RGPD et Médico-social : Solegal expert de la conformité des ESMS

mars 2022

Nous avons une expérience concrète d’accompagnement à la conformité au Règlement européen sur la protection des données personnelles (RGPD) auprès de plus d’une dizaine d’établissements du secteur médico-social (ESMS) situés en Haut de France et Ile de France. Solegal, avec son partenaire la société Etixis, offre aux acteurs du secteur une expertise complète, à la fois juridique, technique et organisationnelle.

Action de sensibilisation / Formation

Dans le cadre d’un partenariat avec l’URIOPSS Haut de France, nous avons formé à la règlementation plus de 200 personnes (ex. cadres de direction, responsables de services, responsables qualité) travaillant pour des ESMS et associations affiliées.

Audit / Diagnostic

Nous avons construit une démarche personnalisée dénommée « Atteindre un 1er palier de conformité au RGPD ». Cet accompagnement construit sur la base d’un périmètre prédéfini avec l’ESMS (ex. données des usagers ou données traitées par le Pôle soins) permet d’identifier les risques réels et les axes d’amélioration, ainsi qu’élaborer un plan d’actions adapté et un projet de registre de traitements. Cette démarche est particulièrement adaptée aux acteurs médico-sociaux, qui sont encore au début de leur mise en conformité ou qui n’ont pas pu la déployer.

Suivi de la conformité et Délégué à la protection des données (DPO)

A l’issue des travaux du « 1er palier », nous pilotons conjointement avec l’ESMS le plan d’actions avec pour objectif le passage du mode « projet » au mode « DPO ».

Selon les cas, nous intervenons en soutien au DPO interne déjà désigné, ou en qualité de DPO externe ou encore en tant que DPO mutualisé auprès de plusieurs associations. Quel que soit le format, nous accompagnons toujours les ESMS sur la base d’une lettre de mission détaillée (ex. rédaction du rapport annuel du DPO, gestion d’incidents, élaboration de la cartographie SI). Ce fonctionnement en mode « DPO » est très bien adapté aux besoins courants d’un organisme médico-social qui, parce qu’il traite à grande échelle de données sensibles (ex. santé ou infractions) relatives à des personnes vulnérables (ex. mineurs et personnes âgées), est contraint à un suivi rigoureux de sa conformité.

Nous aborderons dans un prochain article à paraître les solutions pratiques et juridiques à mettre en place afin d’encadrer et donc sécuriser le recours à une ICO.

Contrats et relations de sous-traitance

Bien encadrer la relation contractuelle avec ses prestataires qui accèdent aux données des usagers est une démarche incontournable pour les établissements se mettant en conformité. Pour ce faire, nous avons été mandatés par plusieurs ESMS afin d’amender et renégocier les conditions contractuelles imposées par les éditeurs de logiciels métiers du secteur.

Étude d’impact

Ces analyses de risques (appelée aussi PIA ou AIPD) sont obligatoires. Elles sont centrées sur la protection de la vie privée des usagers pour contrer les menaces de toutes natures, et constituent un savoir-faire qu’il est nécessaire d’acquérir pour les acteurs opérationnels du secteur.

Mener ses premiers PIA avec l’aide d’experts est un gain de temps appréciable et une source de développement des compétences internes, en adéquation avec les besoins de conformité au sens plus large (HOP’EN, ESMS numérique, SUN-ES). Nous avons notamment mené des PIA auprès de MECS (Maison d’Enfance à Caractère Social) et de services mettant en œuvre de la télémédecine.

Outillage

La tenue des registres demande soins, rigueur et collaborations. S’il est habituel d’user des modèles (bureautiques) mis à disposition souvent gratuitement par les acteurs institutionnels (CNIL, ANAP, …), dans la durée et pour rester concentré sur son métier, il est nécessaire d’outiller l’ESMS avec des applications qui vont apporter de la productivité dans ces tâches additionnelles de conformité. Pour ce faire, nous avons qualifié plusieurs solutions du marché, facilitant ainsi l’organisation au long court de la confirmé RGPD.

Sécurité

Fil rouge de la protection de l’information et des données à caractère personnel en particulier, la sécurité de l’information au sens large est omniprésente dans la démarche de conformité. Pour accompagner les ESMS dans leur démarche, nous exploitons les référentiels de sécurité disponibles (ANSSI ; CNIL, ISO 27001 & 27701) pour adapter nos plans d’actions aux besoins et ambitions des acteurs.

Ségur du Numérique en Santé

Le Ségur du Numérique en Santé alloue 600 millions d’euros pour le secteur médico-social et social, pour accélérer la transformation numérique du secteur et améliorer la qualité des systèmes d’information déployés dans les établissements et services sociaux et médico-sociaux. En synthèse, ce programme a pour objet de favoriser le développement de systèmes d’information conformes à des exigences techniques, fonctionnelles et ergonomiques, permettant la production, la structuration, la conservation et le partage des données dans le respect des dispositions du Code de la santé publique et du Règlement européen portant sur la protection des données personnelles (RGPD).

Solegal et la société ETIXIS vous accompagnent dans la mise en conformité de votre établissement et la sécurisation de votre dossier de demande de financement Ségur.

Betty Sfez

bsfez@solegal.fr

Cet article est mis en ligne à des fins d’information uniquement. Compte tenu de l’évolution constante de la réglementation pouvant avoir un impact sur la pertinence de son contenu, nous vous invitons à prendre contact avec le cabinet pour toute question. D’une manière générale, le cabinet ne pourra en aucun cas être tenu responsable de l’inexactitude et de l’obsolescence des articles figurant sur le site www.solegal.fr