Systèmes d’information et RGPD

Editorial : Continuer tranquillement à inscrire notre association dans la mutation numérique

Vous avez sous les yeux le premier exemplaire de la Lettre « AIdaphi Systèmes d’Information et RGPD ». Cette lettre vise à communiquer sur les travaux de la Commission RGPD/S.I. de notre association qui conseille et accompagne la Direction Générale et le Conseil d’administration dans la mise en œuvre du RGPD et l’évolution des systèmes d’information. Comme la Lettre « Aidaphi Qualité », nous essaierons de vous adresser ce petit bulletin une fois par semestre. Il est évidemment ouvert à la contribution de tous, tant par les questions que vous vous posez, que par les mentions d’expériences que vous souhaiterez populariser.

On peut définir un « Système d’Information » comme l’ensemble des supports, tant numériques qu’analogiques ou de papier, qui permettent l’information, la coopération et la coordination des professionnels en vue de la mise en œuvre des missions qui leurs sont confiées. La mutation numérique, qui se déploie depuis maintenant une trentaine d’années, met évidemment au premier plan la maitrise des réseaux, des matériels informatiques, notamment les serveurs et les postes de travail fixes ou mobiles, des logiciels, des dispositifs de connexion à internet, de l’ensemble des dispositifs nomades de communication, notamment la téléphonie, et des différents abonnements et contrats passés avec divers opérateurs pour la mise en opérationnalité quotidienne de l’ensemble de ce système.

Les deux grands chantiers qui sont en cours concernent le RGPD et ses conséquences, auxquels nous consacrons cette lettre, et la mise en œuvre du Logiciel «Métiers », qui est également engagée et va s’étendre à tous les secteurs d’Activités. Mon souci est que la dimension technique n’écrase pas l’humain, et que ces évolutions, qui ont des conséquences pratiques évidentes, aillent dans le sens d’une simplification plutôt que d’une complexification de vos charges de travail : clarification des supports, de leur communication aux usagers, de leur archivage, facilité d’utilisation du logiciel « métiers » qui devra correspondre à vos façons de faire et permettre une adaptation plus grande aux situations différentes plutôt qu’une normalisation bureaucratique.

Tout ceci impose évidemment le respect des textes réglementaires qui encadrent les usages de ces supports et dispositifs, et notamment la mise en œuvre du Règlement Général sur la protection des Données. Comme nous l’expliquons dans cette lettre, ce règlement est une avancée démocratique qui vise à protéger notre vie, privée et professionnelle, en affirmant que nous sommes propriétaires des données qui nous concernent.  La mise en œuvre de ce règlement nous impose un inventaire serré de tous les supports sur lesquels nous produisons des écrits ou des traces diverses concernant les usagers, de donner à ces supports un statut juridique clair, d’expliciter les modalités de recueil du consentement des usagers et les modalités d’accès et de rectification éventuelle. Il s’agit là d’une façon plus ouverte de construire nos relations à nos usagers qui prolonge évidemment nos façons actuelles de faire et nous permettra de les rendre plus visibles et compréhensibles.

 

Présentation générale RGPD : Le RGPD « Une avancée démocratique »

 

Le « Règlement Général pour la Protection des Données » est un règlement européen qui s’impose à toutes les entreprises et établissements depuis mai 2018. Il consacre et renforce les grands principes de la loi Informatique et Libertés de 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

Le secteur sanitaire, social et médico-social est particulièrement sensible dans ce champ. Les professionnels manipulent des données personnelles dont les données dites « sensibles » (données de santé notamment) en relation avec des personnes vulnérables.

Le RGPD ne concerne pas seulement les supports numériques mais également tous les autres supports de traces, notamment les supports papier, visuel, audiovisuel et, évidemment, informatiques.

L’esprit du texte consiste donc d’abord à faire en sorte que les personnes individuelles voient garantis un certain nombre de droits, dont celui d’accès, de modification, de destruction, d’oubli.

 

Les principes de la Protection des données

  • le principe de licéité : définir la base légale d’un traitement de données
  • le principe de finalité
  • le principe de proportionnalité et de pertinence
  • le principe d’une durée de conservation limitée
  • le principe de confidentialité
  • le principe de sécurité

Sur la base de ces principes, les données à caractères personnel doivent ainsi être :

  • Traitées de manière licite
  • Collectées pour des finalités déterminées
  • Adéquates, pertinentes et limitées
  • Exactes et, si nécessaire, tenues à jour
  • Conservées pendant une durée n’excédant pas celle nécessaire
  • Traitées de façon à garantir une sécurité appropriée

 

L’information et les droits des personnes

« Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».  Article 1er alinéa 3 de la loi I&L

Les données gérées par les services sociaux et médico-sociaux ne leur appartiennent pas. Elles sont confiées par les personnes aux professionnels et ce le temps de l’accompagnement.

