RGPD en EHPAD : le guide de conformité 2026
RGPD en EHPAD : dossier de soins, familles, vidéosurveillance, DPO obligatoire, sous-traitants, durées de conservation. Obligations et checklist 2026.
- Ce qui rend l’EHPAD particulier au regard du RGPD
- Le statut RGPD de l’établissement : responsable de traitement
- Les bases légales à mobiliser
- L’hébergement du dossier de soins : HDS obligatoire
- Le DPO : obligatoire en EHPAD
- La vidéosurveillance : le sujet le plus sensible
- Les familles : droits et limites
- Durées de conservation
- Sous-traitance : le point aveugle
- Sécurité : le minimum attendu
- Erreurs fréquentes et sanctions
- Ce qu’il faut retenir
- FAQ
L’essentiel. Un EHPAD est responsable de traitement de données parmi les plus sensibles du RGPD : dossier de soins, pathologies, dépendance, mesures de protection juridique. Il traite ces données de santé à grande échelle, ce qui rend la désignation d’un DPO obligatoire, impose un hébergement certifié HDS pour le dossier de soins informatisé, et encadre strictement la vidéosurveillance (interdite dans les chambres sauf exception documentée). Les familles ont des droits, mais c’est le résident — ou son représentant légal — qui reste la personne concernée.
Dans ma pratique de conseil auprès de structures médico-sociales, l’EHPAD est le type d’établissement où je trouve le plus grand écart entre le niveau de sensibilité des données traitées et la maturité RGPD réelle. Un établissement de 80 lits manipule chaque jour des données de santé, des données sur l’autonomie et la dépendance, des informations sur la vie familiale et patrimoniale des résidents, parfois des mesures de tutelle ou de curatelle. Et pourtant, le registre est souvent incomplet, les contrats avec les éditeurs de logiciels de soins absents ou insuffisants, la vidéosurveillance installée sans base solide. La CNIL a fait du secteur médico-social une cible de contrôle. Voici ce qu’un EHPAD doit mettre en place, concrètement.
Ce qui rend l’EHPAD particulier au regard du RGPD
Trois caractéristiques justifient un régime renforcé.
La nature des données. L’EHPAD traite en permanence des données de santé au sens de l’Art. 9 : pathologies, traitements médicamenteux, niveau de dépendance (grille AGGIR, GIR), troubles cognitifs, incontinence, escarres, alimentation entérale, fin de vie. Ce sont des données sensibles, interdites de traitement par principe sauf exception de l’Art. 9(2). S’y ajoutent des données sur la vie privée et familiale, des données patrimoniales (ressources pour le calcul du reste à charge, aide sociale), et parfois des données relatives à des mesures de protection juridique.
La vulnérabilité de la personne concernée. Le résident est souvent une personne âgée dépendante, parfois atteinte de troubles cognitifs altérant son discernement. Cela ne le prive pas de ses droits : c’est lui la personne concernée. Mais l’exercice de ces droits passe fréquemment par un tuteur, un curateur ou la personne de confiance désignée au titre de l’article L. 1111-6 du Code de la santé publique. La CNIL insiste sur le fait que la vulnérabilité impose un niveau de vigilance supérieur, pas un affaiblissement des garanties.
Le volume et la régularité. Un EHPAD traite des données de santé « à grande échelle » au sens des lignes directrices du Comité européen de la protection des données sur les délégués à la protection des données. Cet élément déclenche à lui seul plusieurs obligations, à commencer par la désignation d’un DPO.
Le statut RGPD de l’établissement : responsable de traitement
L’EHPAD est responsable de traitement au sens de l’Art. 4(7). L’entité juridiquement responsable dépend du statut de l’établissement :
- EHPAD public (rattaché à un centre hospitalier, un CCAS ou un établissement public autonome) : l’établissement public est responsable de traitement, et étant un organisme public, il est soumis à l’obligation de DPO au titre de l’Art. 37(1)(a).
- EHPAD associatif : l’association gestionnaire est responsable de traitement.
- EHPAD commercial (groupe privé) : la société d’exploitation est responsable de traitement, souvent avec une gouvernance RGPD centralisée au niveau du groupe.
