Il n’est pas du tout adapté au médico-social. Les grands principes sont décrits, mais c’est notoirement insuffisant. Il concerne des organisations structurées de façon simple. Dans le médico-social, les établissements sont souvent gérés par des associations qui ont des pratiques totalement différentes. Lorsqu’on a besoin des données de santé pour prendre en charge quelqu’un, il ne peut pas s’opposer à ce traitement. Le guide précise bien qu’une analyse approfondie de la réglementation est nécessaire pour mettre en œuvre le RGPD. Retour à la case départ.
La grande question dans le médico-social, c’est comment on va acculturer les équipes au numérique. Les investissements tournent autour de 0,5 % à 1 % alors que dans la plupart des autres entreprises, on est plus entre 5 % et 10 %. Et les formations de base du secteur ne permettent pas d’acquérir cette culture.
On peut dire qu’il y a grosso modo trois cas de figure. Un tiers des structures ont bien anticipé, elles ont souvent déjà mis en place un correspondant « informatique et libertés » afin de répondre aux contraintes de la loi de 1978. Un tiers d’entres elles commencent à prendre la mesure de ce qu’il faut faire, et, pour le dernier tiers, elles se demandent encore comment elles vont pouvoir y échapper.
On a parfois l’impression que l’information s’arrête aux portes des établissements médico-sociaux. Avec le battage médiatique, beaucoup de rumeurs se répandent. La Commission nationale de l’informatique et des libertés va laisser le temps à ceux qui auront engager les démarches de se mettre en conformité. Elle a indiqué que les traitements de données initiés après le 25 mai devront faire l’objet d’une étude d’impact sur la vie privée, mais que les structures ayant initiés ces traitements avant le 25 mai auront un délai de trois ans. Certaines personnes pensent alors qu’elles ont trois ans pour mettre leur structure en conformité, ce qui est faux.
Beaucoup risquent de se mettre en ordre de marche vers septembre, ce qui n’est pas forcément très grave tant que la démarche a été initiée avant. Mais si la CNIL constate au deuxième passage que rien n’a été fait, cela finira mal. Il faut mener une véritable conduite du changement.
L’effort de communication à l’intérieur des structures doit être important et les directions générales doivent s’engager. Lorsqu’une équipe est constituée en interne pour mener ce chantier, elle doit en avoir les moyens, cela ne doit pas être une mission parmi d’autres. Cette culture de protection des données doit être intégrée à la politique de gestion des risques.
C’est une véritable opportunité d’acculturer le secteur au numérique, on met en route une démarche d’amélioration continue. Pendant longtemps, on a raisonné en termes d’outils dans la santé. Maintenant, il faut raisonner en termes de systèmes d’informations, en prenant en compte le parcours d’une information utilisée tout au long de la vie de l’individu. Cela va permettre de rationaliser les données avec une circulation de l’information plus fluide et donc plus efficiente. Pour prendre un exemple que je connais bien, la structuration du secteur du handicap en tuyaux d’orgue fait qu’il est actuellement incapable de faire réellement remonter ses besoins, les maisons départementales des personnes handicapées qui ne se sont pas encore dotées d’un outil unique l’illustrant bien.
Membre de l’Association française des correspondants à la protection des données à caractère personnel (AFCPDP), Myriam Vallin a développé une offre d’accompagnement personnalisée en fonction des nécessités du secteur médico-social chez Handiness.
Une double culture acquise grâce à des études sur les politiques du handicap à Sciences Po et un DESS Audit comptable juridique et fiscal. Elle a d’ailleurs occupée différents postes de direction dans le médico-social, administratif et financier ou des systèmes d’informations.