Le RGPD a 7 ans. Dans les EHPAD, il en est encore à naître.

Le DPO — Délégué à la Protection des Données — est obligatoire pour les organismes qui traitent des données sensibles à grande échelle. Un EHPAD traite quotidiennement des données médicales, des données biométriques, des informations sur la situation familiale et financière de ses résidents. Il est, par définition, concerné. Mais nommer un DPO suppose d'avoir identifié quelqu'un de compétent pour le faire, de le former, de lui dégager du temps. Dans une structure de quatre-vingts lits avec un directeur, deux cadres et une secrétaire de direction, ce temps n'existe pas.

Ce que la conformité demande réellement

La conformité au RGPD ne se résume pas à une bannière de cookies. Elle suppose de cartographier l'ensemble des traitements de données personnelles, d'analyser les risques associés, de mettre en place des mesures de sécurité adaptées, de former les équipes, de documenter dans un registre à jour. Pour un grand groupe avec des ressources juridiques dédiées, c'est un projet structuré. Pour un EHPAD associatif de taille moyenne, c'est une montagne.

Le risque qui entre par la porte des outils

Une part significative du risque RGPD dans les EHPAD ne vient pas des pratiques internes, mais des outils utilisés. Les logiciels de gestion des soins, les applications de communication avec les familles, les plateformes de e-learning — tous traitent des données personnelles, souvent hébergées chez des tiers. La question de la localisation des données, des garanties contractuelles offertes par les éditeurs, est rarement posée lors des choix d'outils. Elle est pourtant centrale.

Ce que les contrôles CNIL révèlent

La CNIL a progressivement étendu ses contrôles au secteur médico-social. Les établissements contrôlés ont été mis en demeure pour des manquements souvent basiques : absence de registre de traitement, absence de contrats de sous-traitance, durées de conservation non définies. Ces manquements ne sont pas le fait d'établissements négligents. Ils sont le fait d'établissements qui n'ont pas les ressources pour faire ce qu'ils savent qu'ils devraient faire.

De l'injonction au levier : ce que la conformité pourrait produire

La cartographie des traitements de données que impose le RGPD est, si elle est bien conduite, un outil de connaissance de l'organisation. Elle révèle des flux d'information qu'on ignorait, des pratiques non formalisées, des risques non identifiés. Mais ce potentiel ne se réalise que si l'établissement a les moyens de s'en saisir. Tant que la conformité RGPD dans le médico-social restera un exercice solitaire, sans mutualisation des ressources ni accompagnement sectorialisé, elle restera ce qu'elle est pour beaucoup : une injonction non traduite en actes.