Ce statut engage l’établissement directement devant la CNIL et devant les résidents. Il doit notamment délivrer l’information de l’Art. 13 (livret d’accueil, contrat de séjour, affichage), tenir le registre des activités de traitement de l’Art. 30, garantir les droits des résidents, et notifier toute violation de données à risque dans les 72 heures.
Les bases légales à mobiliser
La base légale se construit à deux étages : une base de l’Art. 6 et une exception de l’Art. 9 dès qu’il y a des données de santé.
| Traitement | Base Art. 6 | Exception Art. 9 |
|---|---|---|
| Dossier de soins, plan de soins, suivi médical | Art. 6(1)(b) contrat de séjour / Art. 6(1)© obligation légale | Art. 9(2)(h) prise en charge sanitaire et sociale |
| Gestion administrative du séjour, facturation | Art. 6(1)(b) / Art. 6(1)© | — (sauf données de santé pour la tarification) |
| Aide sociale, calcul du reste à charge | Art. 6(1)© obligation légale (CASF) | — |
| Vidéosurveillance des parties communes | Art. 6(1)(f) intérêt légitime (sécurité) | — |
| Photos, animation, communication | Art. 6(1)(a) consentement | — |
| Dispositifs de géolocalisation / anti-errance | Art. 6(1)(f) ou consentement du représentant | Art. 9(2)(h) si finalité de soin |
Le fondement central de l’activité — soigner et accompagner — repose sur la combinaison Art. 6(1)(b) ou © et Art. 9(2)(h) : traitement nécessaire aux finalités de médecine préventive, de diagnostic, de prise en charge sanitaire ou sociale, mis en oeuvre par des professionnels soumis au secret.
L’hébergement du dossier de soins : HDS obligatoire
C’est le point le plus souvent négligé. Dès qu’un prestataire externe héberge des données de santé pour le compte de l’établissement — y compris par simple stockage —, il doit être certifié « Hébergeur de Données de Santé » (HDS) au titre de l’article L. 1111-8 du Code de la santé publique.
En pratique, cela concerne :
- Le logiciel de soins et de gestion du dossier résident lorsqu’il est en mode SaaS (dossier de soins informatisé, plan de soins, transmissions ciblées).
- L’hébergeur du serveur de sauvegarde si les données y transitent.
- Les solutions de télémédecine et de téléconsultation utilisées au sein de l’établissement.
- Les plateformes de coordination avec les professionnels de santé extérieurs.
Beaucoup d’établissements ignorent l’identité réelle de l’hébergeur final de leur logiciel métier. C’est une vérification prioritaire : demander à l’éditeur son attestation de certification HDS et la localisation des données, et l’annexer au contrat de sous-traitance.
Le DPO : obligatoire en EHPAD
La désignation d’un DPO est obligatoire pour un EHPAD, à deux titres cumulatifs le plus souvent. D’abord parce que le traitement de données de santé à grande échelle relève de l’Art. 37(1)©. Ensuite, pour les EHPAD publics, parce que tout organisme public doit désigner un DPO au titre de l’Art. 37(1)(a).
Le DPO peut être interne (un salarié disposant du temps et de la compétence) ou externalisé. Beaucoup d’EHPAD, notamment associatifs ou en groupe, optent pour un DPO mutualisé au niveau du siège ou d’un réseau. L’important est que le DPO soit réellement associé aux décisions, dispose de moyens, et rapporte au niveau le plus élevé de la direction.
La vidéosurveillance : le sujet le plus sensible
La vidéosurveillance en EHPAD concentre une part importante des questions et des contentieux. Le principe est simple : plus le lieu filmé est un espace de vie privée, plus la légitimité de la caméra est difficile à établir.
Parties communes (hall, couloirs, entrées). Une vidéosurveillance orientée sécurité est envisageable sur le fondement de l’intérêt légitime, à condition qu’elle soit proportionnée, signalée par affichage (Art. 13), limitée dans sa durée de conservation (généralement un mois maximum) et qu’elle ne filme pas en continu les zones de vie ou de restauration.
