Le parcours santé d’aujourd’hui est numérique, et le secteur médico-social emboîte le pas du sanitaire pour entrer dans la démarche de l’hébergement et de l’accueil digitalisés.

Quelque peu délaissé  par l’évolution du digital au cours de ces  dernières  années, le secteur médico-social doit s’appuyer sur les bons outils pour renforcer ses moyens humains, techniques, matériels ou encore financiers, afin de garantir un parcours santé de qualité aux personnes âgées ou en situation de handicap prises en charge.

Avec le numérique et les lignes directrices prometteuses de « Ma Santé 2022 » ou du PLFSS pour 2019, les différentes structures sont en voie d’évolution et doivent être accompagnées dans leur révolution !

Si le règlement général sur la protection des données (RGPD) a, de manière assez globale, pu être parfois perçu comme une contrainte par le secteur médico-social, celui-ci est, bien au contraire, un outil facilitateur pour répondre aux exigences du numérique.

Constaté également par les responsables des systèmes d’information, il apparaît nécessaire et urgent de pouvoir former, non seulement les directions, mais également l’ensemble des personnels de santé qui participent à la vie de l’établissement, à ces problématiques et d’identifier les enjeux.

Le partage de connaissances et les compétences complémentaires doivent être mis en avant. L’ensemble des acteurs doit être mobilisé, des étudiants en santé, aux étudiants aspirants aux fonctions de directeurs d’établissement social, sanitaire et médico-social, du personnel aux résidents, ainsi qu’aux aidants.

Faire participer toutes les parties prenantes du secteur médico-social permettra, à terme, d’atteindre une gestion cohérente de la protection des données et facilitera l’entrée des objets connectés dans les structures.

« Contraintes financières, manque de budget, incompréhension des textes, absence d’investissement des directions, réduction de personnel, inégalités territoriales… »

Il devient ainsi nécessaire de se demander dans quelles mesures le médico-social est concerné par le RGPD et quelles conséquences pratiques peut-il en tirer, notamment quant à la désignation du Délégué à la Protection des Données (DPD ou DPO) conformément aux articles 37 à 39 du Règlement. Les avancées digitales marquent le point d’entrée pour consolider la protection des données traitées dans les structures du médico-social.

Le secteur médico-social concerné par la nouvelle réglementation européenne

Face aux cyberattaques, à la multiplication des plaintes auprès de la CNIL, à la menace de lourdes sanctions financières, et aux exigences prévues par les textes[1] (RGPD, LIL 3, directive NIS), les professionnels de médico-social doivent apprendre à utiliser les outils mis à leur disposition.

Souffrant d’un retard dans la digitalisation des pratiques, et d’une lente informatisation, les projets de mise en conformité au RGPD sont l’occasion de réviser les processus qui traitent des données à caractère personnel et de prioriser les chantiers à mettre en œuvre.

Le RGPD permet aux établissements de prendre conscience de l’importance, à tous les niveaux d’une structure, d’une association ou d’une fédération, de la protection des données à caractère personnel, et particulièrement, les données de santé.

Grâce à l’expertise du Délégué à la Protection des Données (DPD ou DPO), une cartographie des traitements de données pourra être réalisée en vue de construire le registre prévu par l’article 30 du RGPD.

Le DPO, indépendant et autonome, ne doit pas être regardé comme une fonction d’inspection, mais d’accompagnateur et de régulateur dans les relations que l’établissement entreprendra avec l’autorité de contrôle, la CNIL, et ses sous-traitants éventuels.

Le rôle du DPO est ici primordial et doit être souligné. Il est considéré comme la pierre angulaire de la gestion de la protection des données. La mutualisation d’un DPO externe à l’établissement apparaît comme une solution pertinente au regard des enjeux financiers du médico-social.

Désigné pour intervenir de manière opérationnelle auprès des équipes et alerter les acteurs décisionnels des établissements, le DPO travaille dans une démarche d’amélioration continue. Déjà souligné par les professionnels de la sécurité des systèmes d’information[2], le RGPD n’est autre qu’un outil de démarche qualité. En effet, le changement de paradigme initié par le texte européen, prévoit une approche par les risques, qui doit ainsi fonctionner selon une logique et une méthodologie « PDCA – roue de Deming ».

Le DPO doit agir en support auprès des directions et c’est la raison pour laquelle il peut être opportun de faire appel à un intervenant extérieur, qui aura l’avantage d’apporter un œil nouveau et complémentaire sur la gestion des systèmes d’information, et de la protection des données en général. Comme dans le secteur sanitaire, le DPO du médico-social doit avancer en étroite liaison avec les différentes directions des établissements.

Si les plaintes auprès de la CNIL ont largement augmenté depuis le 25 mai 2018, le secteur du médico-social ne doit pas s’affranchir d’une telle démarche et savoir s’entourer pour une mise en conformité de qualité afin d’éviter toute mise en demeure de la CNIL.

En juin 2018, un hôpital portugais a fait l’objet d’une lourde sanction financière d’un montant de 400 000 €. Il a été condamné par l’autorité de contrôle nationale (Comissão Nacional de Proteção de Dados – CNPD) pour manquement au RGPD. Le CNPD a constaté une violation des principes d’intégrité et de confidentialité des données, une violation au principe de limitation d’accès aux données et l’incapacité pour le responsable de traitement (l’hôpital) à garantir l’intégrité des données. Dans les faits, le CNPD constate des défaillances en termes de gestion des comptes et des habilitations pour l’accès au dossier patient informatisé (DPI), et le fait que l’établissement était au courant de ces agissements.

