Le RGPD dans les établissements de santé - 2 J

Contexte

La mise en œuvre du règlement général de protection des données personnelles (RGPD) a modifié l'approche de la protection des données personnelles des usagers des établissements de santé. Elle implique une mise en conformité des pratiques médicales aux exigences de cette protection.

La présente formation consiste à faire état de cette réglementation et à initier les outils opérationnels permettant la protection des données des patients.

Objectifs

Objectifs généraux :

• Connaître les points clés et les enjeux de la nouvelle réglementation.
• Identifier une démarche de mise en conformité

Objectifs Spécifiques :

Cette action doit permettre à chaque participant de :

• Appréhender l'évolution historique de la protection des données personnelles ;
• Connaitre la définition des termes essentiels : donnée personnelle, donnée sensible, traitement… ;
• Connaitre les points clés et les enjeux du RGPD appliqué au secteur d'activité sanitaire et médico-social ;
• Différencier les dispositions de la loi " Informatique et libertés " et le RGPD ;
• Connaître les éléments de réglementation propre au secteur d'activité sanitaire et médico-social à prendre en compte lors la mise en oeuvre du RGPD ;
• Connaitre la règlementation quant à la conservation et sauvegarde des données
• Identifier les responsabilités et les enjeux associés ;
• Appréhender les étapes de la démarche de mise en conformité et les conditions de sa réussite
• Repérer les éléments de méthode, les tâches à réaliser pour la mise en conformité ou son suivi
• Identifier les modalités de gestion continue de la conformité ;

Programme

JOUR 1: module initial : Comprendre et connaître le système de protection des données personnelles du RGPD

Début de la journée : action initiale de pédagogie interactive

Réalisation d'un QCM élémentaire sur la connaissance de la protection des données personnelles

 

I - Apports de contenus théoriques et méthodologiques (3h)

• Introduction historique

La numérisation des données, l'affaire SAFARI, la LIL du 6 janvier 1978, création de la CNIL, l'extension des domaines de contrôle des traitements de données personnelles, la directive 95/46, RGPD et LIL modifiée (loi du 20 juin 2018 et ordonnance du 12 décembre 2018)

• Les notions fondamentales

Vocabulaire général : données personnelles et données non personnelles, données sensibles, traitement, fichier, responsable du traitement, sous-traitant, tiers, autorité de contrôle

Vocabulaire spécifique : données concernant la santé, données génétiques, données biométriques, l'identifiant national de santé (NIR – décret du 27 mars 2017)

Particularité des données de santé : coexistence du régime de protection au titre du secret professionnel avec le régime de protection des données personnelles du RGPD

• Le nouveau paradigme de la protection des données personnelles avec le RGPD

Ancien paradigme : la mise en œuvre de formalités préalables

Nouveau paradigme : le principe de conformité

Les obligations imposées par le principe de conformité : rédaction d'un code de conduite, analyse d'impact relative à la protection des données, certification, désignation d'un délégué à la protection des données

Les standards de protection des données : protection des données dès la conception, protection des données par défaut

Les principes de la protection des données : finalité, proportionnalité, durée limitée, sécurité et confidentialité

• Le droit fondamental à la protection des données

Caractère fondamental du droit à la protection des données

Le titulaire des droits fondamentaux protégeant les données personnelles : situation du patient (intégration parmi les droits des patients), de l'enfant et du défunt

Le contenu des droits fondamentaux protégeant les données personnelles : droit d'information, droits d'accès et de rectification, droit d'opposition, droit à la limitation du traitement, droit à la portabilité et droit à l'effacement

• Les contrôles

Contrôle interne : le délégué à la protection des données

Contrôle administratif : les missions et compétences de la CNIL, le régime de sanctions administratives, les recours

Contrôle judiciaire : régime de responsabilité extracontractuelle, les actions collectives, le régime de responsabilité pénale, les sanctions pénales.

 

II - Temps d'échanges spécifiques (en plus des contenus théoriques et méthodologiques) (3h)

Échanges sur la définition des données personnelles hors / dans l'hôpital : identifier les données personnelles

Harmoniser le secret médical et la protection des données personnelles des patients

Comprendre la méthodologie nouvelle de la protection des données personnelles

Sensibiliser les personnels de santé à l'importance de la protection : Identifier les pratiques à risque de fuite de données : échanges par métier hospitalier

Replacer la protection des données personnelles au premier rang des obligations des soignants

Intégrer le risque de fuite de données comme un risque majeur au regard des droits des patients

 

III - Outils concrets et opérationnels (1h)

Savoir repérer ses droits et obligations : établissement d'une fiche thématique sur chaque item

Connaître et savoir consulter le site de la CNIL

Faire connaître dans l'établissement et dans un point accessible par tout agent n'ayant pas reçu la formation l'existence et les missions du délégué à la protection des données de l'établissement et définir un politique de communication interne dans ce but.

