Le Règlement Général sur la Protection des Données (RGPD) s'applique pleinement aux EHPAD, qui traitent quotidiennement des données parmi les plus sensibles qui soient : données de santé, données sociales, informations sur la vie privée et familiale de personnes vulnérables. Dossiers de soins informatisés, logiciels de planification des interventions, outils de télémédecine, fichiers de paie et de gestion RH, système de vidéosurveillance : chaque EHPAD gère des dizaines de traitements de données personnelles soumis aux obligations du RGPD.
Depuis l'entrée en application du RGPD le 25 mai 2018, les sanctions de la CNIL peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros. Mais au-delà de la sanction financière, la conformité RGPD est avant tout une question de confiance : les résidents et leurs familles ont le droit de savoir comment leurs données sont utilisées, de les corriger, et d'en demander la suppression. L'IDEC, en tant que responsable de la gestion du dossier de soins, joue un rôle central dans cette conformité au quotidien.
📋 Sommaire
Pourquoi cette procédure est indispensable en EHPAD
Les EHPAD traitent des données de santé, catégorie de données dites « sensibles » au sens de l'article 9 du RGPD, dont le traitement est en principe interdit sauf exceptions légales strictement encadrées. Les données de santé incluent les diagnostics médicaux, les prescriptions, les comptes rendus d'hospitalisation, les résultats d'analyses biologiques, les antécédents, les évaluations gériatriques (GIR, MMS, MNA), mais aussi les données comportementales notées dans les transmissions (humeur, comportement, incidents de soin). Ces données doivent être traitées avec un niveau de sécurité élevé, conservées selon des durées légales précises, et accessibles uniquement aux professionnels habilités.
La CNIL a publié des référentiels spécifiques aux établissements de santé et médico-sociaux, rappelant que la conformité RGPD n'est pas optionnelle. Les risques pour les EHPAD non conformes vont au-delà des sanctions financières : atteinte à la réputation, perte de confiance des familles, et surtout risque réel pour les résidents si leurs données de santé sont accessibles à des tiers non autorisés ou perdues lors d'une cyberattaque.
Cadre réglementaire et références HAS
La protection des données personnelles en EHPAD repose sur les textes suivants :
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) : règlement européen directement applicable dans tous les États membres depuis le 25 mai 2018. Il définit les principes de licéité, loyauté, transparence, minimisation des données, exactitude, limitation de conservation, intégrité et confidentialité.
- Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n°2018-493 du 20 juin 2018 pour être mise en conformité avec le RGPD : texte fondateur de la protection des données en France, complété par l'ordonnance n°2018-1125 du 12 décembre 2018.
- Référentiel CNIL sur les données de santé : la CNIL a publié des lignes directrices spécifiques aux traitements de données de santé réalisés par les établissements médico-sociaux (avis et délibérations disponibles sur cnil.fr).
- Article L.1111-7 et suivants du Code de la santé publique : droits des patients/résidents d'accès à leur dossier médical, avec délai de communication de 8 jours (délai ramené à 48h si le dossier date de moins de 5 ans depuis la loi du 4 mars 2002) porté à 2 mois si les informations datent de plus de 5 ans.
Le non-respect du RGPD peut entraîner des sanctions administratives prononcées par la CNIL allant d'un simple rappel à l'ordre jusqu'à une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En pratique, pour un EHPAD, les sanctions les plus courantes concernent l'absence de registre des traitements, le défaut de réponse aux demandes d'exercice de droits, ou une faille de sécurité non notifiée à la CNIL dans les délais.
Les étapes clés de la procédure
La mise en conformité RGPD d'un EHPAD s'organise autour de quatre axes opérationnels que l'IDEC doit connaître et contribuer à mettre en œuvre.
Étape 1 — Cartographier les traitements et tenir le registre
Le registre des activités de traitement est une obligation légale pour tout organisme traitant des données personnelles à grande échelle ou des données sensibles (art. 30 RGPD). Pour un EHPAD, ce registre recense tous les traitements : dossier de soins informatisé, gestion des plannings et RH, vidéosurveillance, liste des résidents, fichiers des contacts famille, outils de télémédecine, etc. Pour chaque traitement, le registre documente : la finalité (pourquoi les données sont collectées), les catégories de données traitées, les personnes habilitées à y accéder, les durées de conservation, les mesures de sécurité, et les éventuels sous-traitants (prestataires informatiques, hébergeurs de données de santé). Le registre est tenu par le Délégué à la Protection des Données (DPO) si l'établissement en a désigné un, ou par la direction avec l'appui de l'IDEC. La désignation d'un DPO est obligatoire pour les établissements traitant des données de santé à grande échelle (ce qui est le cas de la quasi-totalité des EHPAD).
Étape 2 — Gérer les droits des résidents
Le RGPD confère aux résidents (ou à leurs représentants légaux) six droits fondamentaux : le droit d'accès (obtenir une copie de leurs données), le droit de rectification (corriger des données inexactes), le droit à l'effacement (dans certaines conditions limitées pour les données de santé), le droit à la portabilité (obtenir ses données dans un format structuré), le droit d'opposition (dans certaines circonstances), et le droit de limitation du traitement. Toute demande d'exercice de droits doit recevoir une réponse dans un délai maximum d'un mois, pouvant être porté à deux mois si la demande est complexe (avec information de la personne dans le premier mois). Une procédure interne doit préciser : qui reçoit les demandes (direction, IDEC, DPO), comment l'identité du demandeur est vérifiée, comment la réponse est formulée et archivée. Le refus d'une demande doit être motivé et notifié à la CNIL si le demandeur conteste.
