Les établissements médico-sociaux du réseau DomusVi gèrent quotidiennement des volumes significatifs de données de santé via la plateforme Netsoins. Dossiers de soins, prescriptions, évaluations de dépendance, historiques médicaux : ces informations relèvent du régime juridique le plus strict du RGPD.
Le référentiel de la CNIL qui cible spécifiquement les organismes accueillant ou hébergeant des personnes âgées et en situation de handicap fixe le cadre. La question n’est plus de savoir si ces données doivent être protégées, mais comment chaque maillon de la chaîne, du soignant à l’hébergeur, applique concrètement les obligations.
A voir aussi : Faut-il éviter les sites sans 3D Secure en 2025 pour vos achats en ligne ?
Certification HDS des prestataires : un prérequis technique souvent sous-estimé
Avant même de configurer Netsoins, un point structurant passe régulièrement sous le radar des directions d’établissement : la certification Hébergeur de Données de Santé. Depuis les rappels de la CNIL et la doctrine cloud du ministère de la Santé, tout prestataire qui stocke, sauvegarde ou maintient des données issues du dossier usager informatisé doit être certifié HDS.
Cette exigence couvre des périmètres plus larges qu’on ne l’imagine. Elle ne concerne pas uniquement l’hébergeur principal de la plateforme. Un infogérant chargé de la maintenance applicative, un prestataire de plan de reprise d’activité ou un service de sauvegarde externalisée tombent aussi sous cette obligation dès lors qu’ils manipulent des données de santé.
Lire également : Les dernières tendances et actualités incontournables du secteur immobilier en 2024
Pour un EHPAD du réseau DomusVi, cela signifie auditer l’ensemble de ses sous-traitants techniques. Un guide détaillant les bonnes pratiques Netsoins Domusvi rappelle cette nécessité de vérification documentaire avant toute contractualisation.
Les retours terrain divergent sur ce point : certains établissements considèrent que la certification du fournisseur principal suffit, alors que la chaîne de sous-traitance peut impliquer plusieurs acteurs non certifiés. Chaque maillon non certifié constitue une faille réglementaire.
Gestion des habilitations dans le logiciel Netsoins : le nerf de la sécurité quotidienne
La protection des données de santé dans un EHPAD ne se joue pas uniquement au niveau des serveurs. Elle se joue d’abord dans la gestion des droits d’accès au sein du logiciel de soins. Netsoins permet de paramétrer des profils d’habilitation par fonction : aide-soignant, infirmier, médecin coordonnateur, personnel administratif.
Le référentiel CNIL est explicite sur ce point. Les données collectées ne doivent être accessibles qu’aux personnes habilitées en raison de leurs missions. Un agent d’accueil n’a pas besoin de consulter les prescriptions médicamenteuses. Un gestionnaire administratif n’a pas à accéder aux évaluations gériatriques détaillées.
Trois principes pour un paramétrage rigoureux
- Le moindre privilège : chaque profil utilisateur ne doit voir que les données strictement nécessaires à sa fonction, et rien de plus. C’est le socle du référentiel CNIL pour le secteur médico-social.
- La revue périodique des comptes actifs : les départs de personnel, les changements de poste ou les remplacements temporaires génèrent des comptes obsolètes. Un compte non désactivé reste une porte ouverte.
- La traçabilité des accès : Netsoins enregistre les connexions et les consultations de dossiers. Exploiter ces journaux permet de repérer des accès anormaux, comme la consultation répétée d’un dossier résident par un professionnel sans lien de prise en charge.
En pratique, la difficulté vient du turnover élevé dans le secteur. Les équipes enchaînent les remplacements, et la mise à jour des habilitations prend du retard. Un audit trimestriel des comptes Netsoins réduit ce risque.
Analyse d’impact et algorithmes : ce que la CNIL attend désormais des EHPAD
Un aspect plus récent concerne l’usage croissant de fonctionnalités algorithmiques dans les logiciels de soins. Alertes automatiques, scores de risque de chute, priorisation des interventions : ces traitements ne sont plus marginaux dans les établissements équipés de solutions comme Netsoins.
La CNIL a publié des recommandations spécifiques sur l’intelligence artificielle appliquée aux données médico-sociales. Dès lors qu’un traitement algorithmique peut influencer la prise en charge d’un résident, une analyse d’impact sur la protection des données (AIPD) devient obligatoire. Cette analyse doit documenter les finalités du traitement, les jeux de données utilisés et les critères de décision.
Les données disponibles ne permettent pas de conclure sur le degré d’adoption de ces analyses d’impact dans le réseau DomusVi. Les recommandations CNIL sont claires, mais leur traduction opérationnelle dans chaque résidence dépend des ressources internes et de l’accompagnement par le DPO du groupe.
Ce que l’AIPD doit couvrir dans un contexte Netsoins
L’analyse ne se limite pas à une formalité documentaire. Elle doit évaluer la proportionnalité du traitement par rapport à la finalité de soin, identifier les risques pour les résidents (profilage inapproprié, biais dans les alertes) et prévoir des mesures correctrices. Un résident ou son représentant légal doit pouvoir être informé de l’existence de ces traitements algorithmiques.
Formation des équipes soignantes à la sécurité des données de santé
Le paramétrage technique ne protège rien si les utilisateurs contournent les règles par méconnaissance. Le partage de mots de passe entre collègues, la consultation de Netsoins sur un terminal personnel non sécurisé, ou l’envoi de données de santé par messagerie non chiffrée restent des pratiques documentées dans le secteur.
Le référentiel CNIL recommande des actions de sensibilisation régulières, adaptées aux différents profils de personnel. La formation doit porter sur des gestes concrets, pas sur des principes abstraits. Verrouiller sa session en quittant le poste, ne jamais transmettre un identifiant de connexion, signaler toute suspicion d’accès non autorisé.
Les professionnels en EHPAD utilisent de plus en plus Netsoins sur mobile, ce qui ajoute un vecteur de risque. La connexion depuis un réseau Wi-Fi public, la perte ou le vol d’un terminal contenant des accès au dossier usager informatisé : autant de scénarios que la formation doit couvrir explicitement.
La protection des données des résidents dans un établissement DomusVi repose sur l’articulation entre trois niveaux : la conformité des prestataires d’hébergement, le paramétrage fin du logiciel Netsoins, et la culture de sécurité des équipes au quotidien. Aucun de ces trois niveaux ne compense les failles d’un autre. Le cadre réglementaire existe, les outils techniques aussi. Le maillon décisif reste l’application rigoureuse, dossier par dossier, accès par accès.