Chambres des résidents. La chambre est le domicile du résident. Une caméra y est par principe exclue. Elle ne peut être envisagée que dans des situations exceptionnelles, individualisées, documentées, avec le consentement éclairé du résident ou de son représentant légal, pour une finalité de soin précise et pour une durée limitée. Installer une caméra en chambre « par sécurité générale » est une atteinte disproportionnée à l’intimité.
Caméras posées par les familles. Des familles installent parfois des caméras dans la chambre à l’insu de l’établissement. Ce sujet mêle protection de l’intimité du résident, droits des autres résidents et du personnel filmés, et responsabilité de l’établissement. Il doit être traité par une procédure écrite et un dialogue documenté, pas par le fait accompli.
Dans tous les cas, l’installation d’un dispositif de vidéosurveillance significatif justifie une analyse d’impact (AIPD) préalable.
Les familles : droits et limites
C’est une source récurrente de confusion. La personne concernée par les données de santé du résident, c’est le résident — pas sa famille. Les proches n’ont pas un droit d’accès autonome au dossier de soins, sauf s’ils sont représentants légaux (tuteur), ou personne de confiance dans le cadre défini par le CSP, ou ayants droit après le décès dans les conditions de l’article L. 1110-4.
En pratique, l’établissement doit :
- Recueillir et tracer l’identité de la personne de confiance et, le cas échéant, du représentant légal.
- Ne communiquer les informations de santé qu’aux personnes habilitées.
- Encadrer les applications de « lien avec les familles » (messagerie, photos, actualités de l’établissement) qui transmettent parfois indirectement des informations sur l’état du résident.
Durées de conservation
Les durées se raisonnent par finalité. Le tableau des durées de conservation doit figurer dans le registre.
| Donnée | Durée indicative | Fondement |
|---|---|---|
| Dossier de soins (données médicales) | 20 ans après le dernier séjour | Réglementation dossier médical |
| Dossier administratif du séjour | Durée du séjour + archivage légal | Obligations comptables et sociales |
| Documents de facturation / aide sociale | Selon délais comptables et de prescription | Code de commerce, CASF |
| Images de vidéosurveillance | 1 mois maximum en principe | Doctrine CNIL |
| Photos d’animation (avec consentement) | Jusqu’au retrait du consentement | Art. 6(1)(a) |
Ces durées sont indicatives et doivent être ajustées aux règles applicables à l’établissement. L’essentiel est qu’aucune donnée ne soit conservée « par défaut » sans durée définie.
Sous-traitance : le point aveugle
Un EHPAD s’appuie sur de nombreux sous-traitants au sens RGPD : éditeur du logiciel de soins, hébergeur HDS, prestataire de télémédecine, société de restauration collective (données d’allergies et régimes), prestataire de blanchisserie nominative, plateforme de gestion des plannings, éventuellement solution de géolocalisation ou d’objets connectés de santé.
Chacun doit signer un contrat conforme à l’Art. 28 précisant l’objet, la durée, la nature des opérations, les catégories de données, les obligations de sécurité, l’interdiction de sous-traitance ultérieure sans autorisation et l’assistance en cas de violation. Dans mes audits de structures médico-sociales, c’est le chapitre où je relève le plus systématiquement des manquements : contrat absent, contrat générique inadapté aux données de santé, ou méconnaissance de la localisation réelle des données.
Sécurité : le minimum attendu
Les mesures de l’Art. 32 s’apprécient au regard des risques. Pour un EHPAD, le référentiel est élevé :
- Comptes nominatifs, pas de session partagée, gestion stricte des habilitations par profil (aide-soignant, IDE, médecin coordonnateur, administratif).
- Suppression immédiate des accès au départ d’un agent.
- Verrouillage automatique des postes, chiffrement des disques, sauvegardes chiffrées et testées.
- Messagerie sécurisée de santé (MSSanté) pour les échanges médicaux, jamais de messagerie grand public pour des données de santé identifiantes.
- Politique de mot de passe et, dès que possible, authentification renforcée.
- Plan de réaction aux incidents, ransomware inclus — le secteur médico-social est régulièrement ciblé.
Erreurs fréquentes et sanctions
Les manquements que je rencontre le plus souvent : absence de DPO ou DPO purement nominal ; logiciel de soins hébergé sans certification HDS vérifiée ; vidéosurveillance en chambre sans base ni AIPD ; communication d’informations de santé à des proches non habilités ; registre incomplet ; contrats de sous-traitance absents ; durées de conservation non définies.