Étape 3 — Gérer les habilitations et la sécurité des accès
L'accès aux données personnelles des résidents doit être strictement limité aux professionnels qui en ont besoin dans le cadre de leur mission. La gestion des habilitations est un axe majeur de la conformité RGPD : chaque salarié doit disposer d'un compte nominatif sur le logiciel de soins, avec des droits d'accès adaptés à sa fonction (l'agent hôtelier n'accède pas au dossier médical). Les droits d'accès sont créés à l'arrivée du salarié et supprimés immédiatement à son départ. Une révision annuelle des habilitations est recommandée. Pour les sous-traitants (prestataires informatiques, hébergeurs), un Data Processing Agreement (DPA ou DPA) doit être formalisé, précisant les obligations de sécurité et de confidentialité du prestataire. Les hébergeurs de données de santé doivent être certifiés HDS (Hébergeur de Données de Santé) conformément aux articles L.1111-8 et R.1111-8-8 et suivants du Code de la santé publique.
Étape 4 — Gérer les violations de données et les incidents de sécurité
Une violation de données personnelles est tout incident de sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles. En EHPAD, les violations les plus fréquentes sont : la perte ou le vol d'un ordinateur ou téléphone portable contenant des données non chiffrées, un accès non autorisé au logiciel de soins, une cyberattaque de type ransomware, ou l'envoi par erreur d'un dossier à un mauvais destinataire. En cas de violation, l'établissement doit notifier la CNIL dans un délai de 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. Si le risque est élevé, les personnes concernées (résidents, familles) doivent également être informées. L'incident doit être documenté dans un registre des violations, qu'il ait ou non donné lieu à une notification à la CNIL.
📋 Téléchargez la procédure complète
La procédure complète au format HAS : trame de registre des traitements, procédure de réponse aux droits, matrice des habilitations, procédure de gestion des violations et affiche A4.
Télécharger cette procédure →Points de vigilance et erreurs fréquentes
La conformité RGPD d'un EHPAD est un processus continu qui se heurte à plusieurs écueils récurrents :
- Absence de registre des traitements : le registre est obligatoire et doit être tenu à jour. C'est la première chose que la CNIL vérifie lors d'un contrôle. Un registre incomplet ou non actualisé est assimilé à une absence de registre.
- Comptes partagés sur les logiciels de soins : l'utilisation d'un identifiant collectif (un seul mot de passe pour toute l'équipe) est une faute grave au regard du RGPD, car elle rend impossible la traçabilité des accès. Chaque professionnel doit avoir ses propres identifiants.
- Non-suppression des accès lors du départ d'un salarié : les comptes des salariés qui quittent l'établissement (fin de CDD, démission, licenciement) doivent être désactivés le jour même du départ, y compris les accès à la messagerie professionnelle et aux outils partagés.
- Transmission de données de santé par email non sécurisé : l'envoi d'un dossier de soins ou d'informations médicales par email sans chiffrement est une violation du RGPD. Les échanges de données de santé doivent passer par des messageries sécurisées de santé (MSSanté) ou des espaces partagés sécurisés.
- Délai de réponse aux demandes d'accès non respecté : le délai d'un mois est impératif. Un résident ou sa famille qui ne reçoit pas de réponse peut saisir directement la CNIL, qui ouvrira une procédure contre l'établissement.
Indicateurs qualité et suivi
La conformité RGPD se suit à travers des indicateurs organisationnels permettant de mesurer la maturité du dispositif :
- Taux de comptes nominatifs actifs sur les logiciels de soins : objectif 100 % des accès nominatifs, zéro compte partagé. Cet indicateur est vérifié lors des audits informatiques annuels.
- Délai de traitement des demandes d'exercice de droits : nombre de demandes reçues, délai moyen de réponse (objectif moins de 30 jours), taux de demandes traitées dans les délais.
- Nombre de violations de données déclarées à la CNIL : à suivre annuellement. Un nombre nul peut indiquer que les incidents ne sont pas détectés plutôt qu'une absence d'incidents réels.
- Taux de mise à jour du registre des traitements : le registre doit être révisé à chaque nouveau traitement mis en place, à chaque changement de logiciel, et au moins une fois par an. Objectif : révision annuelle documentée.
Télécharger la procédure complète — Format HAS + Affiche A4
La procédure RGPD disponible en téléchargement est conçue spécifiquement pour les EHPAD, par des professionnels maîtrisant les spécificités du secteur médico-social. Elle comprend : la trame de registre des traitements pré-remplie avec les traitements typiques d'un EHPAD, la procédure de réponse aux droits des résidents avec les modèles de courriers, la matrice des habilitations par fonction, la procédure de gestion d'une violation de données avec le modèle de notification CNIL, les durées de conservation légales applicables au secteur médico-social, et l'affiche A4 rappelant aux équipes leurs obligations de confidentialité.
📋 Procédure RGPD — Gestion des données personnelles en EHPAD
Registre des traitements, procédure droits des résidents, matrice des habilitations, gestion des violations et affiche A4 — la conformité RGPD opérationnelle pour votre EHPAD.
Obtenir cette procédure →📦 Pack complet 28 Procédures EHPAD 2026
Toutes les 28 procédures + affiches A4 dans un seul pack économique.
Voir le Pack 28 Procédures →