Les EHPAD manipulent au quotidien des données à caractère personnel hautement sensibles : dossiers médicaux, informations administratives, données sociales et identifiants numériques.
La mise en conformité avec le RGPD n’est donc pas un simple formalisme, mais une exigence essentielle pour garantir la dignité, la sécurité et les droits des résidents.
Des données particulièrement sensibles
Données de santé et informations sociales
Les traitements réalisés au sein des EHPAD concernent :
- les dossiers médicaux des résidents (pathologies, prescriptions, suivi),
- les coordonnées des familles et des référents médicaux,
- les données liées à la prise en charge sociale et administrative (aides, hébergement, dépendance).
Ces informations sont encadrées par l’article 9 du RGPD relatif aux catégories particulières de données, qui impose une attention maximale.
Quelles obligations pour les établissements ?
Informer les personnes concernées
Les résidents, leurs proches ou leurs représentants légaux doivent être notamment informés pour chaque traitement :
- des finalités et bases légales,
- de la durée de conservation des données,
- des destinataires des données,
- des potentiels transferts en dehors de l’Union-Européenne,
- de leurs droits (accès, rectification, effacement, etc.) et de la manière dont ils peuvent les exercer,
- de l’identité et des coordonnées du responsable de traitement et du DPO,
- de l’existence d’une prise de décision automatisée (comprenant le profilage)
Cette information doit être claire, accessible, et remise dès la première collecte des informations administratives et médicales des personnes (préadmission, admission).
Sécuriser les systèmes d’information
L’usage de logiciels métier, de plateformes de coordination ou de stockage cloud impose d’adopter ou de vérifier la mise en place de certaines mesures de sécurité telles que :
- un chiffrement des données sensibles,
- un contrôle strict des accès (identifiants nominatifs, authentification forte),
- des sauvegardes sécurisées,
- une politique de traçabilité des accès et actions,
- une certification HDS à jour pour les hébergeurs de données de santé
Gérer les sous-traitants
De nombreux prestataires interviennent pour l’hébergement des données ou l’édition de logiciels métiers.
Ils doivent être contractuellement encadrés (article 28 RGPD), avec :
- des clauses de confidentialité,
- des engagements de sécurité, de collaboration,
- un encadrement de la restitution et/ou suppression des données en fin de mission.
Le rôle central du DPO dans un EHPAD
Dans un établissement traitant à grande échelle des données sensibles, la désignation d’un DPO est obligatoire.
Le Délégué à la Protection des Données accompagne l’établissement pour :
- vérifier le maintien à jour le registre des traitements,
- accompagner dans la réalisation des analyses d’impact (PIA),
- assurer la conformité des documents de transparence,
- encadrer la gestion des droits,
- gérer les démarches avec les sous-traitants,
- assurer la conformité des outils et procédures.
Les droits des résidents à respecter
Même en situation de dépendance, les résidents disposent pleinement de leurs droits RGPD :
- droit d’accès à leurs données, et notamment au dossier médical,
- droit de rectification, de suppression,
- droit à la limitation du traitement, à l’opposition,
- droit au retrait du consentement,
- droit d’introduire une réclamation auprès de la CNIL.
Un processus clair et réactif doit être mis en place pour répondre à ces demandes.
Conclusion
Le respect du RGPD dans les EHPAD est un enjeu de protection des personnes vulnérables autant qu’un levier de professionnalisation des pratiques.
La conformité RGPD permet d’éviter des sanctions, mais surtout de renforcer la confiance des résidents et de leurs familles, dans un cadre sécurisé et respectueux.