Dans le secteur médico-social, la donnée n’est jamais anodine. Derrière chaque dossier se trouve une personne vulnérable : un résident, un usager, une famille, un demandeur d’asile. Protéger ces données, ce n’est pas seulement répondre à une obligation réglementaire : c’est honorer la relation de confiance qui fonde tout accompagnement. C’est aussi, pour les établissements et services sociaux et médico-sociaux (ESSMS), un véritable défi opérationnel.
Des données parmi les plus sensibles qui soient
Les structures du médico-social traitent quotidiennement ce que le RGPD qualifie de « catégories particulières de données » : état de santé, situation sociale, parcours de vie, et parfois données relatives au statut administratif, à l’origine ou aux convictions. Ces informations bénéficient d’un régime de protection renforcé au titre de l’article 9 du règlement.
À cette sensibilité s’ajoute une réalité de terrain : la donnée circule entre de nombreux intervenants — travailleurs sociaux, personnel médical, partenaires institutionnels, prestataires — et transite souvent par des supports hétérogènes, du dossier papier au tableur partagé. Chaque point de circulation est un point de vigilance.
Les obligations connues… et les angles morts
Les fondamentaux sont aujourd’hui largement intégrés : registre des traitements, information des personnes, durées de conservation, droits des usagers, mesures de sécurité, et analyse d’impact (AIPD), souvent obligatoire dès lors que l’on traite à grande échelle des données sensibles. Là où l’expertise se mesure vraiment, c’est sur les subtilités que beaucoup d’acteurs — y compris de grandes structures — continuent de négliger.
1. Le consentement est rarement la bonne base légale — et souvent un piège
Nombre de structures font signer un « consentement RGPD » à l’entrée. Or un ESSMS agit le plus souvent dans le cadre d’une mission d’intérêt public ou d’une obligation légale, combinée à l’article 9.2.h pour les données de santé. Le consentement, qui doit être libre et révocable à tout moment, est incompatible avec un dossier usager obligatoire : le fonder sur le consentement, c’est promettre une réversibilité que l’on ne pourra pas tenir.
2. Héberger en Europe ne suffit pas
Deux pièges distincts. D’abord, dès lors que l’on héberge des données de santé, l’hébergeur doit être certifié HDS (article L.1111-8 du Code de la santé publique) — une exigence régulièrement oubliée dans le médico-social. Ensuite, un hébergement « UE » opéré par un acteur soumis à un droit extra-européen (Cloud Act) n’offre pas de souveraineté juridique réelle ; seule une qualification de type SecNumCloud apporte cette garantie. Localisation des serveurs n’est pas synonyme de souveraineté.
3. La sous-traitance se lit en cascade
Votre éditeur de logiciel est votre sous-traitant — mais lui-même recourt à des sous-traitants ultérieurs : hébergeur, brique d’IA, service d’envoi de courriels… Le RGPD (article 28) exige que cette chaîne soit autorisée, documentée et soumise aux mêmes garanties. Auditer son prestataire sans regarder ses prestataires, c’est ne voir que la partie émergée de l’iceberg.
4. Le droit à l’effacement n’efface pas tout
On entend souvent « RGPD égale suppression rapide ». C’est inexact dans le médico-social : les obligations légales d’archivage (durées d’utilité administrative, Code du patrimoine) priment sur le droit à l’effacement (article 17.3). La vraie discipline ne consiste pas à tout supprimer, mais à distinguer archivage courant, archivage intermédiaire et purge définitive — ce que beaucoup d’outils ne savent tout simplement pas faire.
5. Secret professionnel et RGPD ne se confondent pas
Le partage d’informations entre professionnels des champs social et médico-social obéit à un régime propre (notamment le décret n° 2016-994), qui n’est pas le consentement RGPD. Confondre les deux conduit soit à sur-bloquer une information pourtant utile à l’accompagnement, soit à la partager sans cadre.
Concevoir la conformité dès l’origine
C’est précisément la conviction qui guide notre approche chez TECHCIS : la protection des données ne se rajoute pas après coup, elle se conçoit dès la première ligne (privacy by design). Cela signifie des traitements documentés, une base légale juste, une minimisation pensée en amont, un hébergement maîtrisé et des relations de sous-traitance auditées jusqu’au bout de la chaîne.
Notre plateforme Smart Asile, développée en partenariat avec France Terre d’Asile pour la gestion des centres d’accueil, illustre cette exigence. Elle s’appuie sur un cadre RGPD complet — analyse d’impact, contrats de sous-traitance avec des prestataires conformes, hébergement maîtrisé — parce qu’un outil destiné à des publics vulnérables ne peut pas se permettre l’à-peu-près. Cette même rigueur s’applique aussi lorsqu’il s’agit d’intégrer l’intelligence artificielle dans le respect du RGPD, et irrigue l’ensemble des solutions que nous concevons pour le secteur.
La conformité comme socle de confiance
Le RGPD, dans le médico-social, n’est pas un frein à l’accompagnement : il en est la condition. Une structure qui maîtrise ses données protège ses usagers, sécurise ses équipes et renforce la confiance de ses partenaires et de ses financeurs.
La vraie question n’est donc pas « comment se mettre en conformité », mais « avec quel partenaire concevoir des outils qui rendent la conformité naturelle ». C’est exactement le terrain sur lequel nous accompagnons les acteurs du médico-social.
Vous souhaitez faire le point sur la conformité de vos outils ou repenser votre système d’information dans le respect du RGPD ? Échangeons sur votre projet.