Il est urgent de prendre conscience de l’obligation d’entrer dans la démarche !

Il est ainsi recommandé aux établissements de faire appel à un DPO qui est en mesure d’appréhender non seulement les aspects techniques (audit technique des systèmes d’information, langage IT, lien avec les opérationnels), mais aussi d’analyser finement les aspects du pilier juridique relatif à la protection des données, celui-ci revêtant de nombreuses subtilités du fait de la superposition des textes européens et nationaux. Le DPO aura également pour mission d’apporter une attention particulière aux arrêtés et décrets, ainsi qu’aux référentiels et délibérations de la CNIL[3]  qui pourront entrer en vigueur prochainement.

Les conséquences pratiques de l’accompagnement à la mise en conformité

Les données à caractère personnel font désormais partie intégrante de l’identité d’une personne physique et font l’objet d’une réglementation stricte.

Si le RGPD sonne le glas des déclarations préalables, il est alors obligatoire d’opérer un travail de fond en amont, et de réaliser une « auto-déclaration », c’est-à-dire la constitution d’un dossier de conformité.

Avec le changement de paradigme initié par l’entrée en vigueur du RGPD en mai dernier, il est désormais obligatoire de constituer un registre contenant l’ensemble des traitements de données à caractère personnel. L’architecture de ce registre ne peut être dupliquée entre les établissements. Chaque registre est unique, il est construit en fonction des spécificités de chacun et le DPO s’assure d’une bonne gestion de ce document.

Le registre permet aux établissements de se conformer au RGPD, en triant et en documentant. Le DPO agit en vue d’intégrer le volet protection des données à tous les niveaux : personnel, direction, résidents, aidants, proches et famille, prestataires. Pour être conforme, il convient de vérifier les contrats de sous-traitants, mais également les documents remis aux résidents, tel que le livret d’accueil, et d’y intégrer la dimension protection des données.

L’un des grands objectifs de la nouvelle réglementation européenne est le respect des droits des personnes concernées en cas de violation des données à caractère personnel. Cet enjeu, dans le cadre de la protection des données, peut également être mis en parallèle avec le respect des droits des usagers auquel s’attachent déjà les professionnels de santé, les qualiticiens ou encore les représentants des usagers. En effet, si la protection des données à caractère personnel des résidents était considérée comme un droit de l’usager, alors les efforts des acteurs seraient inéluctablement accentués.

A l’occasion du travail de sensibilisation des établissements et de cartographie de leurs traitements, il est recommandé aux structures médico-sociales d’être particulièrement vigilantes quant aux politiques d’archivage, de conservation des données et de gestion des habilitations. Ces problématiques sont notamment liées à l’usage encore considérable du papier, par manque de moyens consacré à l’informatique dans le champ médico-social, mais également à la « culture par service » (une culture adoptée par chaque service, en silo) qui demeure.

Ces étapes de mise en conformité sont l’occasion pour les établissements de réviser les processus et de (re)-mettre au goût du jour leurs valeurs en matière digitale.

Innovations numériques au service du médico-social et protection des données

Les objets connectés se développent à une très grande vitesse qui n’est pas toujours perçue par les établissements médico-sociaux.

Le RGPD et son exigence de protection des données à caractère personnel dans les structures implantées sur le territoire de l’Union européenne renforcent par conséquent les liens de confiance qui ont vocation à être établis entre un fournisseur de solution digitale pour l’amélioration du quotidien des résidents et l’établissement lui-même.

Cette confiance s’explique notamment par la contractualisation au cours de laquelle le responsable de traitement, par exemple, un EHPAD, et le sous-traitant, un fournisseur de l’innovation numérique, devront intégrer des clauses relatives à la protection des données à caractère personnel. Par ailleurs, se posera nécessairement la question de l’hébergeur de données de santé, qui est, depuis ce début d’année 2018, soumis à une obligation de certification[4].

Le dossier résident informatisé est également un outil sous-utilisé au sein des EHPAD et doit, dans le respect des différentes sources de réglementation, être développé sur l’ensemble du territoire.

L’un des enjeux majeurs des EHPAD est notamment lié à l’utilisation des données issues des systèmes de vidéosurveillance, pour lesquels une réflexion sur la vie privée, la maltraitance et les précautions à prendre semble nécessaire à mener.

On note une volonté certaine des entreprises des technologies de l’information et de la communication pour déployer de nouveaux logiciels, et des applications innovantes au service tant des établissements de santé que des établissements du médico-social. Des verres d’eau connectés pour contrôler l’hydratation, aux lunettes de réalité virtuelle permettant aux résidents de s’évader sur les plages paradisiaques ou au milieu des Alpes enneigées, l’univers du numérique n’a de cesse d’améliorer le quotidien des usagers, patients et résidents de notre système de santé.

Le champ médico-social doit prendre la main sur sa conformité et entrer dans la démarche pour atteindre les objectifs de protection des données prévus par le RGPD.

Il doit devenir un acteur incontournable du parcours santé des citoyens français et européens, investir dans la numérisation des pratiques et avancer dans la même direction que le sanitaire pour protéger les données à caractère personnel de chaque individu.

[1] Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ; Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2018-493 du 20 juin 2018 ; Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.

[2] DSIH « RGPD : un an après », Cédric Cartau, 13 novembre 2018

[3] Dernière délibération en date, la liste des traitements qui doivent faire l’objet d’une analyse d’impact – Délibérations n° 2018-326 (lignes directrices) et n° 2018-327 (liste des traitements) du 11 octobre 2018.

[4] Décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel