Introduction
La protection des données personnelles est aujourd'hui un enjeu majeur, particulièrement dans les établissements sociaux et médico-sociaux (ESSMS). Avec l'entrée en vigueur du RGPD, le principe de "Privacy by Design" est devenu incontournable pour garantir la sécurité et la confidentialité des données sensibles dès la conception des systèmes d'information. Ce concept, bien qu'introduit dans les années 90, prend une dimension nouvelle dans le secteur social et médico-social, en raison de la nature sensible des données traitées. Cet article explore comment le Privacy by Design doit être intégré dans les logiciels et outils des ESSMS, en mettant en lumière les changements apportés par le RGPD et en détaillant les bonnes pratiques à adopter pour assurer la conformité dès les premières étapes de tout projet technologique.
Privacy by Design : Historique et principes fondamentaux
Le concept de Privacy by Design n'est pas nouveau. Il a été développé dans les années 1990 par Ann Cavoukian, commissaire à l'information et à la protection de la vie privée de l'Ontario, au Canada. Ce cadre repose sur sept principes fondamentaux, qui visent à garantir la protection des données personnelles dès la phase de conception des systèmes de traitement. Ces principes sont les suivants :
Adoption de mesures préventives : Des mesures doivent être mises en place pour empêcher ou limiter les violations potentielles en matière de protection des données personnelles, dès le début du projet.
Protection des données par défaut : La protection des données personnelles doit être automatique et inhérente à tout processus de traitement, sans qu'une intervention supplémentaire de l'utilisateur ne soit nécessaire.
Intégration de la protection de la vie privée dès la conception : La confidentialité des données doit être un élément fondamental dans la conception des systèmes de collecte et de traitement, avec une adoption des meilleures pratiques dès le départ.
Sécurité et protection à tout moment : La sécurité et la protection des données doivent être assurées tout au long du cycle de vie du projet, de la conception à l'exploitation, en garantissant la confidentialité des informations.
Protection holistique et optimale : Il est nécessaire d'assurer une protection complète, de bout en bout, durant toute la durée de conservation des données, afin d'offrir un haut niveau de sécurité tout au long de leur traitement.
Transparence des pratiques : Les organisations doivent faire preuve de transparence quant à leurs pratiques de gestion des données, informant de manière claire et précise les personnes concernées sur l’utilisation de leurs données.
Respect des intérêts des utilisateurs : La protection des données ne doit jamais être facultative, mais intégrée par défaut, en privilégiant les intérêts des utilisateurs pour garantir leur confidentialité et leurs droits.
Le principe de Privacy by Design repose donc sur une approche proactive visant à prévenir les failles en matière de confidentialité, en intégrant la protection des données dès la phase de conception des systèmes technologiques.
L'intégration du Privacy by Design dans le RGPD
Le Règlement Général sur la Protection des Données (RGPD) a conservé et renforcé le concept de Privacy by Design, notamment à travers l'article 25, qui traite de la "protection des données dès la conception et par défaut". Ce principe impose désormais aux organisations, y compris les établissements sociaux et médico-sociaux (ESSMS), d'intégrer la protection des données personnelles dès la conception de tout projet impliquant le traitement de telles données.
Ainsi, chaque projet ou mission, quelle que soit sa nature, doit être pensé et conçu en tenant compte du respect de la vie privée des utilisateurs et en minimisant les risques de non-conformité au RGPD. Cela signifie que, dès les premières étapes, la confidentialité et la protection des données doivent être des préoccupations centrales. Par exemple, lors de la dématérialisation des bulletins de paie ou de la mise en place de dossiers informatisés des usagers, le principe de Privacy by Design doit être pris en compte pour anticiper et minimiser les risques liés à la confidentialité.
Privacy by Design vs Privacy by Default
Il est essentiel de distinguer le concept de Privacy by Design de celui de Privacy by Default. Le Privacy by Default, ou protection de la vie privée par défaut, intervient une fois qu'un produit ou service est mis à disposition du public. Ce principe garantit que les plus hauts standards de protection des données personnelles sont appliqués par défaut, sans nécessiter d'actions supplémentaires de la part des utilisateurs. Par exemple, l’utilisation d'une messagerie sécurisée telle que MS Santé applique automatiquement ce principe.
Quelles sont les implications du RGPD ?
L'entrée en vigueur du RGPD a modifié en profondeur la manière dont les établissements et services médico-sociaux traitent les données personnelles. Les organisations sont désormais pleinement responsables de leur conformité et doivent être en mesure de prouver cette conformité à tout moment, non seulement auprès des autorités de contrôle, mais aussi des usagers et des salariés.
Les établissements sociaux et médico-sociaux sont passés d'un régime basé sur l'autorisation préalable et la déclaration des traitements de données personnelles (comme sous la loi de 1978) à une véritable logique de responsabilisation, connue sous le terme d’accountability. Autrefois, il était nécessaire de déclarer auprès de la CNIL des fichiers tels que ceux liés aux dossiers des usagers ou aux systèmes de vidéosurveillance. Aujourd'hui, les ESSMS doivent démontrer de manière proactive leur conformité aux règles du RGPD, sans qu'une déclaration préalable ne soit requise.
Pour faciliter cette démarche, des référentiels spécifiques au secteur médico-social ont été mis en place par la CNIL. En outre, le responsable de traitement dans chaque organisation a l'obligation de respecter les règles imposées par le RGPD, renforçant ainsi la transparence et créant un lien de confiance entre l'organisation et les personnes dont les données sont traitées (usagers, salariés, partenaires).
Mise en œuvre du Privacy by Design
Prenons l’exemple concret de la mise en place d’un logiciel de gestion des dossiers des usagers dans un établissement médico-social. Pour respecter le cadre réglementaire du RGPD, il est nécessaire d'aborder cette mise en œuvre sous l’angle de cinq principes fondamentaux. Voici les principes clés à respecter dans ce type de projet.
1. Le principe de finalité
Le principe de finalité exige que le traitement des données soit effectué dans un but précis, explicite et légitime. Ce principe se traduit par la nécessité de définir, dès le cahier des charges, l’objectif de l’installation d’un nouveau logiciel. Il est crucial de se poser les bonnes questions : quelles informations seront collectées et traitées, et dans quel but ?
Par exemple, si le logiciel vise à améliorer l’accompagnement des usagers, il doit permettre aux professionnels de traiter toutes les données nécessaires, de manière complète et sécurisée, tout en limitant le traitement au strict nécessaire en lien avec cet objectif. Il est également impératif de restreindre l’accès et le traitement des données en fonction des missions de chaque membre de l’équipe. En définitive, les finalités doivent être déterminées dès le début du projet, car elles auront une influence sur l’ensemble de la mise en œuvre et l’usage de l’outil.
2. Le principe de proportionnalité
Le principe de proportionnalité stipule que le traitement des données doit être proportionné aux objectifs poursuivis. Autrement dit, seules les données strictement nécessaires doivent être collectées, et l’accès à ces données doit être limité aux seules personnes qui en ont réellement besoin dans le cadre de leurs fonctions.
Dans une démarche de Privacy by Design, cela implique que le cahier des charges doit intégrer des mécanismes de gestion des accès utilisateurs, permettant de définir des profils utilisateurs en fonction des besoins. Il est également recommandé de limiter les zones de saisie à des menus déroulants prédéfinis, afin de restreindre la collecte de données non pertinentes. Une attention particulière doit être portée à l’utilisation de zones de commentaires libres, pratiques mais risquées. La CNIL rappelle régulièrement qu’il est essentiel de rester objectif dans ces zones, et de ne pas y inclure des données sensibles (ex. : santé, sexualité) sans le consentement explicite des personnes concernées. En l'absence de ce consentement, il faut se limiter à l'usage de termes neutres et objectifs tels que « hôpital », « hospitalisation » ou « maladie de longue durée », sans mentionner la pathologie exacte de la personne concernée. En suivant ces bonnes pratiques, le principe de proportionnalité sera pleinement respecté.
3. Le principe de conservation
La durée de conservation des données est un autre aspect fondamental à prendre en compte. Les données à caractère personnel doivent être conservées uniquement pour la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. Au-delà, elles doivent être supprimées ou archivées de manière sécurisée.
Dans une approche Privacy by Design, le cahier des charges doit prévoir des mécanismes permettant de gérer l’archivage et la suppression des données. Par exemple, une fois qu’un usager quitte un établissement, les données peuvent être conservées à des fins de déclaration ou de statistiques, mais doivent être archivées et supprimées à l’échéance légale. Il est judicieux d’inclure dans le système une fonction de paramétrage des durées de conservation, avec des alertes lorsque ces durées arrivent à leur terme, afin d’assurer une gestion rigoureuse de l’archivage et de la suppression des données. Cela permet de respecter pleinement le principe de conservation.
4. Le respect du droit des personnes
Le Privacy by Design implique également de garantir le respect des droits des personnes concernées. Cela inclut notamment l’obligation d’informer les usagers, salariés et autres parties prenantes de leurs droits en matière de traitement des données, et de leur offrir les moyens d’exercer ces droits.
Dans le cadre de la mise en place d’un dossier informatisé de l’usager, il est essentiel de communiquer clairement sur les finalités du traitement, les durées de conservation, et les personnes ayant accès aux données. Cette information doit être fournie aux usagers et aux professionnels avant la mise en service de l’outil. Des clauses d’information, des chartes d’utilisation ou des affichages spécifiques (comme pour la vidéoprotection) doivent être mis en place pour garantir que toutes les personnes concernées soient bien informées de leurs droits. La CNIL propose des modèles de panneaux d’affichage conformes à ces exigences légales.
5. Le principe de sécurité et de confidentialité
Enfin, la sécurité et la confidentialité des données doivent être assurées tout au long du traitement. Le responsable de traitement a pour mission de garantir que seules les personnes autorisées ont accès aux informations, et de veiller à la sécurisation des échanges et de l’hébergement des données.
Dans le cas d’un logiciel de gestion des dossiers d’usagers, cela se traduit par l’obligation de protéger l’accès aux données à l’aide de mots de passe robustes, de créer et de gérer des profils utilisateurs afin de cloisonner l’accès aux informations, et d’héberger les données sur des serveurs conformes aux normes HDS (Hébergement de Données de Santé). Il est également essentiel de se limiter à l’usage de termes neutres et objectifs lorsqu’il s’agit de données sensibles, telles que des informations relatives à la santé. Par exemple, utiliser des termes comme « hospitalisation » ou « maladie de longue durée » au lieu de préciser des pathologies spécifiques, conformément aux exigences de confidentialité du RGPD.
Pour aller plus loin, il est impératif de s’assurer que tous les sous-traitants impliqués respectent les normes du RGPD. Un contrat de sous-traitance en bonne et due forme, avec des clauses spécifiques à la protection des données, doit être mis en place pour garantir que le sous-traitant apporte un niveau de sécurité suffisant.
Le principe de Privacy by Design est une démarche proactive visant à garantir la protection des données personnelles dès la phase de conception. Il se traduit concrètement par l’intégration de mécanismes de sécurité et de confidentialité dans les cahiers des charges, ainsi que par une réflexion approfondie en amont des projets. L’anticipation des risques liés au traitement des données permet de mieux répondre aux exigences réglementaires du RGPD tout en assurant la protection des droits et libertés des personnes concernées.

Quelques bonnes pratiques
Dans le cadre du RGPD, deux mesures de sécurité sont particulièrement mises en avant pour renforcer la protection des données : la pseudonymisation et la minimisation.
