RGPD en EHPAD : un enjeu majeur pour la protection des residents
Les EHPAD (Etablissements d’Hebergement pour Personnes Agees Dependantes) traitent des donnees particulierement sensibles : dossiers medicaux, evaluations de dependance, informations sur les pathologies, donnees relatives aux tutelles et curatelles. La vulnerabilite des residents renforce l’exigence de protection imposee par le RGPD.
La CNIL accorde une attention particuliere au secteur medico-social. Les EHPAD, qu’ils soient publics, prives ou associatifs, doivent mettre en place une gouvernance rigoureuse des donnees personnelles sous peine de sanctions pouvant atteindre 20 millions d’euros.
Ce guide presente les obligations specifiques des EHPAD et les bonnes pratiques pour proteger efficacement les donnees des residents.
Les donnees traitees en EHPAD
Donnees de sante et de dependance
Les EHPAD collectent un volume important de donnees de sante classees sensibles au sens de l’article 9 du RGPD. Le dossier de soins contient les prescriptions, les comptes rendus medicaux, les resultats d’examens et le suivi des traitements. La grille AGGIR d’evaluation de la dependance et le projet de soins personnalise constituent des traitements specifiques au secteur.
Les donnees relatives aux pathologies neurologiques (Alzheimer, Parkinson), aux troubles du comportement et a l’etat psychologique des residents necessitent une protection renforcee compte tenu de leur caractere particulierement intime.
Donnees administratives et familiales
Au-dela des donnees de sante, l’EHPAD traite les donnees administratives des residents : etat civil, coordonnees, situation familiale, ressources financieres, aides sociales (APA, ASH), informations sur les mesures de protection (tutelle, curatelle). Les coordonnees et informations des familles et personnes de confiance sont egalement collectees.
Donnees des salaries
L’EHPAD est aussi employeur et traite les donnees de son personnel : soignants, agents de service, equipe administrative. Contrats, paies, plannings, medecine du travail et formations constituent autant de traitements a recenser.
Obligations reglementaires specifiques
Designation obligatoire d’un DPO
La designation d’un DPO est obligatoire pour les EHPAD. En tant qu’etablissements traitant des donnees de sante a grande echelle, ils entrent dans le champ de l’article 37 du RGPD. Le DPO veille au respect de la reglementation, conseille la direction et constitue le point de contact avec la CNIL.
Pour les petites structures, le recours a un DPO externe mutualise entre plusieurs etablissements est une solution pertinente qui permet de beneficier d’une expertise specialisee a cout maitrise.
Registre des traitements
Le registre des activites de traitement doit recenser l’ensemble des traitements : dossier de soins, gestion de la dependance (AGGIR, PATHOS), gestion des admissions, facturation et aide sociale, gestion des ressources humaines, videoprotection des espaces communs, gestion des appels malades et systeme de geolocalisation eventuel.
Chaque traitement doit etre documente avec sa finalite, sa base legale, les categories de donnees, les destinataires, les durees de conservation et les mesures de securite.
Information et consentement
L’information des residents et de leurs proches est une obligation essentielle. Elle doit etre adaptee a la capacite de comprehension de la personne agee. Pour les residents sous mesure de protection, le tuteur ou le curateur doit etre informe. Le livret d’accueil doit integrer les mentions RGPD de maniere claire et lisible.
Le consentement n’est generalement pas la base legale principale pour les soins (qui reposent sur l’obligation legale ou la sauvegarde des interets vitaux), mais il est requis pour certains traitements specifiques comme la prise de photos des residents ou la participation a des activites d’animation diffusees sur les reseaux sociaux.
Analyse d’impact (AIPD)
Une AIPD est necessaire pour les traitements a risque eleve. En EHPAD, cela concerne le dossier de soins informatise, les systemes de geolocalisation des residents atteints de troubles cognitifs, la videoprotection et les dispositifs d’appels malades connectes. L’AIPD permet d’identifier les risques et de definir les mesures de protection adaptees.
Securite des donnees en EHPAD
Mesures techniques essentielles
La securite des donnees en EHPAD repose sur plusieurs piliers. La gestion des acces doit garantir que seuls les professionnels habilites accedent aux donnees necessaires a leurs missions (principe du moindre privilege). L’authentification des utilisateurs doit etre robuste, avec des mots de passe complexes et un changement regulier.
Le chiffrement des donnees stockees et transmises est indispensable. Les postes de travail doivent etre proteges par un verrouillage automatique. Les sauvegardes doivent etre regulieres, testees et stockees de maniere securisee. L’hebergement des donnees de sante doit etre realise chez un prestataire certifie HDS.
Sensibilisation du personnel
Le personnel soignant et administratif constitue le premier rempart de la protection des donnees. Les formations doivent aborder les gestes essentiels : verrouillage des sessions, confidentialite des transmissions, interdiction de communiquer des informations par telephone sans verification d’identite, gestion des documents papier contenant des donnees de sante.
Cas particuliers en EHPAD
Videoprotection et geolocalisation
La videoprotection des espaces communs (hall d’entree, couloirs, parkings) est possible mais strictement encadree. Les chambres, salles de soins et espaces de vie prives ne doivent jamais etre filmes. L’information des residents et visiteurs est obligatoire (affichage, mention dans le livret d’accueil).
La geolocalisation des residents, notamment ceux atteints de la maladie d’Alzheimer, est un traitement particulierement sensible. Elle ne peut etre mise en place qu’avec des garanties strictes : finalite limitee a la securite du resident, consentement eclaire (ou accord du representant legal), possibilite de desactivation et realisation d’une AIPD.
Relations avec les familles
Les demandes d’information des familles sur l’etat de sante du resident sont frequentes. L’EHPAD doit respecter le secret medical et ne communiquer les informations qu’a la personne de confiance designee ou aux personnes autorisees par le resident. Des procedures claires doivent etre etablies pour gerer ces demandes.
Sous-traitants et partenaires
Les EHPAD travaillent avec de nombreux partenaires qui accedent aux donnees des residents : medecins liberaux, kinesitherapeutes, pharmacies, laboratoires, editeurs de logiciels de gestion, prestataires de maintenance informatique. Chaque relation doit etre contractualisee conformement a l’article 28 du RGPD.
Les echanges avec les organismes sociaux (APA, aide sociale), les tribunaux (mesures de protection) et les autorites sanitaires (ARS) doivent egalement respecter le cadre reglementaire de la protection des donnees.
Droits des residents et de leurs representants
Les residents disposent des memes droits que tout citoyen : acces, rectification, effacement (dans les limites legales), opposition et portabilite. La particularite en EHPAD tient a l’exercice de ces droits par des personnes vulnerables, parfois sous mesure de protection.
L’EHPAD doit adapter ses procedures pour permettre l’exercice effectif de ces droits, en tenant compte des difficultes liees a l’age, aux pathologies et aux eventuelles mesures de protection. Un referent RGPD au sein de l’etablissement facilite la gestion de ces demandes.
Conclusion
La protection des donnees en EHPAD est un defi qui conjugue exigences reglementaires et respect de la dignite des personnes agees. La mise en conformite RGPD contribue a renforcer la qualite de l’accompagnement et la confiance des familles.
Un DPO specialise en medico-social, des outils de gestion adaptes et une sensibilisation continue du personnel sont les piliers d’une demarche de conformite reussie et perenne.
Article redige par Laurent de Cavel, DPO certifie.
