D’une manière générale, aucun secteur d’activité économique n’est encore totalement préparé à l’entrée en application du nouveau règlement européen sur la protection des données personnelles. La Commission nationale de l’informatique et des libertés (CNIL) a répété, à plusieurs reprises, que le 25 mai ne serait pas une date couperet. Cependant, les établissements et services sociaux et médico-sociaux ne doivent pas faire preuve de négligence sur ce dossier RGPD. Ils doivent démarrer dès à présent des actions. Leur priorité est d’être en capacité de démontrer qu’ils ont initié des actions et qu’ils ne sont pas au niveau zéro de la mise en conformité au 25 mai. Les plus réfractaires au RGPD devront se méfier, car ils encourent des sanctions financières très lourdes.
L’étape numéro 1 pour les responsables de structures du secteur social et médico-social est de se former pour comprendre les principes généraux du RGPD. Une des premières obligations édictées par le RGPD est la tenue d’un registre des traitements qui remplace la déclaration à la CNIL. C’est ce document qui prouvera la conformité de l’établissement ou du service en cas de contrôle de la commission. Le chantier doit donc commencer par la réalisation d’un audit a minima pour comprendre où la structure en est aujourd’hui en matière de protection des données personnelles. Cette analyse permet de recenser les différentes bases de données de l’établissement, d’obtenir un inventaire précis des données personnelles, ainsi qu’une cartographie des traitements. Cet état des lieux permettra de cerner les évolutions nécessaires à engager pour la mise en conformité avec le RGPD, de prioriser les mesures correctives et d’établir une feuille de route. Sur son site Internet, la CNIL donne quelques bonnes pratiques pour remplir ce document, ainsi qu’un modèle de registre de traitement.
Le secteur social et médico-social est traditionnellement un secteur où la transmission orale des informations occupe une place importante. Le RGPD sera une occasion de s’engager dans la transition numérique. Le principe d’« accountability » [obligation de démontrer le respect des règles relatives à la protection des données] du règlement, issu de la culture anglo-saxonne, change la donne, avec une responsabilisation plus forte des entreprises. Les établissements devront montrer patte blanche et prouver, noir sur blanc, qu’ils ont mis en œuvre toutes les procédures internes permettant le respect des règles relatives à la protection des données.
Le consentement de la personne concernée par le traitement des données personnelles doit être libre, explicite, éclairé et non équivoque. Il doit être recueilli au début de la relation contractuelle entre l’usager et l’établissement. Le consentement peut être recueilli selon des termes simples pour s’adapter à des personnes prises en charge (mineurs, personnes sous tutelle, personnes âgées dépendantes). Par exemple avec la création d’icônes, pour leur permettre de comprendre tout de suite. Pour les mineurs, le projet de loi « informatique et libertés » 2 prévoit d’abaisser de 16 ans à 15 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données. En dessous de cet âge, le consentement des parents sera nécessaire.
Le RGPD est une problématique transverse de l’entreprise nécessitant la mise en place de mesures organisationnelles, techniques et juridiques. Cela va forcer les personnels et les différents services à communiquer entre eux, et améliorer le contrôle qualité. Les Français sont sensibles à la protection des données personnelles. Trois ans et demi après l’instauration du droit à l’oubli par la Commission européenne, la France est le pays dont les citoyens y ont le plus recours. Selon une étude de Google, 20,4 % des demandes de déréférencement dans l’Union européenne viennent de l’Hexagone. Par ailleurs, le nombre de plaintes auprès de la CNIL pour atteinte aux règles de protection des données personnelles a augmenté. Dans ce contexte, la mise en application du RGPD est une occasion pour les établissements de renforcer la relation de confiance avec les usagers et les familles, d’être « dans les clous » avec la réglementation et d’assurer une confidentialité totale des dossiers des résidents.
« Un simple fichier Excel contenant des contacts constitue un traitement de données personnelles. Dans chaque ESSMS, parfois au sein d’une même entité juridique, chacun va développer ses propres outils de traitement de données. Combien existe-t-il de fichiers ? Quelles données contiennent-ils ? A quoi servent-ils ? Qui y accède ? A quel moment sont-ils détruits ? Etablir cette cartographie sera un cauchemar pour certains délégués à la protection des données (DPD). Dans certains cas, c’est le bazar. Et quand on informatise, c’est le bazar informatisé. Le RGPD est l’occasion pour les organismes gestionnaires d’inscrire en gros dans leur politique associative la protection des données personnelles comme un enjeu stratégique. Cette nouvelle réglementation est une formidable occasion d’acculturer le secteur social et médico-social à la transition numérique », considère Myriam Vallin, consultante au cabinet de conseil Handiness, consacré à la transition numérique du secteur médico-social.