contact@rgpd-sante.com | Lu–Ve : 9h–18h
Accueil Prestations Sensibilisation et formation RGPD

— Art. 39 RGPD & Accountability —

Former vos équipes au RGPD :
le maillon humain de la conformité

Les outils et les documents ne suffisent pas. La protection des données repose sur chaque personne qui les manipule au quotidien — de l'agent d'accueil au médecin. Une fuite de données causée par un comportement non formé engage la responsabilité de la structure.

Obligation d'accountability Art. 39 RGPD Toute l'organisation Adapté au secteur santé

L'obligation légale

Pourquoi la formation RGPD est une obligation, pas une option

Le RGPD ne prescrit pas de formation obligatoire sous ce terme — mais il impose au responsable de traitement de démontrer sa conformité (principe d'accountability, Art. 5.2) et au DPO de "sensibiliser et former le personnel" (Art. 39.1(b)). En pratique, toute structure qui ne forme pas ses équipes ne peut pas démontrer sa conformité.

Accountability

Démontrer la conformité : impossible sans formation tracée

Le principe d'accountability (Art. 5.2 RGPD) impose de pouvoir prouver que les obligations sont respectées. Former les équipes et en conserver la trace (attestations, supports, date) fait partie des preuves exigibles par la CNIL lors d'un contrôle.

  • Attestations de suivi conservées dans le dossier RH
  • Supports de formation conservés et datés
  • Registre des formations réalisées

Responsabilité humaine

La majorité des violations de données a une cause humaine

Email envoyé au mauvais destinataire, pièce jointe médicale partagée par erreur, mot de passe communiqué à un collègue, dossier oublié sur une imprimante… En santé, les erreurs humaines représentent la première cause de violations déclarées à la CNIL.

  • Phishing non détecté par un employé
  • Mauvais paramétrage de partage d'un document
  • Verbalisation d'informations patients dans un espace public

Responsabilité de la structure

L'absence de formation engage la responsabilité de la structure

Lorsqu'une violation est causée par un comportement non formé, la CNIL examine si la structure avait mis en place des mesures préventives. L'absence de formation est retenue comme circonstance aggravante dans les décisions de sanction.

  • Aggravation de la sanction en l'absence de prévention
  • Mise en demeure d'organiser une formation dans un délai contraint
  • Engagement de la responsabilité civile de la structure

Les publics cibles

Qui doit être formé dans votre structure

Toute personne qui traite — ou pourrait traiter — des données personnelles dans le cadre de ses fonctions doit recevoir une sensibilisation adaptée à son rôle. Le contenu et le format de la formation varient selon le niveau d'exposition et les responsabilités de chacun.

Professionnels de santé

Médecins, infirmiers, paramédicaux

Secret médical & RGPD, partage de données entre professionnels, droits d'accès des patients à leur dossier, signalement de violations.

Personnel administratif

Accueil, secrétariat, facturation

Manipulation des données d'état civil, des coordonnées et des informations de couverture maladie. Premier contact avec les demandes d'exercice de droits.

Référents informatiques

Administrateurs SI, référents outils

Gestion des habilitations et des accès, sécurité des postes de travail, détection et déclaration d'incidents de sécurité, HDS.

Direction & gouvernance

Président, directeur, conseil d'administration

Obligations légales du responsable de traitement, responsabilité en cas de sanction, pilotage de la conformité, nomination du DPO.

Intervenants extérieurs

Prestataires, bénévoles, stagiaires

Toute personne ayant accès à des données personnelles — même ponctuellement — doit recevoir une sensibilisation minimale et signer un engagement de confidentialité.

Chargés de coordination

Coordinateurs de parcours, gestionnaires de projets

Gestion des échanges de données entre professionnels, partage via messagerie sécurisée, accès aux outils partagés (agenda, DMP, outils de coordination).

Contenus de formation

Ce que doit couvrir une formation RGPD en santé

Une formation RGPD générique ne suffit pas pour le secteur de la santé. Les spécificités des données de santé, du secret médical, de l'hébergement agréé HDS et des droits des patients imposent un contenu adapté au contexte sanitaire et médico-social.

01

Les bases du RGPD appliquées à la santé

Qu'est-ce qu'une donnée personnelle ? Qu'est-ce qu'une donnée de santé ? Quelles obligations s'appliquent à votre structure ? Qui est responsable de quoi ?

