Solegal et ETIXIS, l’expertise de la conformité RGPD des ESMS

Le Ségur du Numérique en Santé alloue 600 millions d’euros pour le secteur médico-social et social, pour accélérer la transformation numérique du secteur et améliorer la qualité des systèmes d’information déployés dans les établissements et services sociaux et médico-sociaux. 

Le Ségur Médico-social s’adresse à l’ensemble des établissements et services sociaux et médico-sociaux (ESSMS) en vue de l’acquisition ou la mise à niveau de votre logiciel de Dossier Usager Informatisé (DUI), prise en charge par l’État. 

Article connexe → Évolution du Ségur sur le médico-social

L’accompagnement à la conformité au Règlement européen sur la protection des données personnelles (RGPD) est ainsi un préalable à cette mise à niveau.

Formation et audit

Le premier enjeu de l’accompagnement à la conformité RGPD de Solegal et ETIXIS est la formation. Concrètement, dans le cadre d’un partenariat avec l’URIOPSS Haut de France[1], les deux partenaires ont formé plus de 200 personnes (cadres de direction, responsables de services, responsables qualité) travaillant pour des établissements du secteur médico-social (ESMS) et associations affiliées.

Le second enjeu est l’audit avec une démarche personnalisée « Atteindre un 1^er palier de conformité au RGPD ». La démarche de Solegal et ETIXIS se base sur l’établissement d’un périmètre prédéfini avec l’ESMS (tel que les données des usagers ou les données traitées par le Pôle soins) afin d’identifier les risques réels et les axes d’amélioration. A l’issue de cet audit sont édités deux livrables clefs pour la conformité : un plan d’actions adapté et un projet de registre de traitements. D’après nos experts, cette démarche est particulièrement bien adaptée aux acteurs médico-sociaux, qui sont encore au début de leur mise en conformité ou qui n’ont pas pu la déployer.

Suivi de la conformité

Ensuite, afin d’atteindre le deuxième palier de la conformité, Solegal et ETIXIS préconisent de copiloter le plan d’actions (l’ESMS + les Experts RGPD). Cette étape permet de passer du mode projet au mode « Délégué à la protection des données (DPO) », et ce quel que soit le format retenu par l’ESMS (soutien au DPO interne déjà désigné ou mission de DPO externe et/ou mutualisé).

Mandatés par plusieurs associations, sur la base d’une lettre de mission détaillée (rédaction du bilan annuel, gestion des incidents, élaboration de la cartographie SI….), nos experts constatent que ce fonctionnement en mode « DPO » est très bien adapté aux besoins courants d’un organisme médico-social. En effet, ce type d’établissement est contraint (plus que les autres) à un suivi rigoureux de sa conformité RGPD compte tenu du traitement à grande échelle de données sensibles relatives à des personnes vulnérables (mineurs et personnes âgées) qu’il réalise.

Relation contractuelle encadrée et études d’impact

Bien encadrer la relation contractuelle avec ses prestataires qui accèdent aux données des usagers est une démarche incontournable pour les établissements se mettant en conformité. Solegal et ETIXIS ont ainsi été sollicités par des ESMS pour amender et renégocier les conditions contractuelles imposées par les éditeurs de logiciels métiers du secteur.

Par ailleurs, nos experts les accompagnent dans les analyses de risques obligatoires, PIA ou AIPD, centrées sur la protection de la vie privée des usagers. Ces études constituent un savoir-faire indispensable aux acteurs opérationnels du secteur. Solegal et ETIXIS ont par exemple mené des PIA auprès de Maison d’Enfance à Caractère Social et de services mettant en œuvre de la télémédecine.

Rigueur et sécurité

La tenue des registres demande soins, rigueur et collaboration. Les modèles bureautiques mis à disposition, souvent gratuitement, par les acteurs institutionnels comme la Cnil ou l’Anap sont utiles. Pour autant, selon Solegal et ETIXIS, dans la durée et pour rester concentré sur son métier, il est nécessaire d’outiller l’ESMS avec des applications qui vont apporter de la productivité dans ces tâches additionnelles de conformité, telles que les solutions du marché, qualifiées par nos experts.

Dernier enjeu omniprésent pour Solegal et ETIXIS dans la démarche de conformité, la sécurité de l’information au sens large est un fil rouge de la protection de l’information et des données à caractère personnel en particulier.  L’exploitation des référentiels de sécurité disponibles (ANSSI, CNIL, ISO 27001 & 27701) permet ainsi d’adapter les plans d’actions aux besoins et ambitions des acteurs.

[1] Union nationale interfédérale des œuvres et organismes privés non lucratifs sanitaires et sociaux