RGPD : 10 conseils pour se mettre en conformité
rgpd-outil-logiciel-conformite
mars 19, 2021

1) Nommer un DPO (Data protection officer, ou délégué à la protection des données)

Le RGPD impose la nomination d’un DPO aux organismes assurant le suivi régulier d’un grand nombre de personnes, comme c’est le cas pour les ESMS. Vous avez besoin d’un pilote pour coordonner la protection des données au sein de vos services, garantir le respect de la réglementation et dialoguer avec les autorités.

Choisissez quelqu’un qui connaisse bien votre structure, qui soit capable d’une analyse objective et d’une gestion de projet cohérente (ce peut être le ou la responsable Qualité (lien entretien Odynéo) par exemple). Vous pouvez aussi choisir votre délégué à l’extérieur (consultant indépendant ou cabinet spécialisé), ou le mutualiser entre plusieurs structures, en temps partagé.

2) Recenser les bonnes pratiques de sa structure

Pour se donner de l’élan, rien de tel que de partir de l’existant. Commencer par un autodiagnostic de votre structure vous permettra de mettre en lumière les bonnes habitudes déjà prises et celles à corriger, les outils en place et ceux qui manquent, et vous aidera à tracer votre plan d’action.

L’Anap (Agence nationale d’appui à la performance des établissements de santé et médico-sociaux propose un kit RGPD et un  outil d’autodiagnostic en ligne, profitez-en.

3) Prioriser les actions à mener

Compte tenu de la quantité d’informations traitées par les ESMS, vous ne pourrez pas tout vérifier en même temps. Ciblez pour démarrer les données les plus sensibles et les plus urgentes : données médicales, données relatives aux habitudes de vie des personnes suivies ou concernant des mineurs. Cartographiez dans un registre dédié les traitements opérés pour ces données dans votre structure. Pour chacun, précisez sa finalité, les catégories de personnes concernées, les durées de conservation, leur mode de sécurisation, les sous-traitants concernés.

4) Mettre en place un processus permanent de mise à jour

L’objectif du RGPD n’est pas de figer vos procédures une fois pour toutes, mais de faire évoluer celles-ci selon la vie de vos activités et établissements. Il faut désormais alimenter un processus permanent de protection des données, régulièrement mis à jour. Vos documents (registre, mentions d’informations, preuves du recueil de consentement, contrats de sous-traitance, etc) doivent être actualisés en cas de modification. Pensez à garder toutes les traces des décisions prises. Vous devez pouvoir les fournir en cas de contrôle de la Cnil.

5) Renforcer sa sécurité informatique 

Votre stratégie de protection des données est indissociable de votre sécurité informatique. Si ce n’est déjà fait, saisissez l’occasion que fournit le RGPD pour faire réaliser un véritable audit de sécurité et une mise à jour de vos procédures.

Pensez à revoir votre charte informatique, en rappelant de manière claire et lisible par tous les salariés et bénévoles, les règles d’usage du numérique dans votre structure. Veillez également à une gestion rigoureuse des accès au matériel informatique et aux différents types de données.

6) Vérifier l’agrément de son prestataire pour l’hébergement ou le traitement des données

Si vous traitez des données de santé et que vous faites appel à un prestataire pour l’hébergement, le stockage ou le traitement de vos données, vérifiez que celui-ci dispose d’un agrément ou d’une certification « HDS » (Hébergement de données de santé), garantissant qu’il met en œuvre toutes les procédures de protection de la vie privée des personnes, de confidentialité et de sécurité des données. Passez en revue vos systèmes et vos procédures avec lui, pour vous assurer de leur conformité.

7) Ne pas oublier les documents papier

Même si une grande partie des données sont traitées en format numérique, il reste des supports papier, eux aussi soumis à la réglementation. Pensez donc à inclure dans votre registre de traitements les cahiers de notes ou de liaison, les listes imprimées d’adhérents, les carnets d’adresses, les classeurs avec les CV de candidats, etc.

8) Dresser une check-list de survie

Une liste récapitulative permet de faire le point sur l’avancement de votre mise en conformité. Voici quelques questions à vous poser : 

  • Avez-vous recensé les données personnelles collectées et les traitements effectués ?
  • Les personnes concernées sont-elles informées des traitements ?
  • Combien de temps conservez-vous les données personnelles des personnes prises en charge ?
  • Avez-vous formalisé des documents correspondant à vos obligations ?
  • Qui héberge vos données ? Le prestataire ou l’éditeur qui héberge des données de santé est-il certifié « HDS » ?
  • Avez-vous réalisé une analyse d’impact des traitements de données sur la vie privée ?
  • Savez-vous tracer et identifier les accès aux données et à leurs traitements ? Conservez-vous un historique de ces accès ?
  • La sécurité des données est-elle intégrée à vos contrats de sous-traitance ?
  • Vos échanges électroniques de données personnelles sont-ils sécurisés ?
  • Avez-vous sensibilisé vos collaborateurs au respect de la réglementation relative aux données personnelles ? 

9) Intégrer la protection des données dans toute gestion de projet 

Le RGPD impose d’ajuster votre organisation et vos pratiques professionnelles pour mieux garantir la protection des données. Vous devez prendre en compte le respect de la vie privée dès la conception de votre système d’information, mais aussi dans la mise en œuvre de tout nouveau projet. Il est intéressant d’envisager ce changement non comme une contrainte, mais comme un levier d’amélioration de la qualité et une occasion de faire le point sur le projet et la stratégie de votre structure.

10) Choisir un outil logiciel simple et adapté

De nombreux éditeurs proposent des logiciels pour assurer la mise en conformité avec le RGPD. Ces outils seront d’autant plus utiles que vous vous serez d’abord approprié les enjeux de la nouvelle réglementation et que vous aurez défini vos besoins. Inutile de vous précipiter sur une solution trop complexe ou inadaptée à votre situation, qui vous demandera plus d’efforts que le RGPD lui-même…

WIDIP Lyon

Immeuble coopératif le Woopa
10, avenue des Canuts
69120 Vaulx-en-Velin

WIDIP Paris

9, rue Anatole de la Forge
75017 Paris

Support technique

Support commercial

WIDIP Grenoble

29 boulevard de l’Europe
38170 Seyssinet-Pariset

WIDIP Méditerrannée

Square cocoon
300 avenue Auguste Broussonnet
34000 Montpellier