RGPD dans le secteur Médico-social

Solegal expert de la conformité au RGPD du secteur médico-social

 

Nous avons une expérience concrète d’accompagnement à la conformité au Règlement européen sur la protection des données personnelles (RGPD) auprès de plus d’une dizaine d’établissements du secteur médico-social (ESMS) situés en Haut de France et Ile de France.

Solegal, avec son partenaire la société Etixis, offre aux acteurs du secteur une expertise complète, à la fois juridique, technique et organisationnelle.

Þ Action de sensibilisation / Formation

Dans le cadre d’un partenariat avec l’URIOPSS Haut de France, nous avons formé à la règlementation plus de 200 personnes (ex. cadres de direction, responsables de services,  responsables qualité) travaillant pour des ESMS et associations affiliées.

Þ Audit / Diagnostic

Nous avons construit une démarche personnalisée dénommée « Atteindre un 1er palier de conformité au RGPD ». Cet accompagnement construit sur la base d’un périmètre prédéfini avec l’ESMS (ex. données des usagers ou données traitées par le Pôle soins) permet d’identifier les risques réels et les axes d’amélioration, ainsi qu’élaborer un plan d’actions adapté et un projet de registre de traitements.

Cette démarche est particulièrement adaptée aux acteurs médico-sociaux, qui sont encore au début de leur mise en conformité ou qui n’ont pas pu la déployer.

Þ Suivi de la conformité et Délégué à la protection des données (DPO)

A l’issue des travaux du « 1er palier », nous pilotons conjointement avec l’ESMS le plan d’actions avec pour objectif le passage du mode « projet » au mode « DPO ».

 

Selon les cas, nous intervenons en soutien au DPO interne déjà désigné, ou en qualité de DPO externe ou encore en tant que DPO mutualisé auprès de plusieurs associations. Quel que soit le format, nous accompagnons toujours les ESMS sur la base d’une lettre de mission détaillée (ex. rédaction du rapport annuel du DPO, gestion d’incidents, élaboration de la cartographie SI).

 

Ce fonctionnement en mode « DPO » est très bien adapté aux besoins courants d’un organisme médico-social qui, parce qu’il traite a? grande échelle de données sensibles (ex. sante? ou infractions) relatives à des personnes vulnérables (ex. mineurs et personnes âgées), est contraint à un suivi rigoureux de sa conformité.

Þ Contrats et relations de sous-traitance

Bien encadrer la relation contractuelle avec ses prestataires qui accèdent aux données des usagers est une démarche incontournable pour les établissements se mettant en conformité.

Pour ce faire, nous avons été mandatés par plusieurs ESMS afin d’amender et renégocier les conditions contractuelles imposées par les éditeurs de logiciels métiers du secteur.

 

Þ Étude d’impact :

Ces analyses de risques (appelée aussi PIA ou AIPD) sont obligatoires. Elles sont centrées sur la protection de la vie privée des usagers pour contrer les menaces de toutes natures, et constituent un savoir-faire qu’il est nécessaire d’acquérir pour les acteurs opérationnels du secteur.

Mener ses premiers PIA avec l’aide d’experts est un gain de temps appréciable et une source de développement des compétences internes, en adéquation avec les besoins de conformité au sens plus large (HOP’EN, ESMS numérique, SUN-ES).

Nous avons notamment mené des PIA auprès de MECS (Maison d’Enfance à Caractère Social) et de services mettant en œuvre de la télémédecine.

Þ Outillage

La tenue des registres demande soins, rigueur et collaborations. S’il est habituel d’user des modèles (bureautiques) mis à disposition souvent gratuitement par les acteurs institutionnels (CNIL, ANAP, …), dans la durée et pour rester concentré sur son métier, il est nécessaire d’outiller l’ESMS avec des applications qui vont apporter de la productivité dans ces tâches additionnelles de conformité.

Pour ce faire, nous avons qualifié plusieurs solutions du marché, facilitant ainsi l’organisation au long court de la confirmé RGPD.

Þ Sécurité

Fil rouge de la protection de l’information et des données à caractère personnel en particulier, la sécurité de l’information au sens large est omniprésente dans la démarche de conformité.

Pour accompagner les ESMS dans leur démarche, nous exploitons les référentiels de sécurité disponibles (ANSSI ; CNIL, ISO 27001 & 27701) pour adapter nos plans d’actions aux besoins et ambitions des acteurs.

Þ Ségur du Numérique en Santé

(source ANS)

Le Ségur du Numérique en Santé alloue 600 millions d’euros pour le secteur médico-social et social, pour accélérer la transformation numérique du secteur et améliorer la qualité des systèmes d’information déployés dans les établissements et services sociaux et médico-sociaux.

Le Ségur Médico-social s’adresse à l’ensemble des établissements et services sociaux et médico-sociaux (ESSMS) en vue de l’acquisition ou la mise à niveau de votre logiciel de Dossier Usager Informatisé (DUI), prise en charge par l’État.

L’équipe RGPD du cabinet Solegal et de la société ETIXIS, dirigée par Maître Betty SFEZ, reste à votre écoute.