Le RGPD pour les usagers du médico-social

medico social, rgpd, medico, social

Chaque établissement doit être en mesure de démontrer à tout moment sa conformité aux exigences du RGPD en traçant toutes les démarches entreprises.

Le règlement européen général sur la protection des données (RGPD) est entré en vigueur depuis 2018.

La protection des données personnelles des résidents, salariés, bénéficiaires, déjà encadrée par la CNIL pour son application informatique, est maintenant une obligation et un enjeu majeur pour les établissements et services sanitaires et médico-sociaux.

Il n’y a plus de déclaration à faire auprès de la CNIL mais vous devez tenir un registre des traitements

Les dispositions du RGPD s’appliquent à tous les traitements de données personnelles (ex : nom, prénom, numéro de patient, etc.) que les établissements utilisent pour l’exercice de leurs activités professionnelles, que ces traitements soient sous une forme informatique ou papier (ex : dossier patient papier).

Chaque établissement doit donc :

  • Disposer d’un registre des activités de traitements ;
  • Assurer le respect des droits des personnes ;
  • Avoir mis en place des procédures garantissant la sécurité et la confidentialité des données ;
  • Disposer d’un délégué à la protection des données ;
  • Avoir réalisé une analyse de l’impact du traitement des données sensibles (notamment les informations de santé)
  • Avoir assuré la sécurité de ses relations contractuelles ;
  • Prévoir le signalement de tout incident de sécurité.

Les données de vos patients ne peuvent être gardées indéfiniment

Les données que vous collectez sur vos patients doivent être conservées pour une durée déterminée.

On considère généralement que les données collectées et traitées pour les besoins du suivi social ou médico-social ne peuvent être légitimement conservées dans une base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l’objet de ce suivi. Ces données devrait par ailleurs être supprimées sans délai en cas de décès de la personne concernée.

Lorsqu'il existe un recours contre un tiers ou un contentieux, les données peuvent être conservées jusqu'à l'intervention de la décision définitive.

À l'expiration de ces périodes, les données sont devraient être détruites de manière sécurisée ou archivées dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public pour les organismes soumis à ces dispositions, d'une part, ou conformément aux recommandations de la CNIL concernant les modalités d'archivage électronique de données à caractère personnel pour les organismes relevant du secteur privé, d'autre part.

Les justificatifs recueillis, y compris sous format papier, qui n’ont plus d’utilité, soit parce qu’ils sont trop anciens pour justifier de la situation de l’usager, soit parce que le dossier pour lequel ils ont été demandés est constitué, doivent être détruits.

Destinataires des données des usagers

Dans les limites de leurs attributions légales, et chacun pour ce qui le concerne, peuvent légitimement accéder aux données personnelles des usagers :
  • le personnel au sein de chaque établissement, service ou organisme concourant à la prise en charge, à l’accompagnement et au suivi social et médico-social des personnes;
  • les professionnels et tout membre du personnel de l’établissement, du service ou organisme externe, participant à la prise en charge, à l’accompagnement et au suivi de la personne, et toute autre personne en relation, de par ses activités, avec ces établissements ou organismes externes, dans la limite de leurs attributions respectives et des règles encadrant le partage et l’échange d’informations ; les personnes appelées à intervenir dans la gestion financière et successorale du patrimoine de la personne ayant fait l’objet d’un accompagnement et d’un suivi ;
  • les organismes instructeurs et payeurs de prestations sociales ;
  • des organismes financeurs et gestionnaires s’agissant exclusivement de données préalablement anonymisées à l’exception de ceux autorisés par une disposition légale ou réglementaire à obtenir la communication de données à caractère personnel relatives aux personnes visées par la présente autorisation unique.
Toute demande d’informations en vue d’une étude statistique fera l’objet d’une transmission de données préalablement anonymisées.

Sécurité et confidentialité de l'informatisation

Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment s'assurer que :
  • toute transmission d'information via un canal de communication non sécurisé, par exemple Internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données
  • les personnes habilitées disposant d'un accès aux données doivent s'authentifier avant tout accès à des données à caractère personnel, au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification garantissant au moins le même niveau de sécurité
  • un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations des mécanismes de traitement automatique garantissent que les données à caractère personnel seront systématiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible toute identification ultérieure des personnes concernées
  • les accès à l'application font l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les accès aux données considérées comme sensibles, au regard de la loi du 6 janvier 1978 modifiée, doivent quant à eux être spécifiquement tracés en incluant un horodatage, l'identifiant de l'utilisateur, ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants à compter de leur enregistrement, puis détruites
  • l’externalisation de l’hébergement de données de santé à caractère personnel soit réalisée dans les conditions prévues dans le code de la santé publique
Concernant les mécanismes d’anonymisation, il conviendra de s’assurer que les statistiques produites ne permettent aucune identification, même indirecte, des personnes concernées.

L'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi met à sa charge.

Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le contrat établi entre les parties doit mentionner les obligations incombant au sous-traitant en matière de préservation de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instructions du responsable de traitement

Les patients doivent être informés du traitement de leurs données mais vous n’avez pas à recueillir leur consentement

Le responsable du traitement doit informer les personnes concernées par le ou les traitements mis en œuvre par tout moyen approprié, dans un langage compréhensible et selon des modalités appropriées et adaptées à leur état.

L’information doit notamment porter sur l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les droits des personnes (droits d’opposition pour motifs légitimes, d’accès et de rectification).

Les personnes sont également informées du caractère obligatoire ou facultatif des réponses, ainsi que des conséquences éventuelles, à leur égard, d'un défaut de réponse ou de l’exercice de leur droit d’opposition.

Cette information doit notamment figurer sur les formulaires de collecte destinés aux personnes auprès desquelles les données sont collectées.

Les droits d'opposition, pour motifs légitimes, d’accès et de rectification s'exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.


Liste des pratiques actions-sociales

(c) actimeo 2011-2019
En poursuivant votre navigation sur ce site, vous acceptez notre politique de confidentialité et l'utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d'intérêts.
Choisissez les types de cookies que vous acceptez :
  • sont indispensables au bon fonctionnement de notre site
  • vous permettent d'accéder à votre espace personnel en toute sécurité
  • ne recueillent aucune information personnelle
  • nous permettent d'optimiser notre site et de détecter d'éventuels problèmes techniques
  • nous permettent de recueillir des informations anonymes à propos de vos visites sur notre site
  • ne sont jamais utilisés à des fins commerciales
  • enregistrent vos préférences selon vos visites précédentes sur notre site
  • permettent à nos partenaires de vous fournir des offres et publicités selon vos centres d'intérêt