Les EHPAD sont amenés à traiter un grand nombre de données dans le cadre de leurs missions. Ils traitent notamment :
- Les données personnelles des résidents (nom, prénom, date de naissance, lieu de naissance, etc.)
- Les données médicales par l'intermédiaire des infirmiers ou médecins coordinateurs salariés (prise de médicaments, allergies, antécédent médiaux, etc.)
- Les données personnelles des salariées (recrutement, RH, fiches de paies, représentant du personnel, etc.)
- Des images de vidéosurveillances
- Etc.
L’EHPAD se doit donc de se conforter aux cadres législatifs et règlementaires sur la protection des données personnelles (notamment la loi informatique et libertés et le règlement général à la protection des données personnelles.).
Les obligations RGPD des EHPAD
Les EHPAD ont certaines obligations en matière de protection des données par exemple :
- Un registre des traitements à jour de l’ensemble des traitements des données personnelles réalisés dans l’établissement.
- Un registre des sous-traitants à jour.
- Un registre des violations des données personnelles qui reprend tous les incidents et violations de données personnelles survenues dans l’établissement.
- Une politique de formation et sensibilisation du personnel de l’établissement.
- Un affichage des traitements des données personnelles effectués dans l’établissement à destination des résidents et les modalités d’exercice de leurs droits.
- Si l’EHPAD possède un site internet : une politique de confidentialité du site internet.
- Etc.
La réalité du terrain
En pratique, les EHPAD ne sont souvent pas en capacité en interne de répondre aux obligations prévues dans le cadre de la règlementation. Cette difficulté s’explique par la complexité et la spécialisation nécessaire pour répondre de manière efficace à la conformité en matière de protection des données. Les directions d’établissement n’ont généralement ni le temps, ni la compétence technique nécessaire pour mettre en place ce type de conformité.
Le délégué à la protection des données de l'EHPAD
Le dPO est-il obligatoire en EHPAD ?
Les EHPAD publics :
S’il s’agit d’un EHPAD public, la réponse est “OUI“. L’ensemble des organismes publics doivent désigner un délégué à la protection des données pour se conformer au RGPD. L’article 37 du RGPD précise :
Les EHPAD privés :
Pour être une obligation légale, un EHPAD privé doit répondre à deux critères prévus par l’article 37 alinéa 1, c) du RGPD :
“1. Le responsable de traitement et le sous-traitant désignent en tout état de cause, un délégué à la protection des données lorsque :
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories de données particulières visées à l’article 9; […].”
Il faut donc remplir deux conditions dans le privé pour avoir l’obligation de nommer un délégué à la protection des données :
1) Un traitement à grande échelle : ça peut être le cas dans les EHPAD qui traitent un volume de données très important (données de santé, données du quotidien, etc.) sur de longues années puisque les résidents peuvent rester dans le même établissement jusqu’à des décennies et chaque jour l’EHPAD collecte des informations sur chaque résident ce qui entraine une masse importante de données.
2) Un traitement de données sensible : le traitement de données de santé (pathologie, prise de médicament, suivi, etc.) et à lui seul une donnée sensible.
La désignation du DPO s’effectue sur le site de la CNIL et la base de données nationale des désignations des DPO est présente sur le site data.gouv.fr.