01 56 43 68 80

6, Rue de Saint-Petersbourg, 75008 Paris

Cybersécurité en EHPAD : enjeux, risques et bonnes pratiques

Les Établissements d’Hébergement pour Personnes Âgées Dépendantes (EHPAD) constituent des structures médico-sociales accueillant des populations vulnérables. Ces établissements gèrent quotidiennement des données sensibles, principalement relatives à la santé, à l’autonomie et à la situation sociale des résidents.
ALT : Professionnelle soignant des personnes âgées jouant à un jeu de société avec un groupe de seniors dans un salon chaleureux et lumineux.

Cette typologie de données, strictement encadrée par le RGPD et le Code de la santé publique, expose les EHPAD à des risques juridiques et opérationnels particuliers en matière cyber et de protection des données…

Quelles obligations pour les EHPAD ?

Le RGPD distingue plusieurs obligations centrales pour les responsables de traitement et les sous-traitants.

Dans ce cadre, les EHPAD, qu’ils soient publics ou privés, sont généralement considérés comme des responsables de traitement des données personnelles de leurs résidents.

Les principales obligations incluent :

  • Principe de minimisation[1] : seules les données strictement nécessaires au traitement doivent être collectées (au soin ; à la gestion administrative ou à la sécurité) et par les seules personnes habilitées.
  • Registre des traitements[2] : chaque traitement intervenant dans l’EHPAD doit être documenté et tenu à jour.
  • Analyse d’impact sur la protection des données (AIPD)[3] : obligatoire pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des résidents comme la vidéosurveillance ou le contrôle biométrique par exemple.
  • Information et consentement[4] : les résidents doivent être informés de manière claire sur l’usage de leurs données, et leur consentement doit être recueilli lorsque requis, avec une attention particulière pour les personnes vulnérables.

En outre, il est important de préciser que les EHPAD traitent des données de santé, considérées comme des données sensibles[5] qui nécessitent un niveau de protection et d’encadrement élevé avec potentiellement des obligations sectorielles associées.

Quels risques cyber spécifiques aux EHPAD ?

Pour de nombreuses raisons, à la fois conjoncturelles et opérationnelles, les systèmes d’information des EHPAD sont souvent vieillissants, ce qui limite la capacité à intégrer les dernières protections cyber.

En outre, la formation limitée d’un personnel non spécialisé, couplée à la multiplicité des accès (intervenants externes, familles, prestataires) accroît le risque d’erreur humaine ou d’exploitation malveillante.

En ce sens, les EHPAD peuvent être des cibles de choix pour les cybercriminels à travers plusieurs types d’attaques :

  • Ransomwares : bloquent l’accès aux dossiers médicaux et perturbent la continuité des soins.
  • Exfiltration de données sensibles : vol de dossiers médicaux, informations financières, données personnelles et familiales.
  • Atteinte à la vie privée : fuite de vidéos ou photos, violation de la dignité des résidents.
  • Perturbation de la continuité des soins : impact direct sur la sécurité et la santé des résidents.

Comment réduire les risques ?

Pour protéger les données des résidents et se conformer au RGPD, les EHPAD doivent adopter une approche globale combinant gouvernance et sécurité du système d’information.

THEMATIQUE DE REMEDIATIONGOUVERNANCE RGPDSECURITE DU SYSTEME D’INFORMATION
DETAILS·       la désignation d’un Délégué à la Protection des Données (DPO) ;

·       la mise en place de procédures internes claires ;

·       la tenue d’un registre des traitements ; la réalisation régulière AIPD ;

·       la formation et la sensibilisation du personnel.

 

·       Le contrôle strict des accès ;

·       Le chiffrement des données (notamment sensibles) ;

·       La sauvegarde régulière des données ;

·       La mise en place d’une hygiène numérique quotidienne, incluant la surveillance des périphériques et la sensibilisation continue du personnel.

 

 

Les EHPAD se trouvent ainsi à l’intersection de la protection des populations vulnérables et de la sécurisation des données sensibles. Si la mise en œuvre d’une gouvernance RGPD solide et d’une sécurité informatique adaptée permet de réduire significativement les risques juridiques et cyber, le contexte technologique et réglementaire reste en constante évolution.

Cette dynamique implique la nécessaire adaptation continue et proactive des EHPAD, en termes de pratiques, de formation et de dispositifs techniques, pour anticiper les défis à venir et renforcer la confiance des résidents, de leurs familles et des autorités de contrôle… A méditer.

***

Le cabinet HAAS Avocats est spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données et de l’intelligence artificielle. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

[1] Article 5 du RGPD

[2] Article 30 du RGPD

[3] Article 35 du RGPD

[4] Articles 12 à 14 du RGPD

[5] Article 9 du RGPD

Revenir à l’accueil