  • Définitions clés et exemples concrets
  • Différence entre secret médical et RGPD
  • Les grandes obligations : registre, information, sécurité
02

Les droits des patients et comment y répondre

Droit d'accès, de rectification, d'effacement, de portabilité, d'opposition… Chaque membre de l'équipe peut être sollicité par un patient. Il doit savoir quoi répondre et à qui transmettre la demande.

  • Identifier une demande d'exercice de droits
  • Délais de réponse obligatoires (1 mois)
  • Procédure interne de traitement des demandes
03

Les bons réflexes de sécurité au quotidien

Mots de passe, messagerie sécurisée, partage de fichiers, postes de travail, impressions… La plupart des violations commencent par un geste anodin d'une personne non sensibilisée.

  • Ne jamais transmettre des données de santé par email non sécurisé
  • Messagerie sécurisée de santé (MSSanté)
  • Verrouillage des postes et gestion des habilitations
04

Reconnaître et signaler une violation de données

Chaque membre de l'équipe peut être le premier à détecter une violation (email mal envoyé, accès anormal, fichier disparu). Il doit savoir le reconnaître et le signaler immédiatement — le délai de 72h pour la CNIL commence dès que la structure "a connaissance" de la violation.

  • Qu'est-ce qu'une violation de données ?
  • Qui alerter en interne (DPO, responsable SI)
  • Ne pas minimiser ni différer le signalement
05

Les obligations propres au secteur santé

HDS, MSSanté, espace numérique de santé, DMP : les outils et obligations spécifiques au secteur sanitaire ont des implications directes sur les pratiques quotidiennes de tous les membres de l'équipe.

  • Obligation d'utiliser des outils agréés HDS pour les données de santé
  • Règles de partage via le DMP et la messagerie sécurisée
  • Consentement du patient pour l'alimentation de l'ENS
06

Engagement de confidentialité et clause dans le contrat

Tout membre de l'équipe accédant à des données personnelles — salarié, prestataire, bénévole ou stagiaire — doit signer un engagement de confidentialité. Sa valeur juridique dépend de sa précision et de son articulation avec le RGPD.

  • Clause de confidentialité dans les contrats de travail
  • Charte informatique signée par chaque utilisateur
  • Engagement spécifique pour les prestataires et sous-traitants

La formation doit être renouvelée régulièrement et systématiquement proposée lors de l'arrivée d'un nouveau membre de l'équipe. En cas de contrôle CNIL, l'absence de formation récente des équipes — même si une première session a eu lieu — peut être retenue comme manquement à l'obligation de sécurité.

Pour une formation vraiment adaptée

Pourquoi une formation générique ne suffit pas

Les modules RGPD génériques disponibles en ligne ne tiennent pas compte des spécificités du secteur de la santé, des outils utilisés, ni de votre organisation. Seul un intervenant qui connaît votre structure peut construire une formation réellement utile et défendable.

Ce qu'apporte une formation construite par votre DPO

Le DPO a pour mission légale de former le personnel (Art. 39.1(b) RGPD). Cette formation gagne en valeur et en efficacité lorsqu'elle s'appuie sur la connaissance précise de vos traitements, de vos outils et de votre organisation.

Partir de vos vrais cas d'usage — Une formation efficace cite vos outils (logiciel de coordination, DMP, messagerie sécurisée, logiciel RH…), vos scénarios de risque réels, et vos procédures internes. Un module générique ne peut pas faire ça.
Adapter le niveau à chaque profil — La directrice administrative, l'infirmière coordinatrice et le médecin généraliste n'ont pas les mêmes expositions ni les mêmes besoins. La formation doit être segmentée par profil pour être comprise et retenue.
Produire des preuves exploitables — Le DPO produit les attestations de formation, les listes de présence et les supports datés qui constituent les preuves d'accountability exigibles en cas de contrôle. Une formation sans traces documentées n'a aucune valeur probatoire.
Assurer la continuité dans le temps — Arrivée d'un nouveau salarié, évolution réglementaire, nouveau logiciel déployé : le DPO planifie les formations de mise à jour et garantit que la sensibilisation n'est pas un événement ponctuel mais un processus continu.

— Passez à l'action —

Une formation sur-mesure, tracée et efficace

RGPD Santé conçoit et anime les formations de sensibilisation de vos équipes — adaptées à votre structure, à vos outils et aux profils de vos collaborateurs. Chaque session produit les preuves d'accountability dont vous avez besoin.

Prendre rendez-vous → Voir nos prestations