- Le respect impératif du secret médical et de la confidentialité des informations.
- L’application du Règlement Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés.
- La sécurisation technique et organisationnelle des dossiers informatisés et papiers.
- La traçabilité des accès et des consultations de données de santé.
- L’obligation de formation et de sensibilisation continue des équipes au sujet de la protection des données.
- La gestion des risques de failles ou de cyberattaques, qui impose des procédures et des réactions rapides.
- L’accompagnement des usagers dans l’expression de leurs droits (accès à l’information, rectification, opposition, portabilité).
Ce que dit la loi : fondements et références réglementaires
La protection des données de santé en EHPAD s’appuie sur un socle règlementaire composite, mêlant droit français et normes européennes. La pierre angulaire demeure le secret médical (Code de la santé publique, article L.1110-4), étendu à tous les professionnels intervenant auprès du résident, y compris hors soignants (ex : intervenants sociaux, administratifs).
Mais depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, et le renforcement de la loi Informatique et Libertés (modifiée en 2018), la donnée de santé bénéficie d’un statut de donnée « sensible », obligeant responsables d’EHPAD et personnels à une vigilance de chaque instant (source : CNIL).
- Le RGPD impose la minimisation, la limitation des accès, la documentation des process, la transparence envers les résidents.
- La CNIL (Commission Nationale de l’Informatique et des Libertés) joue un rôle de contrôle, de conseil et de sanction.
- Les Directives Hôpital Numérique et les recommandations de l’Agence du Numérique en Santé insistent sur la cybersécurité et la gestion des identifiants (source : ans.esante.gouv.fr).
Comment le cadre réglementaire s’applique réellement en EHPAD ?
Confidentialité, accès restreint et responsabilités
Concrètement, chaque professionnel intervenant auprès du résident doit respecter une stricte confidentialité des données. Cela implique :
- Limitation des accès : seules les personnes habilitées et concernées par la prise en charge d’un résident peuvent consulter son dossier.
- Traçabilité des accès : tout accès (ou modification) doit être tracé informatiquement.
- Secret partagé limité : l’échange d’informations entre professionnels se fait dans l’intérêt du résident, avec précaution.
Le dossier médical informatisé (DMI) : enjeux et précautions
La généralisation du DMI expose à de nouveaux risques : erreur d’envoi, accès non autorisé, piratage. Le RGPD oblige les EHPAD à désigner un Délégué à la Protection des Données (DPO), à documenter chaque traitement de données, et à notifier toute violation en moins de 72 h à la CNIL (source : CNIL).
- Sécurisation par mot de passe fort et double authentification nécessaire.
- Sauvegarde régulière sur des serveurs certifiés (HDS – Hébergeur de Données de Santé).
- Export des données sensible interdit en clé USB non sécurisée.
- Destruction contrôlée des anciennes versions ou copies papier, avec mention tracée dans le registre interne.
Formation et sensibilisation : pierre angulaire de la prévention
Former n’est pas accessoire : c’est incontournable. Les erreurs ou pertes sont rarement malveillantes, mais l’inattention, la routine, l’urgence ouvrent la porte à toutes les failles (source : rapport 2022 Haute Autorité de Santé). Les personnels doivent être formés à :
- L’identification d’un courriel douteux ou d’un faux appel téléphonique.
- La gestion d’informations orales en présence de familles ou d’autres résidents.
- La destruction sécurisée de notes papiers, post-its et impressions obsolètes.
Par ailleurs, chaque nouvel arrivant (CDD, vacataire, stagiaire) doit recevoir un kit d’accueil spécifique sur la protection des données, accompagné d’une charte écrite à signer.
Droits du résident, information et consentement
L’un des éclairages majeurs de l’évolution réglementaire concerne la place des usagers : les résidents EHPAD sont sujets de droit. Les équipes doivent garantir l’information claire sur la collecte, l’usage, la durée de conservation, l’accès, la rectification et, à certaines conditions, l’effacement des données.
- La remise d’une notice d’information (papier ou affichée) sur la gestion des données de santé s’impose à l’admission.
- Le résident, ou son représentant légal, peut demander l’accès à l’ensemble des données le concernant, voire s’opposer, sous réserve des nécessités de soins.
- Tout refus ou demande spécifique doit être systématiquement noté dans le dossier et respecté.
Cette vigilance vis-à-vis des droits du résident, souvent peu familière au grand âge, demande pédagogie et dialogue.
Risques concrets et retours d'expérience : cyberattaque, erreur humaine, fuites involontaires
| Type de risque | Exemple en EHPAD | Conséquences potentielles |
|---|---|---|
| Cyberattaque (rançongiciel) | Hôpital de Dax (2021/Le Monde Informatique), système informatique paralysé, données inaccessibles | Perte d’accès aux dossiers, divulgation de données, paralysie de l’activité, chantage, coût financier |
| Erreur humaine (envoi mauvais dossier) | Transmission de données par mail à un mauvais destinataire lors d’un transfert d’établissement | Violation du secret médical, signalement obligatoire à la CNIL, perte de confiance |
| Fuite papier (impression oubliée) | Dossier médical imprimé laissé à l’imprimante ou dans une salle commune | Consultation non autorisée, fuite d’informations confidentielles, sanction disciplinaire |
La vigilance doit donc concerner aussi bien le numérique que le papier, l’humain que la machine.
Le poids de la responsabilité : direction, référents, soignants
Qui porte la responsabilité d’une faille ? D’un point de vue légal, le directeur de l’EHPAD (ou la personne responsable de l’établissement) est considéré comme le « responsable de traitement » au sens du RGPD. Mais cette responsabilité est partagée :
- Le DPO (Délégué à la Protection des Données) a un rôle de contrôle, d’alerte, de conseil.
- Les référents informatiques doivent veiller à la sécurisation technique quotidienne.
- Chaque soignant est responsable pénalement de ses propres accès ou communications illégitimes.
Sanctions et contrôles : ce que les établissements risquent réellement
La CNIL n’est pas qu’un arbitre théorique. Depuis 2020, le nombre de contrôles a augmenté et, selon le rapport annuel 2023, le secteur médico-social reste dans le « top 5 » des signalements et sanctions pour fuite ou mauvaise gestion de données (voir Rapport CNIL 2023).
- Amendes financières : elles peuvent atteindre plusieurs dizaines de milliers d’euros pour les EHPAD.
- Rappels à l’ordre, demandes de justification écrite, et injonctions à revoir les processus internes.
- Mise en cause personnelle d’un professionnel en cas de faute caractérisée.
Ces sanctions sont publiques et susceptibles d’atteindre la réputation de l’établissement.
Vers une culture partagée de la donnée sécurisée : quelles priorités pour demain ?
La protection des données de santé en EHPAD n’est ni optionnelle, ni acquise. Elle repose sur la vigilance continue, la capacité de chaque professionnel à repérer les failles, et la volonté institutionnelle de soutenir une culture de sécurité : audits réguliers, retour d’expérience, pilotage stratégique du numérique, diffusion d’une information claire à la fois auprès des équipes… et des résidents. L’enjeu ne réside pas seulement dans la peur de la sanction, mais dans le contrat de confiance qui lie soignants, résidents et familles autour du respect de la dignité et de l’intimité de chacun. Ce chantier exigeant donne du sens à nos pratiques et les pousse à évoluer en permanence, et c’est dans cette dynamique d’exigence, de transmission et d’écoute que la gériatrie peut continuer d’innover sans jamais trahir ses fondamentaux.