En lançant le chantier RGPD, l’association Le Moulin Vert a bien l’intention de mettre fin à un « bazar » dans les données. « Notre premier objectif était de se mettre en conformité avec la réglementation. Le second, de saisir cette opportunité pour revoir complètement la gouvernance des données. Dans nos établissements, on a des dossiers partagés pour lesquels on ne sait plus très bien qui a accès à quoi, et où sont les données. Nous souhaitions donc profiter du projet RGPD pour faire le ménage dans les fichiers et mieux organiser les données. Ceci est d’autant plus nécessaire que les systèmes d’information se développent dans les établissements », explique Baptiste Foulon, directeur des systèmes d’information (DSI) de l’association.
En termes de méthodologie, Le Moulin Vert a choisi une approche sectorielle.
Le chantier de mise en conformité a démarré en 2019, avec les six Ehpad et le siège social, et se poursuivra en 2020 avec les établissements du champ du handicap, et en 2021, avec ceux de la protection de l’enfance. « Les métiers sont différents, donc les données sont différentes. Par ailleurs, dans les établissements du secteur du handicap et de l’aide sociale à l’enfance, il y a le déploiement actuel d’un logiciel pour les dossiers informatisés des usagers. Nous avons donc fait le choix de faire l’analyse RGPD par la suite », précise Baptiste Foulon. « Le projet RGPD n’est pas un chantier qui enthousiasme les foules. Mais l’argument qui fait mouche auprès des professionnels est de leur faire comprendre qu’il est de notre responsabilité vis-à-vis des usagers de ne pas faire n’importe quoi avec leurs données », ajoute-t-il.
La première étape du projet a consisté à cartographier les traitements et établir un registre des traitements. Objectif : recenser 80 % des traitements et fichiers de données personnelles. « Nous avons procédé de manière itérative, en allant voir chaque métier », précise le DSI. Cet inventaire permet de faire un grand nettoyage dans les fichiers inutiles, en doublons, non situés sur serveurs, les fichiers dont les données doivent être dans des logiciels. C’est un travail fastidieux. Ensuite, pour chaque fichier recensé contenant des données personnelles, sont indiquées la finalité du traitement, les personnes concernées (salariés, résidents…), la durée de conservation des données, les mesures de protection des données (accès sécurisé, restreint à une catégorie de professionnels). » L’étape suivante visait à regrouper ces traitements par activités, par processus métiers (gestion des parcours de soin des usagers, gestion administrative des usagers, des salariés, gestion de la paie, gestion du temps, gestion des risques…).
Résultats : deux Ehpad sur six et le siège ont mené à bien la démarche. Le recensement a été l’occasion de revoir l’organisation des dossiers partagés. Après cela, les professionnels ont été sensibilisés aux problématiques RGPD. En revanche, quatre Ehpad sur six n’ont pas réalisé le travail en raison d’un manque de mobilisation des équipes encadrantes. « La direction commune à ces quatre établissements n’est pas très sensible au RGPD. Par ailleurs, ce projet s’inscrit dans un contexte chargé au niveau des obligations réglementaires, notamment avec le contrat pluriannuel d’objectifs et de moyens. Nous avons décidé de procéder à l’inverse, et de prendre la cartographie des traitements pour définir une nouvelle arborescence des dossiers partagés », explique Baptiste Foulon.
L’association Le Moulin Vert est gestionnaire de 50 établissements et services répartis sur quatre régions (Bretagne, Hauts-de-France, Ile-de-France et Normandie).