Les ESSMS en peine face au nouveau règlement sur les données personnelles

Les ESSMS en peine face au nouveau règlement sur les données personnelles

13.04.2018

Action sociale

L’application, le 25 mai prochain, du règlement général sur la protection des données personnelles (RGPD) prend de court le secteur social et médico-social. Peu avancé dans ses systèmes d’information, il découvre une culture des données numériques qui lui est en grande partie étrangère. Et qu’il lui faudra acquérir.

Rarement la date d’entrée en vigueur d’une nouvelle réglementation n’aura été accompagnée dans le champ social et médico-social d’autant d’impréparation. Le 25 mai prochain, le règlement général sur la protection des données personnelles (RGPD), transposition en droit français du nouveau cadre juridique européen, s’imposera à toute entité gérant ou produisant des données personnelles, TPE, PME, associations, collectivités territoriales, hôpitaux, grandes entreprises.

Ratifié en mai 2016 par la France, puis laissé en sommeil, le texte européen nécessite des adaptations du droit français. Un projet de loi relatif à la protection des données personnelles a été adopté en urgence à l’Assemblée le 13 février, au Sénat le 21 mars, et devrait être finalisé le 6 mai prochain. Selon un rapport du Sénat, seulement 15 % des collectivités territoriales seraient au fait des obligations du nouveau règlement. Chiffre qui, à défaut d’études, pourrait se révéler encore inférieur dans les organismes sociaux et médico-sociaux.

Les grandes unions du secteur du domicile, par exemple, indiquent être seulement en train de se saisir du sujet. À l’Uniopss, qui s’est engagée dans un programme de journées d’information interrégionales à la fin 2017, Michael Vincent, assistant du service vie associative et formation à l’Uriopss Hauts-de-France, constate « l’exaspération » des associations devant cette énième contrainte. « Lors des premières sessions, beaucoup de gens espéraient que l’application de la réglementation serait reportée. Avec le maintien de la date initiale, on se rend bien compte que les acteurs ne sont pas prêts. »

Beaucoup de retard accumulé

Que dit le RGPD ? Qu’un organisme doit maîtriser les données personnelles qu’il produit et mesurer l’impact potentiel de leur exploitation sur la vie privée. Pour cela, il doit tenir à disposition de la Cnil un registre de ces données et des mesures de sécurité adoptées, désigner un délégué à la protection des données (DPD) chargé de veiller au respect des procédures, et enfin renforcer le droit des personnes en recueillant leur consentement pour tout traitement d’information qui les concernent et en assurant la portabilité de leurs données.

Rien de bien nouveau, relativise Myriam Vallin, consultante chez Handiness, un cabinet de conseil spécialisé dans la transition numérique du médico-social, qui s’étonne des réactions du secteur. « Il faut avoir conscience que les obligations qui naissent du RGPD sont celles de la loi Informatique et libertés de 1978, avec quelques renforcements supplémentaires. Simplement, la plupart des institutions sociales et médico-sociales ont complètement occulté cette vision de la protection des données à l’époque. Très peu d’entre elles, par exemple, se sont dotées du correspondant informatique et liberté que proposait la loi. » Résultat : les établissements et services sont sommés de monter dans un train déjà lancé, avec d’un côté un faible taux d’informatisation du dossier de la personne accueillie, et de l’autre une kyrielle de fichiers de données personnelles établis par différents agents selon des procédures peu normées. « Il va donc falloir mettre à plat tous ces outils pour les remplacer par un format unique, transversal, dont les modalités d’accès et la finalité auront été clairement définies », explique Myriam Vallin.

Qui sera le délégué à la protection des données ?

Autre motif d’hésitation : qui ou que sera le délégué à la protection des données ? La nouvelle réglementation en fait le correspondant de la Cnil et rend obligatoire son existence dans les organismes sociaux et médico-sociaux, non seulement en raison de la sensibilité des données personnelles qui y sont collectées, mais aussi par la durée de collecte qui peut s’étendre sur toute une vie. Faute de disposer en interne de suffisamment de professionnels qui pourraient endosser ce rôle, entre geek et juriste, le secteur va devoir improviser.

