Gagnez 80% de temps sur votre mise en conformité.
Accédez à une bibliothèque de traitements conçue pour les EHPAD, intégrée à notre logiciel de pilotage RGPD, et directement structurée selon le référentiel médico-social.
La conformité RGPD en EHPAD repose avant tout sur la maîtrise des données de santé. Entre exigences médicales, obligations réglementaires et multiplicité des outils métiers, les risques sont concrets et opérationnels.
● La complexité des données de santé : Les dossiers résidents impliquent des données hautement sensibles : informations médicales, sociales, habitudes de vie ou convictions religieuses pouvant nécessiter un consentement explicite. Leur traitement impose quasi systématiquement une Analyse d’Impact relative à la Protection des Données (AIPD). L’usage d’identifiants comme le NIR et surtout l’INS doit être strictement encadré pour sécuriser la coordination des soins et limiter les accès non légitimes.
● Des règles métiers et des durées de conservation hétérogènes : Un EHPAD doit gérer des temporalités très différentes : environ 2 ans pour certaines données d’accompagnement social en base active, jusqu’à 20 ans après le dernier séjour pour le dossier médical selon le Code de la santé publique. La gestion des directives anticipées et des données liées à la fin de vie renforce encore les exigences de traçabilité et d’archivage sécurisé.
● Un écosystème logiciel sous forte contrainte réglementaire : Dossier résident informatisé, logiciel de soins, outils RH ou facturation : chaque éditeur agit comme sous-traitant et doit être encadré par un contrat conforme à l’article 28 du RGPD. L’hébergement de données de santé impose une certification HDS et des mécanismes de journalisation des accès pour prévenir les consultations abusives. Sans cartographie claire des flux et des responsabilités, la conformité reste théorique.
● Informer des publics vulnérables : La transparence ne se limite pas aux mentions juridiques. La CNIL recommande des supports accessibles, notamment en FALC (Facile à lire et à comprendre), pour permettre aux résidents et à leurs proches de comprendre réellement l’usage de leurs données.
Pourquoi repartir de zéro alors que les exigences du secteur sont déjà cadrées par la CNIL ? Le pack EHPAD de IZIRO s’appuie directement sur le référentiel CNIL pour proposer des traitements prêts à l’emploi, adaptés aux réalités des établissements accueillant des personnes âgées dépendantes.
Modèles alignés sur le référentiel CNIL.
Chaque traitement intègre d’emblée les éléments attendus dans un EHPAD : bases légales ajustées selon statut public ou privé, déclenchement d’AIPD pour les dossiers résidents, encadrement de l’usage du NIR et de l’INS, durées de conservation conformes au Code de la santé publique et exigences de sécurité liées aux données de santé.
Exemples de traitements inclus dans le pack :
✅ Gestion du dossier résident (administratif, médical et accompagnement personnalisé)
✅ Coordination des soins et gestion des intervenants médicaux et paramédicaux
✅ Vidéosurveillance et sûreté des espaces collectifs
✅ Gestion RH en EHPAD : plannings, habilitations, suivi des formations obligatoires
Chaque fiche est prête à l’emploi : finalités pré-rédigées, catégories de données sensibles identifiées, règles de conservation paramétrées et mentions d’information associées. Vous activez le pack, vous adaptez à votre organisation, et votre registre se construit sans réécriture juridique.
Plus besoin de reconstruire vos finalités ou de croiser seul les exigences du référentiel CNIL. Nos modèles intègrent directement les attendus opérationnels des EHPAD.
Finalités métier complètes : gestion du dossier administratif (DIPEC et contrat de séjour), suivi médicalisé, coordination des soins, gestion des remboursements de frais médicaux et accompagnement des droits en fin de vie (directives anticipées).
Conservation sécurisée : distinction intégrée entre base active (2 ans après le dernier contact) et archivage intermédiaire (jusqu’à 20 ans selon le Code de la santé publique, ou 10 ans après le décès).
Données sensibles & consentement : encadrement strict du NIR et de l’INS pour la coordination des soins ; gestion du consentement exprès pour certaines données de vie privée, notamment les convictions religieuses liées à l’accompagnement.
