Un casse-tête ? Une usine à gaz ? Une nouvelle couche au millefeuille réglementaire ? A l’instar de l’ensemble des entreprises publiques ou privées, les établissements et services sociaux et médico-sociaux (ESSMS) devront être en conformité avec le règlement général sur la protection des données (RGPD) – Et ses 99 articles – au 25 mai 2018. C’est donc la dernière ligne droite pour engager ce chantier imposé par l’Union européenne. Un chantier que les ESSMS, déjà soumis, au fil des années, à une inflation normative, retardent, rechignent ou redoutent à lancer.
« Un grand nombre d’entreprises françaises ne seront pas prêtes à cette échéance. Mais la présidente de la Commission nationale de l’informatique et des libertés [CNIL] a déclaré qu’il y aurait de la souplesse en matière de contrôles en 2018 », rassure David Luponis, spécialisé en cybersécurité et en sécurité des systèmes d’information, associé au cabinet d’audit et de conseil Mazars. « La priorité est de démontrer à la CNIL que le sujet RGPD est en cours de traitement », ajoute-t-il.
Chaque jour, les ESSMS collectent, traitent, partagent et stockent de nombreuses données à caractère personnel sous formats papier et numérique (données de ressources humaines, données sur les résidents-usagers, les bénévoles, les partenaires) et des données sensibles telles que les données de santé. Avec le RGPD, protéger les données personnelles des résidents, des mineurs, des salariés devient un enjeu majeur. « Le RGPD n’arrive pas sur un terrain vierge, sur une lune stérile où tout serait à construire. Il ne fait que reprendre la plupart des principes et préceptes existants dans la loi “Informatique et libertés” tout en renforçant les droits des personnes sur le volet de l’information et du consentement », souligne Pascal Lefebvre, consultant dans les secteurs du médico-social et de l’action sociale du cabinet Lefebvre-Conseils.
« Les établissements médico-sociaux sont déjà sensibilisés aux problématiques de confidentialité des données de leurs résidents et de cybersécurité. Mais avec l’entrée en application de ce règlement européen, le niveau d’obligations auquel ils seront soumis sera sensiblement renforcé. Ils devront mettre en place des mesures de protection des données appropriées et démontrer à tout moment qu’ils sont en conformité avec la législation, tout comme leurs sous-traitants », explique David Luponis.
En dépit de leurs craintes et de leurs réticences, les ESSMS ont tout à gagner à prendre très au sérieux la mise en œuvre du RGPD et à l’inscrire au rang de leurs priorités de 2018. En effet, si la loi « Informatique et libertés » se basait sur du déclaratif initial et des contrôles ponctuels de la CNIL, la philosophie du nouveau règlement européen est résolument tournée vers la responsabilisation des entreprises (principe d’« accountability »). En clair, il appartiendra aux gestionnaires d’ESSMS de prendre toutes les mesures organisationnelles, techniques et juridiques requises pour garantir la conformité du traitement des données personnelles et de pouvoir le démontrer… à tout moment.
« Pour les établissements qui traitent des données sensibles, la notion de confidentialité sera davantage renforcée. Pour se mettre en conformité avec le RGPD, ils devront franchir non pas une mais deux marches. Enfin, l’exigence sera accrue et des attentes plus élevées pour les structures qui traitent des données sur les mineurs », avertit Laetitia Rault, senior manager au cabinet Mazars. « Comme tout projet de mise en conformité, le RGPD demandera du temps. Il faudra compter entre 18 et 24 mois pour créer ou réorganiser des procédures internes garantissant la protection des données, mettre en place une politique de sensibilisation et de formation du personnel aux règles de sécurité et de confidentialité. Ce temps sera nécessaire pour inscrire ces nouvelles pratiques professionnelles dans les mœurs. Ce d’autant plus que, dans le secteur social et médico-social, il y a un fort taux de turn-over du personnel », ajoute-t-elle.
Pour Pascal Lefebvre, le règlement général sur la protection des données doit être perçu non comme une contrainte de plus dans l’agenda des directeurs, mais comme une chance. « Les directeurs d’établissements et services doivent avoir clairement conscience de la relation d’interdépendance qui existe entre les traitements de données personnelles et la garantie de l’effectivité des droits fondamentaux des usagers. Le droit à l’information fait partie de la Charte des droits et des libertés de la personne accueillie. La protection de la vie privée est un axe de la bientraitance, c’est un droit de l’usager que de voir protéger ses données personnelles et c’est un bénéfice éthique pour les professionnels du secteur social et médico-social », argumente-t-il. Ces enjeux justifient l’effort de mise en conformité que les établissements du secteur social doivent fournir.
Le règlement général sur la protection des données (RGPD) donne une place primordiale à un nouvel acteur en matière de protection des données à caractère personnel : le délégué à la protection des données (ou DPD), plus couramment désigné en anglais sous les termes « data protection officer » (DPO). « Le DPO est le chef d’orchestre, c’est à lui de mettre cette gestion des données à caractère personnel en musique », explique David Luponis, spécialisé en cybersécurité et en sécurité des systèmes d’information, associé au cabinet d’audit et de conseil Mazars. Le DPO a pour mission de s’assurer que l’établissement ou le service respecte la réglementation en matière de protection des données personnelles. Il assiste les responsables des traitements et les autres employés impliqués en les informant, en les conseillant, et aussi en « contrôlant » la mise en œuvre de leurs fichiers. Il sera le premier relais de l’organisme de contrôle, la Commission nationale de l’informatique et des libertés (CNIL) au sein de l’établissement.
Quel est le profil idéal pour ce nouvel acteur ? Selon l’article 37.5 du RGPD, le délégué doit être désigné « sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ». Le DPD/DPO ne peut pas être le directeur des systèmes d’information (DSI), car il serait à la fois juge et partie de son action, ce qui serait inacceptable déontologiquement. La direction générale qui est déjà désignée par les textes comme le responsable de traitement des données ne peut également pas remplir cette fonction.