La CNIL a prononcé plusieurs sanctions et mises en demeure dans le secteur de la santé et du médico-social ces dernières années, principalement pour défaut de sécurisation (mots de passe faibles, absence de chiffrement, accès trop larges) et pour gestion insuffisante des sous-traitants. Sans citer de numéro que je ne pourrais garantir, la ligne est claire : la CNIL cible en priorité les acteurs à fort impact, mais la doctrine qui en résulte s’impose à tous. Un établissement subissant un incident significatif sans pouvoir démontrer sa conformité s’expose à une sanction lourde, au-delà de l’atteinte à la confiance des résidents et des familles. Pour mesurer les niveaux d’amende, voir notre synthèse sur les sanctions RGPD.
Pour structurer une mise en conformité, la démarche pragmatique est un audit RGPD ciblé, puis la reprise du registre, des contrats et des durées. Un logiciel RGPD permet d’industrialiser la tenue du registre, le suivi des sous-traitants et le pilotage des AIPD sur plusieurs établissements.
Ce qu’il faut retenir
- L’EHPAD est responsable de traitement de données de santé à grande échelle : régime RGPD maximal.
- Le DPO est obligatoire (grande échelle santé et, pour les EHPAD publics, statut d’organisme public).
- Le dossier de soins informatisé doit être hébergé chez un prestataire certifié HDS.
- La vidéosurveillance est encadrée : parties communes sous conditions, chambres par principe exclues.
- Les familles n’ont de droits que dans le cadre du CSP (représentant légal, personne de confiance, ayants droit).
- Les sous-traitants (logiciel de soins, restauration, télémédecine) imposent des contrats Art. 28 précis.
Voir aussi nos guides sectoriels connexes : RGPD et cabinet médical, RGPD et laboratoire de biologie médicale et RGPD en crèche.
FAQ
Un EHPAD doit-il obligatoirement désigner un DPO ?
Oui. Le traitement de données de santé à grande échelle relève de l’Art. 37(1)©, et les EHPAD publics sont en plus soumis à l’obligation de l’Art. 37(1)(a) en tant qu’organismes publics. Le DPO peut être mutualisé au niveau d’un groupe, d’un réseau associatif ou d’un prestataire externe, mais il doit disposer de moyens réels.
Peut-on installer une caméra dans la chambre d’un résident ?
Par principe non : la chambre est le domicile du résident. Une caméra n’est envisageable que dans des situations exceptionnelles, individualisées et documentées, avec le consentement éclairé du résident ou de son représentant légal, pour une finalité de soin précise et une durée limitée. Une vidéosurveillance générale des chambres est disproportionnée.
La famille peut-elle consulter le dossier de soins du résident ?
Pas de plein droit. Seuls le résident lui-même, son représentant légal (tuteur), la personne de confiance dans le cadre prévu par le Code de la santé publique, ou ses ayants droit après le décès dans les conditions de l’article L. 1110-4, peuvent accéder aux informations de santé. L’établissement doit tracer ces habilitations.
Le logiciel de soins doit-il être hébergé chez un hébergeur HDS ?
Oui, dès lors qu’un prestataire externe héberge des données de santé pour le compte de l’établissement, y compris par simple stockage. Il faut exiger l’attestation de certification HDS de l’éditeur et la localisation des données, et l’annexer au contrat de sous-traitance Art. 28.
Combien de temps conserver le dossier de soins d’un résident ?
La durée de référence est de 20 ans après le dernier séjour, alignée sur la réglementation applicable au dossier médical. Les documents administratifs et comptables suivent leurs propres délais. Aucune donnée ne doit être conservée sans durée définie dans le registre.
Un EHPAD doit-il réaliser une AIPD ?
Oui pour les traitements à risque élevé : dossier de soins informatisé traitant massivement des données de santé, dispositifs de géolocalisation ou d’anti-errance, vidéosurveillance significative, objets connectés de santé. L’AIPD doit être réalisée avant la mise en oeuvre du traitement et réévaluée en cas d’évolution.