Pour Joël Dockwiller, consultant en sécurité de l’information chez Etixis, « la fonction pourrait être assez facilement mutualisée, compte tenu du volume de données limité dans les institutions sociales et médico-sociales. » Des structures isolées pourraient quant à elles s’appuyer sur un expert extérieur qui, à l’image d’un expert-comptable, viendrait à échéances régulières interpeller l’équipe, en rappelant les bonnes pratiques et le corpus juridique. « Quelle que soit l’organisation retenue, le rôle doit exister, et la personne qui l’assure doit avoir suffisamment d’indépendance pour pouvoir conseiller les responsables de la structure », prévient Joël Dockwiller. Reste que cet accompagnement représente une ligne budgétaire de plus, fait remarquer le consultant, et que nombreux sont les dirigeants de petites associations à dire en toute bonne foi qu’ils n’en ont simplement pas les moyens.

Acquérir une véritable culture de la protection des données

Faut-il s’attendre alors à voir le secteur s’engager dans une mise en conformité incomplète ? Baptiste Foulon, directeur des systèmes d’information (DSI) de l’association Le Moulin Vert, qui gère 42 établissements et services de la protection de l’enfance, du handicap et des personnes âgées, veut positiver : « L’application de la nouvelle réglementation dans le médico-social revient à dire qu’une organisation doit maîtriser où se trouvent les données qu’elle produit et qui y a accès. Cette demande est de toute façon nécessaire dans une perspective d’évolution des systèmes d’information, règlement ou pas. » Le véritable enjeu est celui de l’appropriation à terme d’une culture de la protection des données, explique-t-il, « car il serait utopique de penser que l’on peut être en conformité totale avec le RGPD, au sens où c’est un travail qu’il faudra conduire en permanence, en continuant inlassablement à sensibiliser les professionnels. »

Après le 25 mai, il faudra prouver sa bonne foi

Consciente de la situation, la Cnil a annoncé que le 25 mai ne serait pas « une date couperet » et que les contrôles éventuellement diligentés auront, dans un premier temps, un caractère pédagogique. S’il est clair que les organismes sociaux et médico-sociaux, les petites collectivités et les TPE ne seront pas les premières cibles des pouvoirs publics, il leur faudra néanmoins prouver à tout moment leur bonne foi et leur engagement dans une démarche de conformité. Pour cela, un dossier devra être tenu à disposition de la Cnil, retraçant les étapes déjà accomplies ou programmées, conseille Myriam Vallin : « Et il serait vain de sortir à la va-vite un document qu’on remisera ensuite dans un tiroir, car le RGPD n’est pas quelque chose dont on peut espérer se débarrasser. »

 

La Cnil et l’après 25 mai

La Cnil propose sur son site web un ensemble d’outils de mise en conformité avec le RGPD, en particulier une méthodologie en 6 étapes pour se préparer et anticiper les changements. Cet accompagnement se poursuivra après le 25 mai, notamment à travers l’élaboration de référentiels qui permettront de décliner, dans un secteur d’activité précis, les grands principes de la réglementation. La conformité à certains de ces référentiels pourrait permettre un allègement des procédures, « notamment pour le traitement de données de santé », promet la Cnil.

 

Tous les articles de notre série sur "le travail social à l'heure du numérique" sont rassemblés ici (lien à retrouver sur le site de tsa, dans la colonne de droite, rubrique "Dossiers").

Action sociale

L'action sociale permet le maintien d'une cohésion sociale grâce à des dispositifs législatifs et règlementaires.

Découvrir tous les contenus liés

Loi santé du 26 janvier 2016

Morceaux choisis d'un texte aux multiples facettes

Je télécharge gratuitement
Michel Paquet
Vous aimerez aussi

Nos engagements