Conformité native : formulaire d’AIPD, paramétrage des habilitations par profil, journalisation des accès et traçabilité des consultations du dossier résident.
Importez la fiche, adaptez vos paramètres internes, et votre registre devient immédiatement exploitable.
Un EHPAD privé d’environ 65 collaborateurs, sans juriste interne, avec une gestion RGPD répartie entre la direction et l’administration.
Le défi : Dans le cadre d’un renouvellement de conventionnement, l’établissement devait démontrer une conformité opérationnelle, incluant une Analyse d’Impact relative à la Protection des Données (AIPD) obligatoire pour les dossiers résidents. La direction devait aussi clarifier l’usage d’identifiants sensibles comme le NIR et l’INS, tout en gérant des durées de conservation différentes entre accompagnement social et données médicales.
La solution : Activation du pack EHPAD sur IZIRO, intégrant les finalités, les bases légales adaptées au secteur privé (contrat, intérêt légitime), et des fiches paramétrées avec les règles de conservation métier : base active courte pour le suivi social, archivage long pour le dossier médical. Les modèles incluaient également l’AIPD, la traçabilité des accès et des mentions d’information adaptées aux résidents.
Le résultat : Un registre complété à près de 90 % dès la première semaine, avec journalisation des accès aux données de santé, structure claire des responsabilités et documents d’information directement utilisables par les équipes terrain.
« Grâce aux modèles EHPAD, j’ai surtout relu, adapté et validé. Ce qui nous prenait du temps à comprendre et appréhender a été structuré
en quelques jours. » — Claire, Directrice d’établissement.
Oui, le traitement de données de santé à grande échelle ("Dossier Usager Informatisé" - DUI) impose une AIPD selon l'article 35 du RGPD. Notre module EHPAD intègre un modèle d'AIPD pré-paramétré qui vérifie automatiquement les critères de sécurité critiques du secteur médico-social : hébergement certifié HDS, traçabilité des accès soignants et mesures de pseudonymisation, réduisant votre temps de conformité de plusieurs jours à quelques heures.
Le logiciel permet de dissocier la personne concernée (le résident) de son représentant légal (tuteur, curateur, mandataire). Il génère des mentions d'information adaptées, y compris en format FALC (Facile à Lire et à Comprendre), et trace les demandes d'exercice de droits effectuées par les tiers autorisés, garantissant le respect du Code de l'Action Sociale et des Familles (CASF) sans complexité administrative.
Absolument. Pour éviter les risques de conservation excessive, le logiciel applique nativement les règles du référentiel CNIL de 2021 et du Code de la Santé Publique : 2 ans en base active pour le suivi courant, et bascule automatique en archivage intermédiaire pour 10 ou 20 ans (dossier médical) après la sortie du résident. Des alertes de purge vous notifient des échéances pour sécuriser votre responsabilité.
Oui, ces éditeurs sont considérés comme des sous-traitants critiques. Notre bibliothèque inclut les fiches pré-remplies des principaux logiciels de soins et plateformes de télémédecine du marché. Cela vous permet de valider instantanément leur conformité (localisation des serveurs, certifications HDS, contrats Article 28) et de les intégrer à votre registre sans saisie manuelle.
La sécurité des données de santé repose sur la gestion des accès. Notre solution offre une gestion granulaire des profils (Médecin Co, IDEC, Aides-soignants, Administration, Stagiaires) pour appliquer le principe de moindre privilège. Elle centralise les mouvements d'entrées/sorties du personnel dans le registre, fournissant une preuve de traçabilité immédiate en cas d'inspection de l'ARS ou de la CNIL.
Oui, bien que le registre contienne peu de données de santé directes, nous hébergeons l'intégralité de la solution sur des serveurs souverains certifiés HDS en France. Cela garantit une chaîne de confiance ininterrompue avec vos propres obligations de sécurité et protège vos analyses d'impact et vos fichiers de violation de données contre toute exfiltration extraterritoriale.