Scroll to top

RGPD Sociétés de services dédiés à la personne gestion efficace des DCP

Les acteurs du secteur des sociétés de services dédiés à la personne traitent une grande quantité de données dites sensibles, voire des « données sensibles de santé ». Leurs structures ont besoin de ces informations pour connaitre leurs clientèles et proposer des services toujours plus personnalisés. Autrefois, le carnet, le cahier de transmissions ou le planning pouvaient suffire. Depuis la Loi Informatique et Libertés et le nouveau Règlement Général sur la Protection des Données personnelles, RGPD, la donne a changé et a compliqué les process. « Les mesures techniques et organisationnelles » sont mobilisées et documentées. Toute la chaine des intervenants s’est sensibilisée et formée aux principes et obligations du RGPD. Obtenir le consentement des « clients » ou « patients » nécessite un nouveau challenge avec au final un nouveau climat de confiance entre les différentes parties. Le secteur dispose même de son Salon de services à la personne ou encore de sa Charte Nationale Qualité services à la personne. La qualité et la confiance sont les maîtres mots des acteurs du secteur des sociétés de services à la personne en matière de gestion des données à caractère personnel, DCP.

Quelques définitions d’appellations des métiers

SAAD : c’est le service d’aide à domicile, il agit en tant que prestataire.

SSIAD : le service de soins infirmiers à domicile : le service le plus connu de tous.

SSIAD ESA : équipe spécialisée Alzheimer à domicile

Le service d’aide à domicile mandataire

Le portage de repas à domicile

Employée de maison

Gardes à domicile

Garde d’enfants à domicile

Pourquoi les Sociétés de services dédiés à la personne sont-elles impactées par le RGPD ?

Mis en application au 25 mai 2018, ce nouveau Règlement Général sur la Protection des Données Personnelles a impacté les SAAD dans leurs habitudes et modifié la gestion de la confidentialité des données personnelles à caractère personnel, DCP. Ces dernières étaient collectées par le service médical en ville ou en milieu hospitalier. Aujourd’hui, cette collecte s’effectue grâce aux appareils connectés ou des applications métier. Le partage d’informations entre professionnels multidisciplinaires est devenu la règle. De fait, les données de santé collectées permettent de déduire l’état de santé du « client patient ». Outre le fait que ces informations indiquent son état physique, mental, sa situation sociale, elles constituent, dès lors, des données à caractère personnel. Les Sociétés de services dédiés à la personne sont soumises à l’obligation de se mettre en conformité au RGPD.

Qu’est-ce qu’une donnée à caractère personnel et qu’entend-on par traitement de données ?

Le RGPD, dans son article 4 définit comme étant une donnée à caractère personnel, toute information qui se rapporte à une personne physique identifiée ou identifiable : nom, prénom, adresse, mail, téléphone, données de localisation, tout élément ou information sur son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, etc.

Le secteur des services dédiés à la personne collecte des données personnelles à caractère personnel, DCP, sensibles, notamment de santé. La collecte et le traitement de ces DCP sont indispensables et participent à la raison légitime et nécessaire au fonctionnement des services apportés aux clients.

Les directions et les responsables de traitement des données sont donc très vigilants à la conformité de leurs process. Le RGPD définit le traitement des DCP, article 4-2, comme toute opération ou ensemble d’opérations effectuées, manuellement ou avec l’aide de procédés automatisés, tels que des logiciels métier ou gestion de relations clients. Les opérations suivantes sont considérées comme traitements de données :

  • La collecte, l’enregistrement, l’organisation
  • La structuration, la conservation, l’adaptation ou toute modification
  • L’extraction, la consultation, l’utilisation
  • La communication par transmission, la diffusion
  • Le rapprochement ou interconnexion
  • La limitation, l’effacement, la destruction

Quels sont les grands principes et les obligations énoncés par le Règlement Général de la Protection des Données ?

Le secteur des sociétés de services à la personne, par nature, a des valeurs humaines que chaque acteur respecte tout au long de ses interventions. La mise en place du RGPD n’a fait que renforcer ces valeurs. Rappelons ici les grands principes du nouveau règlement.

  • Le principe de licéité ou licité précise que les traitements des données doivent correspondre à la finalité décrite aux personnes concernées. Le principe de loyauté, quant à lui, exige de respecter les règles du RGPD.
  • Les données à caractère personnel, DCP, collectées doivent être limitées et conformes aux finalités énoncées, explicites et légitimes.
  • Les collectes des DCP doivent être adéquates, pertinentes et surtout limitées à ce qui est strictement nécessaire à la mission légitime et au traitement prédéfini (principe de pertinence).
  • Les données personnelles doivent être exactes et tenues à jour.
  • Le principe de la conservation doit être respecté. Les structures ne peuvent conserver les DCP quand elles ne sont plus nécessaires à la finalité prédéfinie. Le responsable des données, DPO ou DPD, les supprime ou procède à leur anonymisation ou les transfère dans une base de données intermédiaire.
  • Le responsable de traitement a pour mission de garantir la sécurité, l’intégrité et la confidentialité des données collectées par sa structure (l’obligation de sécurité).
  • Elle doit veiller, également, à la mise en place de la politique de confidentialité, dans tous les documents de l’organisation et éventuellement sur le site web.
  • La mission du DPO/DP consiste, entre autres, de documenter et de démontrer la conformité de la structure en regard du RGPD (l’obligation de documentation).

