Ce que font réellement les EHPAD d’Évreux pour garantir la confidentialité et la sécurité des données personnelles

La question de la confidentialité et de la protection des données personnelles est devenue l'une des priorités dans le fonctionnement des EHPAD à Évreux comme partout en France. Tenir une fiche médicale, protéger l’intimité d’une personne âgée, gérer les dossiers administratifs ou échanger avec les familles : à chaque étape, des informations sensibles circulent. Or, ces données ne relèvent pas seulement du confort ou du respect moral, elles sont au cœur de la loi et des réglementations européennes, notamment le RGPD (Règlement Général sur la Protection des Données).

Les chiffres montrent l’ampleur du sujet : selon la CNIL, 24% des plaintes qu’elle reçoit concernent le secteur de la santé. Par ailleurs, d’après le Ministère de la Santé, plus de 10 000 établissements médico-sociaux (EHPAD, foyers logements, etc.) sont concernés par l’obligation de conformité à la réglementation sur les données personnelles.

• Données médicales : antécédents de santé, traitements en cours, comptes rendus d’hospitalisation, protocoles de soins.
• Données administratives : état civil, coordonnées, ayant droits, assurances, informations bancaires pour la facturation.
• Données de vie courante : habitudes alimentaires, préférences en matière d’accompagnement, activités pratiquées, liste des proches à contacter en cas d’urgence.

Toutes ces informations permettent de personnaliser l’accompagnement, d’assurer la sécurité médicale et de répondre aux obligations légales. Leur fuite ou leur mauvaise utilisation pourrait entraîner des conséquences graves : usurpation d'identité, discrimination, voire — dans de très rares cas, mais cela existe — chantage ou abus de faiblesse.

Depuis 2018, le RGPD impose à tous les EHPAD d’Évreux (et de France) des obligations strictes pour garantir la sécurité et la confidentialité des données des résidents. Plusieurs lois et référentiels viennent renforcer ces mesures — la loi “Informatique et Libertés” de 1978, régulièrement mise à jour, les recommandations de la CNIL ainsi que des dispositions spécifiques du Code de la Santé Publique.

Pour en savoir plus sur le RGPD, consultez le site de la CNIL.

À Évreux, la gestion des données personnelles est prise très au sérieux. Plusieurs dispositifs sont systématiquement appliqués, que ce soit dans des établissements publics, privés lucratifs ou associatifs.

1. La limitation des accès

• Personnel formé : seuls les membres du personnel habilités peuvent consulter le dossier médical ou les informations personnelles. Chaque accès est tracé et justifié.
• Famille et proches : la consultation ou la transmission d’informations ne se fait qu’après consentement du résident (ou de son représentant légal).
• Sous-traitants : les prestataires extérieurs (sociétés informatiques, laboratoires partenaires…) signent des clauses de confidentialité très strictes.

2. Des outils numériques adaptés et sécurisés

• Dossiers informatisés sécurisés : l’essentiel des EHPAD d’Évreux utilisent désormais des logiciels spécialisés hébergés chez des opérateurs agréés “hébergeur de données de santé” (HDS).
• Mots de passe et double authentification : les connexions au logiciel de gestion des soins ou des dossiers administratifs sont protégées par des mots de passe — souvent renouvelés — et, dans certains établissements, par de la double authentification (Code envoyé sur smartphone par exemple).
• Sauvegarde chiffrée : les données sont régulièrement sauvegardées via des systèmes de chiffrement avancés pour éviter toute perte ou vol lors d’un incident technique.

Selon une étude de l’ANS (Agence du Numérique en Santé) de 2023, près de 75% des EHPAD en France se sont équipés de solutions de sécurité informatique conformes aux exigences les plus strictes (source : esante.gouv.fr).

3. Discrétion au quotidien et secret professionnel

• Entretiens dans des lieux dédiés : les échanges confidentiels, que ce soit avec le médecin, l’infirmier coordinateur ou l’assistante sociale, se déroulent dans des espaces fermés et non accessibles au public.
• Transmission orale maîtrisée : aucun renseignement sur l’état de santé n’est donné par téléphone sans avoir vérifié l’identité du demandeur.
• Confidentialité des échanges écrits : toute correspondance contenant des données sensibles (mail, courrier) est remise en main propre ou envoyée en recommandé lorsque nécessaire.

