Opportunité ou contrainte ? Avec le règlement général de la protection des données entré en vigueur depuis le 25 mai 2018, les organismes publics et privés du secteur social et médico-social doivent repenser la façon dont ils collectent, traitent, partagent et conservent les données à caractère personnel des salariés et des personnes accompagnées. De prime abord, le chantier de mise en conformité avec le règlement européen, avec ses nouvelles exigences et obligations, peut être perçu comme une contrainte supplémentaire, une importante charge de travail pour les établissements sociaux et médico-sociaux (ESMS) mais il est aussi et surtout une opportunité de repenser le flux d’informations. « Derrière ce respect de la réglementation, il y a avant tout la question de la protection des personnes et de leur vie privée. Les valeurs qui sont derrière le texte RGPD sont convergentes avec les valeurs du secteur. La bientraitance des personnes que l’on accompagne passe aussi par la manière dont on traite les données à caractère personnel dans nos organisations », a souligné Renaud Perdrix, directeur opérationnel de Ressourcial, lors d’une journée d’étude organisée, le 28 mars, à Aix-en-Provence (Bouches-du-Rhône). « Cette obligation, qui était au départ un élément technique, est devenue au fur et à mesure pour les associations une manière de se saisir de la gestion de la donnée comme étant un élément clé en matière de droits des usagers et de droits des salariés », reconnaît également Marie Aboussa, directrice du pôle « gestion des organisations » à Nexem.
« Le RGPD dans le secteur social et médico-social a agi comme un stress-test [test de résistance] qui vient interroger les organisations dans leurs responsabilités. Il invite à réfléchir à la manière dont l’information circule à l’intérieur, vers l’extérieur, à la manière dont les organisations sont conformées pour ce faire, et potentiellement il peut révéler des fragilités, des chantiers inaboutis. Il représente une opportunité pour les organisations de se penser, de réfléchir à ce qui fonctionne bien, à ce qui fonctionne moins bien », poursuit le directeur opérationnel de Ressourcial. Pour Renaud Perdrix, les organisations du secteur ne doivent pas appréhender la mise en conformité au RGPD « comme un blindage juridique face à un risque de contrôle de la CNIL [Commission nationale de l’informatique et des libertés], mais d’abord et avant tout comme une occasion de réfléchir à la manière d’être plus souples, plus efficaces, plus fluides pour pouvoir servir les missions d’accompagnement de personnes vulnérables. »
Comme le souligne Aurélie Banck, juriste en protection des données, si le champ du social et du médico-social a un sens accru de la confidentialité et du secret de l’information, il affiche, en revanche, une faible culture du digital et de la sécurité des données. Les enjeux de la mise en conformité avec le RGPD sont d’autant plus forts que le secteur collecte et traite un grand nombre de données personnelles parmi lesquelles des données sensibles telles que les données de santé, des données relatives à des infractions ou des condamnations ou des mesures de sûreté, et des données concernant des publics vulnérables (personnes âgées, enfants, personnes placées sous mesure de protection juridique). « En ESMS, plusieurs personnes de différents services sont susceptibles de traiter des données personnelles : le directeur de l’établissement, les professionnels administratifs, hôteliers, techniques, de santé, d’animation, d’accueil, ainsi que le responsable informatique et les prestataires avec qui l’établissement échange des données. Dans un contexte de fluidité du parcours patient, de développement du numérique en santé, de l’essor de l’interopérabilité des systèmes d’information, de déploiement des structures de coopération et de décloisonnement entre les professionnels, on fait face à une multiplication des acteurs collectant, traitant, échangeant et accédant aux données personnelles en santé. Pour autant, force est de constater que plus il y a d’acteurs concernés, plus il y a de risques de divulgation de l’information », rappelle la Fédération hospitalière de France(1).
Le RGPD fait du délégué à la protection des données, plus connu sous les initiales DPO (Data Protection Officer), la pierre angulaire du dispositif de conformité, le pilote de la gouvernance des données personnelles. La désignation d’un DPO est obligatoire pour les organismes publics et dans le cas où les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions. La fonction du DPO consiste à informer les collaborateurs, à contrôler et vérifier la mise en œuvre du RGPD pour une organisation et pour ses sous-traitants. « Le DPO est le chef d’orchestre. Il met en musique la conformité. Dans le secteur social et médico-social, il n’y a pas de question à se poser, vous allez avoir besoin d’un DPO ! », indique Alexandra Guérin-François, experte indépendante spécialisée en protection des données. Le statut du délégué à la protection des données répond à plusieurs caractéristiques : l’indépendance, c’est-à-dire sa capacité à émettre ses conseils sans avoir d’instructions ; son rattachement au niveau le plus élevé de la structure (directeur, directeur général…), la nécessaire absence de conflits d’intérêts en cas d’exercice d’autres missions et tâches au sein de la structure, l’obligation de confidentialité car il a accès à des projets stratégiques et l’octroi de ressources nécessaires (budget, temps, formation, conseil externe) pour exercer ses missions. « Si le DPO porte le programme de conformité de l’organisation, il n’y a pas de responsabilité civile ou pénale. La responsabilité de la conformité pèse sur le responsable de traitement ou le sous-traitant », ajoute Alexandra Guérin-François qui insiste notamment sur la nécessaire relation de confiance.