Pseudonymisation
La pseudonymisation consiste à remplacer les données directement identifiantes, telles que le nom ou le prénom, par des identifiants indirects comme un pseudo ou un numéro d’allocataire. Cette mesure permet de traiter des données personnelles sans identifier directement l'individu concerné. Il est important de distinguer la pseudonymisation de l’anonymisation : bien que la pseudonymisation réduise le lien direct entre les données et la personne physique, ces données peuvent toujours être reliées à une personne à l’aide d’informations supplémentaires. Ainsi, les données pseudonymisées conservent leur caractère personnel, contrairement à l'anonymisation, qui est irréversible.
Minimisation
Le principe de minimisation impose que les données à caractère personnel collectées et traitées soient strictement adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies. Par exemple, dans le cadre des ressources humaines, le statut marital d’un salarié ne serait pas pertinent à collecter si cela ne sert pas un objectif spécifique. Ce principe doit être pris en compte dès la conception du traitement par le responsable du traitement, ainsi que, le cas échéant, par ses partenaires ou coresponsables.
Intégration des nouvelles réglementations
Dans une approche de Privacy by Design, ces bonnes pratiques doivent être intégrées dans l’évolution des systèmes d’information pour anticiper les contraintes réglementaires émergentes. Voici quelques exemples d’initiatives à suivre :
Le Ségur du numérique impose aux établissements de santé et médico-sociaux de sélectionner des logiciels ou des mises à jour répondant aux cahiers des charges établis par l’Agence du Numérique en Santé (ANS). Ces solutions, référencées sous le Ségur sur le site de l'ANS, apportent des garanties supplémentaires en termes de sécurité, notamment pour la gestion des accès et le partage des données entre professionnels de santé et établissements sociaux et médico-sociaux (ESMS). De plus, l'intégration de messageries sécurisées permet une meilleure conformité avec les principes du RGPD.
Le référentiel de la Haute Autorité de Santé (HAS), publié en 2022, propose une nouvelle approche en matière de démarche qualité, avec 18 critères obligatoires. L’objectif 2.2 de ce référentiel évalue notamment la manière dont les professionnels favorisent l’exercice des droits fondamentaux et des libertés individuelles des personnes accompagnées. Ces critères doivent être pris en compte dans le cadre du Privacy by Design afin de garantir le respect des droits et libertés des usagers. Ainsi, l’anticipation des obligations réglementaires, à travers une démarche Privacy by Design, doit couvrir l’ensemble des réglementations applicables au secteur médico-social.
L’intégration du Privacy by Design dans les systèmes d’information des établissements sociaux et médico-sociaux permet non seulement de renforcer la sécurité et la confidentialité des données personnelles, mais aussi de répondre efficacement aux évolutions réglementaires du secteur. L'adoption de mesures telles que la pseudonymisation, la minimisation et la mise en œuvre des nouveaux référentiels contribuera à garantir la conformité au RGPD tout en favorisant la protection des droits des personnes concernées.
Conclusion
Le principe de Privacy by Design constitue un véritable gage de conformité au RGPD. Il s’inscrit dans une démarche proactive qui respecte les droits et les libertés des personnes dont les données à caractère personnel sont traitées. Loin d’être une contrainte, ce principe facilite l’anticipation des besoins fonctionnels lors de la mise en place de nouveaux systèmes de gestion. En intégrant les options adéquates dès la phase de conception, il devient plus aisé de répondre aux exigences réglementaires, tout en garantissant la sécurité et la confidentialité des données personnelles.
Cette anticipation permet de s’assurer que tous les outils utilisés pour traiter les données personnelles respectent les droits des individus et les obligations légales qui évoluent constamment dans notre secteur d’activité. À ce titre, nous vous recommandons de toujours adopter cette approche dans vos projets futurs. Le nouveau référentiel de la Haute Autorité de Santé (HAS), qui introduit des critères obligatoires en matière de protection des droits fondamentaux, renforce cette nécessité et doit être pris en compte dans vos démarches de conformité.
Vous êtes une association, une TPE ou une PME à la recherche de solutions personnalisées pour votre conformité R.G.P.D ? Contactez-nous dès aujourd'hui pour un accompagnement sur mesure, en distanciel ou en présentiel à Toulouse et dans toute la région Occitanie !
댓글