valeurs sont essentielles pour établir la confiance. Le formulaire de « droit à l'image » par exemple se limite souvent à un accord binaire « oui/non », pour tous les usages. Or, les principes du consentement éclairé tels que définis dans le RGPD exigent de demander un accord par finalité. Certaines personnes acceptent une diffusion de leur image dans l'établissement et le journal interne, mais pas sur le site Internet ou les réseaux sociaux. Il est important aussi de fixer une durée de conservation des images... et de s'organiser pour la respecter !

La sécurisation des données, en particulier des données « sensibles »

Le responsable doit assurer la protection des données qui lui sont confiées, d'autant que l'Ehpad traite de nombreuses données dites « sensibles », comme les données de santé ou relatives à la vie privée. Bien sûr, le personnel est conscient du « secret professionnel », mais à l'heure du « tout numérique », il est particulièrement fragile si des mesures de sécurité appropriées ne sont pas mises en place. Il s'agit d'une obligation de moyens basée sur des mesures techniques : c'est l'occasion de faire le point avec votre informaticien sur vos sauvegardes, antivirus, pare-feu, mises à jour des logiciels et des systèmes d'exploitation, sécurité des accès extérieurs, etc. Mais aussi sur des mesures organisationnelles : gestion des habilitations et des droits d'accès (aux logiciels métiers, aux dossiers du serveur...), mots de passe « forts » (c'est-à-dire suffisamment complexes, uniques et conservés de manière sécurisée[2'), sensibilisation aux mails piégés (« hameçonnage »), messagerie sécurisée pour les données de santé, chiffrement des dossiers sensibles en particulier sur les supports amovibles, verrouillage automatique des sessions au bout de quelques minutes d'inactivité... Ces mesures sont simples et gratuites mais souvent négligées. Il ne faut pas non plus oublier de faire le point sur les mesures de sécurité physique basiques, concernant le serveur en particulier, ou la gestion des clés et des passes.

La protection des données, au coeur de la démarche qualité

Dans le référentiel d'évaluation de la qualité publié en mars 2022 par l'HAS, 6 critères impératifs sur 18 ont un lien avec la protection des données : respect du droit à l'image, respect de la vie privée et de l'intimité, confidentialité et protection des informations et des données, recueil et traitement des plaintes et réclamations, recueil et traitement des événements indésirables (comme les violations de données), plan de gestion de crise et de continuité des activités (il est plus que jamais indispensable de prévoir un volet numérique).

À cela s'ajoutent 4 critères standards : sensibilisation et/ou formation des professionnels à la connaissance des droits de la personne accompagnée, respect des règles de sécurisation des données, des dossiers et des accès, déploiement d'une stratégie numérique, sensibilisation et formation des professionnels aux outils numériques.