Changement de paradigme. Avec le RGPD, on passe dans une logique de responsabilisation (« accountability »). Auparavant, les organismes se contentaient de notifier la mise en place d’un traitement à la CNIL. Désormais, il appartient au responsable du traitement de prendre toutes les mesures requises pour garantir la conformité dudit traitement. L’obligation de tenir un registre des traitements vient remplacer l’obligation de notification préalable auprès de la CNIL. Cette obligation s’adresse à tous les responsables de traitement et leurs sous-traitants. Ce registre va prouver que les activités de traitement sont bien conformes aux nouvelles normes imposées par le RGPD. Mais il ne suffit pas de dire que l’on est conforme au RGPD, il faut pouvoir le prouver dans le cadre d’un contrôle de la CNIL. Les ESMS doivent donc assurer la conformité des traitements au long cours, alimenter une documentation interne complète, être capables de justifier de chaque mesure prise, de réexaminer et d’actualiser si nécessaire les mesures organisationnelles et techniques. « L’accountability est un mécanisme continu où l’on accumule des preuves. Il est donc important de le structurer et l’organiser car il peut être transmis à l’autorité de contrôle », rappelle Aurélie Banck. Et en cas de manquement dans la protection des données, les textes prévoient des sanctions financières. En juin 2018, un hôpital portugais a fait l’objet d’une lourde sanction financière d’un montant de 400 000 €. Il a été condamné par l’autorité de contrôle nationale pour manquement au RGPD. En France, la CNIL favorise, pour l’heure, la pédagogie. Une accalmie de courte durée. « Le danger n’est pas en 2019 mais en 2020, 2021, 2022, où la CNIL va demander des comptes, y compris à distance. Dans quelques années, les organismes vont devoir être en mesure de retracer ce qui a été fait les années précédentes », avertit Aurélie Banck.
Le RGPD prévoit qu’une analyse d’impact de protection des données doit être effectuée lorsqu’un traitement est susceptible d’engendrer « un risque élevé pour les droits et libertés des personnes physiques ». Cela s’inscrit dans le principe de « Privacy by Design » où tout traitement doit être analysé avant d’être effectué. En octobre 2018, la CNIL a publié une liste des traitements qui doivent faire l’objet d’une analyse d’impact(2). On y retrouve les traitements de données de santé mis en œuvre par les établissements médico-sociaux, les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants…), les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes, les traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire, ceux de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile…) « Concrètement, il va falloir décrire le traitement : données collectées, durée de conservation, personnes concernées, effectuer une évaluation des risques et décrire les mesures techniques et organisationnelles envisagées pour limiter ces risques », précise Aurélie Banck. « Le RGPD est en train de devenir quelque chose d’extrêmement important. Mais on est dans une logique de mise en conformité et non pas de sanction. Il faut identifier sa base légale, identifier les traitements, faire son registre, les études d’impact quand c’est nécessaire. Mais pour le reste quand on ne sait pas, il est fort probable que les autorités de contrôle ne sachent pas non plus », rassure Jean-Baptiste Soufron, avocat associé chez FWPA Avocats. « Il est fort probable que dans le futur la plupart des textes qui donneront implicitement ou explicitement une autorisation d’exploiter des données finissent par prévoir les conditions d’exploitation de ces données », augure-t-il. Et d’ajouter que d’ici cinq ans, des codes professionnels, secteur par secteur, définiront les règles à suivre. « Il faut déjà se projeter dans cette direction », conclut-il.
Le règlement général de la protection des données (RGPD) pose comme grands principes la nécessité, la proportionnalité et la minimisation de la collecte de données. « Tout traitement de données à caractère personnel doit être loyal et licite, transparent, bien informé, n’avoir que les données nécessaires et en assurer la sécurité », rappelle Jean-Baptiste Soufron, avocat associé chez FWPA Avocats. Le RGPD prévoit six bases légales distinctes pour la collecte et le traitement de données personnelles. La première base légale est le consentement : une personne doit consentir à ce que l’on traite ses données pour un service. Les bases suivantes étant la nécessité d’exécuter un contrat ; le respect d’obligations légales ; la sauvegarde des intérêts vitaux de la personne ; l’exécution de mission d’intérêt public ou relevant de l’exercice d’une autorité publique ; et l’intérêt légitime du responsable de traitement.
(1) Délibération FHF n° 2018-327 du 11 octobre 2018.
(2) Se familiariser avec le RGPD. Kit d’information à destination des établissements médico-sociaux – FHF – 2018.