FLASH CRITÈRE - CONFIDENTIALITÉ ET PROTECTION DES DONNÉES

1. Ce qu’il faut savoir

Dans le cadre des missions d’évaluation, arrêtons-nous un instant sur la protection des données.
Voici tout d’abord un focus sur 3 critères du manuel HAS qui sont souvent perçus comme très proches, mais qui poursuivent des objectifs d’investigation différents :
  • Critère 2.2.7 – Confidentialité et protection des informations et données relatives à la personne accompagnée
  • Critère 2.10.2 – Respect des règles de sécurisation des données, dossiers et accès
  • Critère 3.15.2 – Stratégie numérique et sécurisation globale des données
Ces 3 critères s’articulent autour d’une même thématique — la protection des données — mais ils ne s’évaluent pas au même niveau et n’attendent pas forcément les mêmes preuves.

2. Quelle différence entre ces trois critères?

3. Pourquoi les trois sont complémentaires?

  • 2.2.7 = protéger la confidentialité des données de la personne accompagnée
  • 2.10.2 = sécuriser l’utilisation des informations par les professionnels
  • 3.15.2 = sécuriser l’ensemble du système numérique à l’échelle de la structure
 
Ils permettent un regard croisé entre :
  • gouvernance,
  • fonctionnement des équipes,
  • pratiques observables sur le terrain.

4. Exemple d’investigation sur le terrain

Lors d’une évaluation, l’imprimante était située dans un couloir à l’accueil. Les documents sortaient automatiquement, rendant possibles des consultations non autorisées. De plus, des bannettes transparentes devant chaque bureau contenaient des informations sensibles concernant les personnes accompagnées, lisibles aux yeux de tous :
  • Observation terrain (2.2.7/2.10.2)
  • Réactivité immédiate de la direction : mise en place d’impressions sécurisées par code et retrait des bannettes transparentes
  • Réflexion en cours sur un mode de réception de documents sécurisé (remplacement des bannettes)

5. Points clés à retenir pour nos investigations

✔ Multiplier les angles et interlocuteurs grâce aux regards croisés

✔ Articuler documents/entretiens/observation terrain

✔ Vérifier le passage entre la théorie et la pratique réelle

✔ Observer la réactivité en cas de non-conformité

6. Focus sur le critère 2.2.7

Pour faire écho avec la fiche de la HAS du 16/09/2025 sur la protection des données, arrêtons-nous un instant sur la confidentialité et la protection des informations & données relatives à la personne accompagnée.
Ce critère est au cœur même des valeurs de respect de la dignité, de la vie privée et des droits fondamentaux de la personne accompagnée.
 
Constats de terrain
Au fil des évaluations, plusieurs situations rappellent combien la confidentialité mérite une attention constante :
  • Un post-it avec identifiant et mot de passe laissé sur le bureau
  • Une photocopieuse installée dans le hall d’entrée, où les impressions sont visibles
  • Une infirmière évoquant un traitement à voix haute dans le couloir
  • Une fiche de soins posée sur une table commune
  • Un ordinateur non verrouillé (« il s’éteint toute seul »)
  • Un dossier d’archives accessible à tous
  • Des pièces de soins ou de réunion sans portes, ou avec portes qui ferment mal
 
Ces constats montrent que la confidentialité n’est pas qu’une consigne ou un écrit, mais bien une culture partagée et une posture professionnelle quotidienne.

7. De quoi parle-t-on ?

Ce critère s’inscrit dans l’Objectif 2.2Les professionnels favorisent l’exercice des droits fondamentaux et des libertés individuelles de la personne accompagnée.
Le libellé exact est : « L’ESSMS garantit la confidentialité et la protection des informations et données relatives à la personne accompagnée.»

Quelques précisions :

  • « Confidentialité » : s’assurer que seules les personnes autorisées accèdent aux informations.
  • « Protection des données/informations » : mise en œuvre de mesures organisationnelles, matérielles et logiques (local sécurisés, accès informatique, procédures, charte…) pour garantir l’intégrité et la confidentialité de ces données.
  • « Informations et données relatives à la personne accompagnée » : il s’agit de toutes les données permettant d’identifier directement ou indirectement la personne (identité, coordonnées, santé, vie sociale, parcours, choix, habitudes…).
 
Le critère concerne toutes les structures sociales ou médico-sociales, tous publics.
 

Concrètement :

  • Seuls les professionnels concernés doivent y accéder.
  • Aucune information ne peut être partagée sans accord (sauf obligation légale).
  • Les supports papiers et numériques doivent être sécurisés.
  • Les échanges doivent se faire dans des lieux adaptés, préservant intimité et discrétion.

8. Ce que nous allons chercher comme éléments d’évaluation :

En tant qu’évaluateur. rice, notre investigation portera sur trois volets :
ENTRETIEN, CONSULTATION DOCUMENTAIRE, OBSERVATION

9. Quelques axes pour l’évaluation :

Voici les éléments que nous demandons à nos évaluateurs d’avoir en tête :
  • Lors de la remontée documentaire, demandez explicitement le règlement de fonctionnement, la charte informatique, les procédures d’accès aux dossiers, le plan de formation relatif aux données/confidentialité.

  • En entretien, interrogez la direction : « Comment définissez-vous les autorisations d’accès aux dossiers ? », « Comment formez-vous vos équipes sur le RGPD/le secret professionnel ? », « Comment informez-vous les personnes accompagnées sur leurs droits de protection des données ? ».

  • Lors de l’observation, soyez attentifs aux zones de passage, aux manipulations de dossiers papier/informatiques, aux transmissions orales – cela peut paraître «banal», mais ces situations sont souvent révélatrices.

  • Pensez au volet « personne accompagnée » : vérifier que dans le dossier ou via un entretien, il existe une information ou un consentement concernant le partage des données ou l’accès à son dossier.

  • Documentez les bonnes pratiques que vous repérez (ex. messagerie sécurisée, zone confidentielle à l’accueil, verrouillage automatique des PC…) pour valorisation dans le rapport.

  • Identifiez clairement les écarts, avec précision (« absence de procédure d’accès », « dossier papier non protégé », « zone d’entretien non confidentielle »)

10. Références utiles