 

LE DROIT A L’INFORMATION

Le droit à l’information est un droit fondamental qui s’applique pour tous les traitements de données à caractère personnel. Les personnes doivent être informées de manière claire, simple et complète, de l’ensemble des mentions d’information visées par les dispositions de l’article 13 du RGPD. Les personnes doivent savoir pourquoi le responsable de traitement collecte des données et comment il peut les utiliser.

 

LE DROIT D’ACCES

Le droit d’accès est un droit fondamental de la personne. Il permet d’obtenir la communication dans un format compréhensible des données traitées et d’en contrôler l’exactitude le cas échéant. La personne a accès à l’intégralité de ses informations contenues dans son dossier. Il est possible de lui proposer un accompagnement adapté pour la consultation de son dossier. (Cet accompagnement reste facultatif).

 

LE DROIT DE RECTIFICATION

La personne a le droit d’obtenir la rectification de ses données si elles sont inexactes ou incomplètes, lorsque des erreurs ou inexactitudes ont été décelées, ou en présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.

 

LE DROIT D’OPPOSITION

Toute personne peut s’opposer, pour des motifs légitimes, à ce que ses données soient utilisées, en justifiant sa demande. De la même manière, le responsable de traitement peut également justifier de la nécessité de traiter des données à défaut desquelles, elle serait dans l’impossibilité d’exercer sa mission. Il est noté que le droit d’opposition ne peut être exercé que si le traitement est fondé sur l’intérêt légitime ou la mission d’intérêt public.

 

LE DROIT A L’OUBLI

Le responsable de traitement a l’obligation d’effacer des données à caractère personnel dans les cas suivants : Si les données ne sont plus nécessaires ; Si la personne retire son consentement ou s’oppose au traitement et il n’existe pas d’autre base légale au traitement : Si les données ont fait l’objet d’un traitement illicite

 

LE DROIT A LA LIMITATION DU TRAITEMENT

La personne concernée peut demander de geler temporairement l’utilisation de certaines de ses données, notamment si elle conteste leur exactitude ou si elle s’oppose à ce qu’elles soient traitées. Ce droit vient donc faciliter l’exercice des droits précédents.

 

LE DROIT A LA PORTABILITE DES DONNEES

Introduit par le RGPD, le droit à la portabilité offre aux personnes la possibilité d’obtenir et de réutiliser leurs données personnelles pour répondre à leurs propres besoins.

 

Structuration de la démarche de protection des données

Le COPIL RGPD/SI AIDAPHI

Sous l’initiative de la direction générale, un COPIL RGPD AIDAPHI a été créé en septembre 2019 pour définir une stratégie Associative sur la protection des données en mettant en synergie la démarche d’amélioration continue de la qualité et le système d’information.

Aujourd’hui, le COPIL animé par le délégué à la protection des données (DPO) a pour principal missions :de

  • garantir les différents droits (des usagers et des professionnels) dont celui d’accès, de modification, de destruction, d’oubli.
  • De suivre l’avancement de la conformité de l’association au RGPD

Pour répondre à ces objectifs sont conviées à cette instance les personnes suivantes : Mme DOUANE (Directrice générale), Mme LASSERRE (Directrice administrative et financière), M. FRADIN (Directeur des ressources humaines), M.BELLIARD (Responsable informatique) M.AUBIJOUX et M.GLISOVIC: société ALLEA (cabinet de conseil spécialisé dans les Systèmes d’information), M. LEMOENNE (cabinet CLM et associés spécialisé dans les systèmes d’information et démarches Qualité), M. WACHE (DPO externe du Cabinet Adesse)

 

Diffusion et lien à l’ensemble des secteurs, établissements et professionnels :

Le COPIL RGPD AIDAPHI diffuse et transmets ensuite les orientations et les réflexions associées en matière de protection des données et SI via les différentes CODIR Associatifs, CODIR secteurs d’activité et par le biais de l’encadrement et des instances des différents établissements.

 

Le DPO : délégué à la Protection des Données ou en Anglais «  Data Protection Officer  – DPO »

La nomination d’une DPO est une obligation pour l’AIDAPHI car l’association traite des données de santé (données sensibles) sur des personnes vulnérables. Ses principales missions concernant :

  • Le contrôle du respect des règles RGPD, l’information et le conseil notamment auprès du responsable du traitement (direction générale)
  • Coopération avec l’autorité de contrôle et en faisant office de « point de contact ».