Protection renforcée de données à caractère personnel pour les acteurs des sociétés de services aux personnes

Le RGPD préconise le « Privacy by design et Privacy by default», ce qui implique que l’organisme collecteur de DCP, prévoit et assure la protection des données dès la conception d’un formulaire de collecte et du process de collecte, de conservation et de traitement. En l’occurrence, les données collectées et traitées par les sociétés de services aux personnes sont considérées « données sensibles de santé ». Elles bénéficient donc d’un régime de protection renforcée.

L’article 9 du RGPD et l’article 8 de la Loi Informatique et Libertés ont énoncé l’interdiction du traitement des données de santé et de leur commercialisation. Cependant, les DCP peuvent être exploitées à la condition explicite que la personne concernée ait donné son consentement « clair et explicite ». Elle doit être informée de la finalité de l’exploitation et traitement de ses DCP (RGPD article 7). Cette finalité demeure possible aux fins de médecine préventive, diagnostics médicaux, administration des soins ou de poursuite de traitements médicaux, ou de la gestion des services de santé, etc. Ces DCP sont obligatoirement traitées par un professionnel de santé ou le cas échéant une personne tenue par le secret professionnel. D’autres protections renforcées sont valides et encadrent les données sensibles de santé : tout professionnel peut se référer au décret du 1er aout à ce sujet.

Pour rappel, le RGPD précise qu’une donnée de santé se rapporte à l’état de santé, physique, mentale, passé ou futur d’une personne physique identifiée ou identifiable. Cela peut concerner le génome, la fréquence cardiaque, l’analyse biologique, un handicap, traitement clinique, antécédents médicaux, etc. Croiser des données avec d’autres informations pour déduire l’état de santé d’un individu ou les utiliser à des fins médicales permet de les qualifier de données de santé par destination.

Comment appliquer concrètement le RGPD dans les sociétés de services à la personne et être en conformité ?

Outre le fait de suivre de manière pragmatique et exhaustive les recommandations obligatoires du RGPD, qui rappelons-le vaut force de loi, nous préconisons les conseils suivants pour vous mettre en conformité avec le nouveau règlement.

Le principe d’accountability exige la responsabilisation de tous les acteurs qui collectent et traitent les DCP dans une organisation. Il faut revoir les accès et privilèges des utilisateurs des dossiers et du système d’information : cartographier, définir les droits d’accès appropriés aux collaborateurs.

Le DPO ou DPD, personne responsable de la protection des données, collecte et documente les consentements des personnes concernées. Une de ses missions consiste à mettre à disposition de l’Autorité de protection les preuves de la conformité de son organisation : conservation, stockage des données, les mesures « techniques et organisationnelles » pour garantir la confidentialité et la sécurisation des DCP, procédures de notification en cas de violation des DCP, récupération des données, etc. La tenue d’un registre de traitement des données fait partie intégrante de sa mission de DPO/DPD.

En relation avec le responsable de traitement des DCP, le DPO/DPD a défini les protocoles de bonnes pratiques pour garantir les droits des clients patients, notamment en matière de portabilité des données. Dans ce cas de figure, il faut noter que cette portabilité concerne les données fournies par la personne et non celles traitées par les sociétés de services aux personnes.

Conclusion

Les dirigeants d’entreprises prestataires de services à la personne, SAAD, ont pris la mesure de l’impact du RGPD dans leurs organisations. Le 25 mai 2018, date de mise en application du RGPD, a permis de sensibiliser tous les professionnels du secteur. La Charte Nationale Qualité des services à la personne est là pour démontrer les valeurs intrinsèques des acteurs du secteur. Les informations collectées auprès des personnes sont qualifiées de « données sensibles » obligeant ainsi à se mettre en conformité avec le RGPD et à remettre à plat les process. Les organisations mènent elles-mêmes les démarches pour se mettre en conformité, d’autres ont choisi d’utiliser des outils dédiés pour gérer cette démarche. Nos experts consultants sont à votre disposition pour vous accompagner et renforcer, si besoin est, le renforcement de la sécurisation ou démarrer un audit de votre organisation.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

deux × trois =

Obtenez le guide directement dans votre boîte e-mail





Obtenez le guide RGPD