RGPD : Ce qui change pour les ESSMS !

1024 688 Info Logi Santé
  • 22

Le 25 Mai 2018, le RGPD (Règlement Général relatif à la Protection des Données) est entré en vigueur. Ce texte, voté au niveau européen, a pour objectif d’actualiser et d’harmoniser les législations des Etats-membres face aux nouvelles technologies, afin d’aboutir à des pratiques communes, sûres et protectrices des droits et libertés en matière de gestion de données personnelles.

Concernant les établissements sociaux et médico-sociaux, le RGPD pose de nouvelles obligations en matière de gestion des risques, afin d’améliorer la qualité et la gestion des soins. Il s’intègre aux procédures de conformité de l’établissement, notamment dans le cadre de la gestion des risques de sécurité de l’information.

Traitement de données à caractère personnel : de quoi parle-t-on ?

Selon le RGPD, est considérée comme «données à caractère personnel», « toute information se rapportant à une personne physique identifiée ou identifiable ».

Par exemple, on considère que sont des données médicales les données suivantes : nom, numéro d’identification,  identifiant en ligne, éléments spécifiques propres à une identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Exemples : fichier patient, dossier médical, fichier RH, fichier fournisseurs, contact pour lettre d’information…

Selon le RGPD, on parle de «traitement» lorsque l’on procède de manière automatisée à la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de données à caractère personnel.

Qui est concerné ?

Une des nouveautés du RGPD réside dans la notion de « responsabilité conjointe » en matière de traitement de données : le texte vise tous les  organismes traitant des données personnelles, dans le cadre d’un service ou d’une prestation.

Tous les établissements et services sociaux ou médico-sociaux manipulant des données numériques relatives à l’accompagnement de leurs usagers sont donc concernés, mais sont également concernées toutes les sociétés sous-traitant des activités impliquant le traitement de données personnelles pour ces établissements (comme Info-Logi-Santé, prestataire de services informatiques, par exemple).


C’est dans ce cadre, lorsque le traitement de données est porté par deux responsables (ou plus) qui déterminent conjointement les finalités et les moyens du traitement, qu’une responsabilité conjointe a été instituée. Elle implique qu’un accord définissant les rôles respectifs de chaque responsable soit convenu (un contrat de prestation de service par exemple), et implique également que chacun des responsables se conforme aux dispositions réglementaires.

Pour le sous-traitant, des obligations spécifiques existent : s’il doit assurer la sécurité et la confidentialité des données qui lui sont confiées, il doit également conseiller et accompagner son client dans sa démarche de conformisation RGPD.

Quelles obligations doivent être respectées ?

Le RGPD a en partie modifié vos obligations relatives à la protection des données de santé de vos usagers, résidents, agents…

De façon générale, un établissement doit respecter les principes de protection des données de santé (finalité, pertinence et proportionnalité, conservation limitée, sécurité et confidentialité et respect des droits des personnes). L’établissement doit également adapter ses procédures à l’entrée en vigueur du RGPD.

Notamment, l’établissement doit :

  • Tenir une documentation interne, décrivant les traitements mis en œuvre et les mesures de mise en conformité de ces traitements. 

Cette documentation est notamment formalisée par le « registre des activités de traitement ».

  • Désigner un délégué à la protection des données (DPD ou DPO) dans une majorité de cas. 

Les établissements publics sont tous concernés par cette obligation, tandis que les établissements privés sont potentiellement concernés, selon qu’ils mettent ou non en œuvre un traitement de données sensibles « à grande échelle ». La mutualisation d’un DPD entre plusieurs établissements est possible.

  • Assurer le respect des droits des personnes. 

Le RGPD renforce les droits traditionnels des personnes concernées par un traitement (droit à l’information sur le traitement, droit d’accès, de rectification, de suppression, ou encore droit d’opposition pour motif légitime).

De nouveaux droits sont prévus, notamment le droit à la portabilité des données et le droit à l’oubli, qui nécessitent parfois des fonctionnalités spécifiques à prévoir dans les systèmes d’information de l’établissement.

  • Réaliser une analyse de l’impact du traitement de données.

Cette analyse doit porter tant sur les risques sécurité et technique que sur les risques juridiques pour les personnes.

  • Porter une attention particulière à l’encadrement contractuel des prestations des tiers fournisseurs de service.

Dès que l’établissement a recours à un prestataire de service dont la prestation implique le traitement des données de santé, il doit signer avec le prestataire un contrat (ou, le cas échéant, passer un marché public) décrivant précisément le contenu des prestations. Dans le cas où l’établissement n’est pas maître des moyens de travail mis à sa disposition (solutions de type progiciel ou Saas, fournies « telles quelles » par le prestataire), il doit autant que possible inclure dans le contrat avec son prestataire des clauses garantissant que celui-ci respecte les principes de la loi Informatique et Libertés.

  • Mettre en place des procédures permettant de garantir la sécurité et la confidentialité des données.

Cela dans le respect de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), et de respecter les obligations liées à la conservation des données (fixer une durée de conservation, organiser les modalités d’archivage, assurer la capacité de restitution des données de santé).

  • Signaler auprès de la CNIL des incidents de sécurité impliquant des données personnelles.

Cette obligation s’ajoute à l’obligation préexistante de signalement des incidents de sécurité des systèmes d’information de santé prévue à l’article L.1111-8-2 du code de la santé publique.

Votre établissement doit donc :

  • Disposer d’un registre des activités de traitements ;
  • Disposer d’un délégué à la protection des données ;
  • Assurer le respect des droits des personnes ;
  • Avoir réalisé une analyse de l’impact du traitement des données ;
  • Avoir assuré la sécurité de ses relations contractuelles ;
  • Avoir mis en place des procédures garantissant la sécurité et la confidentialité des données ;
  • Prévoir le signalement de tout incident de sécurité.

Il doit au surplus pouvoir démontrer que sa politique de sécurité était suffisamment conforme aux dispositions du RGPD. Cela implique, au-delà des obligations susmentionnées, que soient réalisés des tests, des audits de sécurité (ex : simulations de hacking, d’attaques diverses sur le système afin de démontrer sa sécurité).

Pour rappel, en cas de non-conformité à la réglementation précitée, les sanctions édictées peuvent aller jusqu’à 20 000 000 euros ou 4% du chiffre d’affaires mondial.

Pour plus d’informations, consultez :

  • Le site de la CNIL 
  • Le texte du RGPD 

Rémi Boury : @JuristeSanté INFO LOGI SANTE