Le choix du DPO a été porté sur le cabinet Adesse à travers la personne de Jonathan WACHE qui accompagne sur ces aspects et d’une manière plus large sur les démarches qualité de l’Aidaphi depuis 2018.

Dans cette perspective, Jonathan Waché continuera ainsi son travail et ses rencontres sur l’ensemble des services de l’association.

 

Comment les différents secteurs d’activité vont procéder ?

Réaliser un inventaire des données existantes sur l’ensemble des services

Pour ces inventaires, il ne s’agit pas seulement des données numériques, mais bien de l’ensemble des données présentes sur tous supports dans les établissements et équipes. Ceci suppose un travail évidemment conséquent d’inventaire des supports existants (dossiers des usagers, mais aussi supports divers de prises de notes par les professionnels, enregistrements divers, audio ou video, photos, etc…)

Informer l’ensemble des professionnels et des usagers

Concernant les usagers : Il s’agit là d’une question cruciale et délicate, qui ne peut-être traitée qu’en relation étroite avec les professionnels des différents secteurs, en prenant en compte les situations singulières des différentes catégories d’usagers. Il conviendra de proposer des référentiels qui soient à la fois conformes à la loi et compréhensibles par les usagers. Ce qui suppose, là aussi, une étroite collaboration des professionnels.

Concernant les professionnels : Il s’agit d’informer les professionnels de l’Association des données collectées, de leur utilisation, leur stockage et de leurs droits les concernant.

La tenue des registres de traitement

L’AIDAPHI ainsi que chaque structure devra tenir a minima un registre de traitement des données dont un modèle est actuellement proposé par la CNIL. Il pourra être présenté à tout moment et sur simple demande, à la CNIL. Ce registre comporte un certain nombre de mentions obligatoires comme par exemple les données collectées, les personnes concernées, les finalités du recueil des données, le stockage, l’archivage, etc…

La mise en place d’outils de conformité

Ceci concerne notamment l’organisation de la gestion des données sensibles et leur protection, les procédures de contrôle, ou comme par exemple la procédure «Réponse au droit d’accès des usagers » ou la Charte d’utilisation des systèmes d’information » diffusée en décembre 2021.

De manière plus concrète, certains secteurs d’activité se questionnent déjà et travaillent sur les thématiques  suivantes :

  • Contenu dossier : quel contenu/structuration pour nos dossiers usagers pendant les accompagnements et en archives ? Quelles sont les informations réglementaires à intégrer dans les dossiers ? Quelles sont les informations communicables en droit ?
  • Gestion des notes et des brouillons : quels sont les règles et les bonnes pratiques concernant nos notes personnelles ? Que dois-je faire de mes notes personnelles concernant les personnes accompagnées ?
  • Implication de la consultation du dossier usager : quelles informations à mettre ou ne pas mettre dans les différents écrits ? Comment rester le plus factuel possible en évitant les jugements et les interprétations dans les différents écrits ?
  • Archives : quelles durées de conservation des dossiers et des documents en fin d’accompagnement?
  • Condition d’accès : quelles modalités d’utilisation et d’accès au dossier informatique et/ou papier ?
  • Coexistence entre dossier papier et informatique : quelles modalités de gestion entre le papier et l’informatique ? Quelles données doit-on garder en version papier (documents originaux ?) ou sur informatique ?

 

EDITO de la direction de ressources humaines

Précision concernant les données liées aux professionnels –

Médico-social Institutionnel

MÉDICO-SOCIAL AMBULATOIRE

Protection de l'enfance

Cohésion sociale

Pourquoi nous soutenir ?

L’Aidaphi se donne pour mission et buts de développer toutes les actions et les accompagnements en direction des personnes en situation de handicap, de dépendance ou en difficulté d’insertion sociale ou économique, au titre de la prévention, du dépistage, du soin, de l’éducation, de la protection de l’enfance, de la formation professionnelle, de l’aide par le travail et la réinsertion, en vue de leur épanouissement. Nous vivons de fond publics essentiellement pour lesquelles l’état nous missionne.
Toutefois, nous développons des projets pilotes et innovants qui ne peuvent êtres soutenus par les institutions publiques. C’est pourquoi nous faisons appel aux dons et à la générosité des citoyens et des entreprises qui souhaitent nous accompagner dans le développement de nouveaux services à destination des personnes que nous accompagnons.

Suivez-nous

 

L'Aidaphi

Secteurs d'activités

    AIDAPHI

    71 avenue Denis Papin
    CS 80123
    45803 Saint Jean de Braye Cedex
    Tél: 02.38.24.14.40
    Fax: 02.38.24.14.59
    Nous contacter…