Cette discrétion s’étend aussi aux différents moments de la journée : lors de la distribution des médicaments, des soins d’hygiène ou au moment des repas, aucun détail médical n’est cité à voix haute devant d’autres résidents.

Les résidents, leurs familles ou leurs représentants légaux disposent de droits clairs concernant leurs données.

• Droit d’accès : il est possible à tout moment de consulter son dossier.
• Droit de rectification : en cas d’erreur ou de changement de situation, la demande de correction est traitée rapidement.
• Droit à l’effacement : ce droit reste encadré dans le secteur médical mais, hors obligation légale de conservation, il est possible d’obtenir la suppression de données non pertinentes.
• Droit à l’information : chaque résident doit recevoir une note explicative simple sur le traitement de ses données lors de son admission.
• Droit d’opposition : le résident peut s’opposer à certains traitements non essentiels à la prise en charge, par exemple l’utilisation de ses données pour des évaluations anonymisées ou des enquêtes externes.

En cas de doute ou de problème, il est possible de saisir la CNIL directement via son site officiel.

Les piratages informatiques, pertes de supports numériques (clé USB, ordinateurs), tentatives de phishing ou erreurs humaines représentent des risques concrets.

Prévenir les failles : une vigilance renforcée

• Formations régulières : le personnel bénéficie de sessions de sensibilisation à la cybersécurité (phishing, mots de passe, reconnaissance des tentatives frauduleuses, etc.).
• Tests de vulnérabilité : de nombreux EHPAD font appel à un prestataire local pour auditer la sécurité de leur système informatique une à deux fois par an.
• Procédures d’alerte : un référent “Protection des données personnelles” (correspondant RGPD) est désigné dans chaque établissement. Il est chargé de gérer toute suspicion d’incident ou de fuite.
• Signalements obligatoires : si une violation est avérée, l’EHPAD doit prévenir la CNIL dans un délai de 72 heures, informer les personnes concernées et proposer des solutions concrètes.

Fin 2022, une cyberattaque au sein d’un groupement d’EHPAD de la région parisienne a montré l’étendue des menaces : près de 600 dossiers ont été temporairement inaccessibles, mais aucune donnée n’a été rendue publique (source : Le Monde). Des audits ont depuis été renforcés dans tout le secteur, y compris à Évreux.

Pour les familles ou futurs résidents qui souhaitent évaluer le sérieux d’un EHPAD à Évreux sur la gestion des données :

1. Demander à voir la note d’information “RGPD” : tout établissement doit présenter un document synthétisant ses engagements.
2. Poser la question de l’hébergement informatique : l’EHPAD travaille-t-il avec un hébergeur agréé HDS ? (C’est un vrai gage de sécurité.)
3. Qui a accès au dossier médical ? Le personnel formé et titulaire d’un code nominatif ?
4. Les proches peuvent-ils avoir des copies des données ? Cette démarche est-elle encadrée (par exemple, remise en main propre uniquement) ?
5. Quelles procédures en cas de “fuite” de données ? Existe-t-il un processus clair pour informer et protéger les résidents ?

La réalité du terrain montre que la protection des données n’est jamais tout à fait acquise : la technologie, les usages et les législations évoluent. Les EHPAD d’Évreux gardent donc un niveau de vigilance accru et adaptent sans cesse leurs pratiques, en coopération avec la CNIL, les ARS et l’Agence du Numérique en Santé.

Il reste essentiel que les familles et les proches se sentent autorisés à poser des questions, à exprimer leurs craintes ou à demander des explications. Cette implication collective, couplée à des pratiques professionnelles rigoureuses, est le meilleur gage de respect et de sécurité pour les personnes âgées.

Pour suivre les dernières évolutions ou poser une question précise sur les droits en matière de données personnelles : le site de la CNIL propose fiches pratiques, guides et modèles de courriers simples à utiliser.