 

Clôture de la journée : action intermédiaire de pédagogie interactive

Réalisation d'un QCM avancé sur la connaissance de la protection des données personnelles

 

JOUR 2 : module avancé : Pratiquer le RGPD dans l'établissement public de santé

 I - Mise en situation et définition stratégique de la politique de protection des données de l'établissement hospitalier (politique de conformité) (3h30)

Le déroulement de cet item implique une synthèse préalable de l'établissement adressée au formateur comportant la liste des traitements existants et des modalités en vigueur d'information des patients sur leurs droits numériques.

 

Objet de l'échange et de définition des outils :

Insérer la politique de conformité dans le projet d'établissement

• Contractualiser les objectifs de conformité : identifier les traitements existants et tenir un registre des traitements
• Identifier les contenus et les ressources internes : savoir documenter sa conformité : construire un organigramme interne et définir les processus de décision et d'accès, définir une politique de communication numérique sur la confidentialité et la protection des données personnelles

Réaliser les actions de conformité : méthode RACI (Réalisation - Accountable – Consultation - Information)

• Commencer par les non-conformités majeures : vérification du consentement, des processus de sécurité et la mise en œuvre des droits des patients
• Adopter une approche par service : services administratifs et services médicaux, hôpital de jour et séjours moyens ou longs
• Échanger ou statuer sur les demandes ou les contraintes spécifiques : spécificités des services de l'hôpital, identification de l'établissement (Ex. : CHU, hôpitaux de proximité, rattachement d'un EPHAD, hôpitaux chargés des soins spécialisés, communautés professionnelles territoriales de santé)
• Construire une démarche ouverte afin d'impliquer positivement les métiers

II - Apports de contenus théoriques et méthodologique (2h)

• Le choix des partenaires de l'établissement public de santé pour la protection des données des patients

Le principe de l'hébergement des données de santé des patients : l'ordonnance du 12 janvier 2017 et décret du 26 février 2018 : principe et contenu – l'hébergement des données du dossier médical partagé – les obligations des hébergeurs de données de santé

Choisir un délégué à la protection des données : méthode, désignation, adéquation avec les missions hospitalières

• Le recueil des données des patients

Diversité des données des patients : données civiles, données relatives à l'état de santé et au mode de vie, données médico-administratives pour recouvrer les frais de soins, données statistiques (utilisation en matière de gestion des risques), données utilisées aux fins de la recherche

Les données personnelles collectables et la question du consentement : traitement avec ou sans consentement pour les données sensibles dans l'activité hospitalière : situation du patient en cas d'urgence médicale, médecine préventive, santé publique, gestion des services de soins de santé

La transmission des données des patients : institutions publiques de santé publique (future plate-forme des données de santé), établissements de santé, professionnels libéraux, transporteurs sanitaires

Identifier les professionnels chargés de reporter les éléments dans le dossier médical partagé et permettre l'accès des patients à leur DMP et d'échanger avec les patients dans l'espace numérique de santé

III - Études de cas (1h)

Choisir un hébergeur des données des patients et externaliser l'hébergement : préparer un marché public d'hébergement des données de santé, définir les données essentielles du marché

Définir le profil du délégué à la protection des données, déterminer ses contacts à l'hôpital et les modalités de sa saisine par le personnel (qui, comment)

Savoir informer les patients sur leurs droits : insérer dans les droits issus du RGPD dans le livret d'accueil, ajouter un dispositif à la charte des patients hospitalisée, insérer des stipulations dans le contrat de séjour dans les EPHAD, former les membres (représentants des usagers) de la CDU

Reprendre la fiche accueil du patient : mise en adéquation avec le RGPD, mise en adéquation avec le dossier médical partagé, la difficulté du respect du RGPD concernant les données personnelles de la personne de confiance

 

Clôture de la journée : action terminale de pédagogie inversée

Les stagiaires décriront avec précision le parcours numérique de soins du patient en insistant sur les protocoles de protection des données personnelles.