publié le 19 mars 2021

10 conseils pour se mettre en conformité RGPD

10 conseils pour faciliter votre mise en conformité RGPD : suivez le guide !

 

 

1) Nommer un DPO (Data protection officer, ou délégué à la protection des données)

 

Le RGPD impose la nomination d’un DPO aux organismes assurant le suivi régulier d’un grand nombre de personnes, comme c’est le cas pour les ESMS. Vous avez besoin d’un pilote pour coordonner la protection des données au sein de vos services, garantir le respect de la réglementation et dialoguer avec les autorités.

Choisissez quelqu’un qui connaisse bien votre structure, qui soit capable d’une analyse objective et d’une gestion de projet cohérente (ce peut être le ou la responsable Qualité (voir l’entretien avec Marie Hortala DPO chez Odynéo) par exemple). Vous pouvez aussi choisir votre délégué à la protection des données à l’extérieur de votre entreprise (consultant indépendant ou cabinet spécialisé), ou le mutualiser entre plusieurs structures, avec la formule du temps partagé.

 

2) Recenser les bonnes pratiques de sa structure

 

Pour se donner de l’élan, rien de tel que de partir de l’existant. Commencer par un autodiagnostic de votre structure vous permettra de mettre en lumière les bonnes habitudes déjà prises et celles à corriger, les outils en place et ceux qui manquent, et vous aidera à tracer votre plan d’action.

L’Anap (Agence nationale d’appui à la performance des établissements de santé et médico-sociaux) propose un kit RGPD et un  outil d’autodiagnostic en ligne, profitez-en.

 

3) Prioriser les actions à mener

 

Compte tenu de la quantité d’informations traitées par les ESMS, vous ne pourrez pas tout vérifier en même temps. Ciblez pour démarrer les données les plus sensibles et les plus urgentes : données médicales, données relatives aux habitudes de vie des personnes suivies notamment celles concernant des mineurs. Cartographiez dans un registre dédié les traitements opérés pour ces données dans votre structure. Pour chacun, précisez sa finalité, les catégories de personnes concernées, les durées de conservation, leur mode de sécurisation, les éventuels sous-traitants concernés.

10 conseils pour se mettre en conformité RGPD4) Mettre en place un processus permanent de mise à jour

 

L’objectif du RGPD n’est pas de figer vos procédures une fois pour toutes, mais de faire évoluer celles-ci selon la vie de vos activités et établissements. Il faut désormais alimenter un processus permanent de protection des données, régulièrement mis à jour. Vos documents (registre, mentions d’informations, preuves du recueil de consentement, contrats de sous-traitance, etc.) doivent être actualisés en cas de modification. Pensez à garder toutes les traces des décisions prises. Vous devez pouvoir les fournir en cas de contrôle de la Cnil.

 

5) Renforcer sa sécurité informatique 

 

Votre stratégie de protection des données est indissociable de votre sécurité informatique. Si ce n’est déjà fait, saisissez l’occasion que fournit le RGPD pour faire réaliser un véritable audit de sécurité et une mise à jour de vos procédures.

Pensez à revoir votre charte informatique, en rappelant de manière claire et lisible à tous les salariés et bénévoles, les règles d’usage du numérique dans votre structure. Veillez également à une gestion rigoureuse des accès au matériel informatique et aux différents types de données.

 

6) Vérifier l’agrément de son prestataire pour l’hébergement ou le traitement des données

 

Si vous traitez des données de santé et que vous faites appel à un prestataire pour l’hébergement, le stockage ou le traitement de vos données, vérifiez que celui-ci dispose d’un agrément ou d’une certification « HDS » (Hébergement de données de santé), garantissant qu’il met en œuvre toutes les procédures de protection de la vie privée des personnes, de confidentialité et de sécurité des données. Passez en revue vos systèmes et vos procédures avec lui, pour vous assurer de leur mise en conformité RGPD.

 

7) Ne pas oublier les documents papier

 

Même si une grande partie des données sont traitées en format numérique, il reste des supports papier, eux aussi soumis à la réglementation générale de protection des données. Pensez donc à inclure dans votre registre de traitements les cahiers de notes ou de liaison, les listes imprimées d’adhérents, les carnets d’adresses, les classeurs avec les CV de candidats, etc.

Widip vous propose une checklist de mise en conformité RGPD

8) Dresser une check-list de survie

 

Une liste récapitulative permet de faire le point sur l’avancement de votre mise en conformité. Voici quelques questions à vous poser : 

  • Avez-vous recensé les données personnelles collectées et les traitements effectués ?
  • Les personnes concernées sont-elles informées des traitements ?
  • Combien de temps conservez-vous les données personnelles des personnes prises en charge ?
  • Avez-vous formalisé des documents correspondant à vos obligations ?
  • Qui héberge vos données ? Le prestataire ou l’éditeur qui héberge des données de santé est-il certifié « HDS » ?
  • Avez-vous réalisé une analyse d’impact des traitements de données sur la vie privée ?
  • Savez-vous tracer et identifier les accès aux données et à leurs traitements ? Conservez-vous un historique de ces accès ?
  • La sécurité des données est-elle intégrée à vos contrats de sous-traitance ?
  • Vos échanges électroniques de données personnelles sont-ils sécurisés ?
  • Avez-vous sensibilisé vos collaborateurs au respect de la réglementation relative aux données personnelles ? 

 

9) Intégrer la protection des données dans tous vos projets 

 

Le RGPD impose d’ajuster votre organisation et vos pratiques professionnelles pour mieux garantir la protection des données. Vous devez prendre en compte le respect de la vie privée dès la conception de votre système d’information, mais aussi dans la mise en œuvre de tout nouveau projet. Il est intéressant d’envisager ce changement non comme une contrainte, mais comme un levier d’amélioration de la qualité et une occasion de faire le point sur le projet et la stratégie de votre structure.

 

 

10) Choisir un outil logiciel simple et adapté

 

De nombreux éditeurs proposent des logiciels pour assurer la mise en conformité avec le RGPD. Ces outils seront d’autant plus utiles que vous vous serez d’abord approprié les enjeux de la nouvelle réglementation et que vous aurez défini vos besoins. Inutile de vous précipiter sur une solution trop complexe ou inadaptée à votre situation, qui vous demandera plus d’efforts que le RGPD lui-même. WIDIP vous propose sa solution QEOPS, conçu pour les DPO pour une mise en conformité RGPD facile et encadrée.

 

30 mars 2021

pilotage :

Schéma directeur du système d’information (SDSI) : 6 bonnes raisons de se lancer
Cette fois c’est parti : la transition numérique du secteur médico-social est lancée, soutenue par le plan « ESMS numérique »  et encadrée…
en savoir plus en savoir plus

23 mars 2021

réglementation :

Entretien avec Marie Hortala, chargée de mission Qualité et Risques chez Odynéo
« RGPD : les ESMS ne partent pas de zéro »   Odynéo est une association de familles dédiée à la prise…
en savoir plus en savoir plus