RGPD : quel impact pour les médecins ?

Classé dans : À la une, Tendances | 0

Depuis le 25 mai 2018, le Règlement Général pour la Protection des Données personnelles (RGPD) est rentré en application. D’importantes obligations pèsent désormais sur les auteurs de traitements de données, afin de mieux protéger la vie privée des individus. L’objectif derrière ce système d’autorégulation est de responsabiliser les acteurs et de renforcer le droit des personnes. Le secteur de la santé est directement concerné par ce texte car les données de santé, considérées comme des données sensibles, bénéficient d’un régime de protection renforcé.

Le RGPD  fixe le traitement et la sécurisation des données à caractère personnel, que ces traitements soient sous une forme informatique (ex : logiciel de gestion de votre cabinet médical) ou papier (ex : dossier patient papier). Les données à caractère personnel sont les informations qui concernent une personne physique et qui permettent soit de l’identifier, soit qu’elle soit identifiable (identité, numéro de sécurité sociale, adresse…).

Toute personne qui possède, traite et stocke des données personnelles est concernée par le RGPD. Si vous êtes un professionnel de santé (public ou privé), vous êtes particulièrement concerné car :

  • Tous vos dossiers médicaux sont directement ou indirectement nominatifs, c’est-à-dire qu’il y a des éléments permettant de retrouver un patient ;
  • Vous collectez des informations personnelles, les conservez, les modifiez, les utilisez…
Quelles sont vos obligations ? 
  1. Les données que vous collectez et que vous reportez, dans les dossiers de vos patients, doivent être adéquates, pertinentes et limitées à ce qui est nécessaire à la prise en charge du patient.
  2. Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.
  3. Vous devez informer vos  patients  de l’application du RGPD en mettant une affiche dans votre salle d’attente leurs précisant notamment les traitements réalisés, leurs droits…
  4. Vos patients disposent de droits. Ils peuvent  accéder aux données les concernant, rectifier ou/et effacer ces données en cas d’erreur, s’opposer au traitement pour des raisons tenant à leur situation particulière.
La CNIL a publié un document en ligne permettant d’éclairer vos patients sur l’exercice de leurs droits.
NB : Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux.

Les règles à respecter

Dans la mesure où vous conservez des données, vous devez les sécuriser. Quelques règles simples :

  • Verrouillez la session de votre Mac à chaque fois que vous vous en éloignez que ce soit pour quelques minutes ou plusieurs heures ;
  • Conservez de manière sûre les mots de passe confidentiels, ne les écrivez pas dans un carnet présent dans le cabinet ou ne les collez pas sous le clavier, et changez-les au moins deux fois par an ;
  • Choisissez un mot de passe de bonne qualité : au moins huit caractères avec des chiffres, des majuscules et des caractères spéciaux (@#, ;:/ ?).
  • Si vous utilisez votre smartphone pour stocker des informations ou échanger des informations sur vos patients, ce smartphone doit également être crypté, avoir des mots de passe de verrouillage et dans l’idéal pouvoir s’effacer à distance en cas de perte ou vol ;
  • Les dossiers papiers doivent être rangés dans une armoire fermée à clé ;
  • Vous ne pouvez pas utiliser votre boite mail personnelle pour recevoir ou transférer des informations relatives à vos patients. Les envois d’informations médicales doivent se faire avec une messagerie cryptée de type Apicrypt ;
  • Vous devez informer vos  patients  de l’application du RGPD en mettant une affiche dans votre salle d’attente leurs précisant notamment les traitements réalisés, leurs droits…
  • Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

NB : Les données personnelles informatiques doivent être conservées au minimum 20 ans.

 

Ce que vous risquez

D’un point de vue strictement juridique, si vous ne respectez pas vos obligations, vous pouvez faire l’objet d’une sanction administrative de la CNIL, voire d’une sanction pénale.

Si la CNIL constate un défaut de conformité et vous met en demeure de vous conformer, vous avez encore la possibilité d’adopter les mesures nécessaires pour éviter une sanction, l’essentiel est de pouvoir démontrer que vous êtes engagé dans une démarche de mise en conformité́.

Le Conseil National de l’Ordre des Médecins et la Commission Nationale de l’Informatique et des Libertés se sont associés à cet égard pour élaborer et rédiger conjointement un guide pratique destiné aux médecins afin de les accompagner dans leurs obligations professionnelles de protection des données. Les syndicats de médecins libéraux (CSMF et FMF notamment) proposent également à leurs adhérents un kit spécifique.

En cas de doute, n’hésitez pas à nous contacter afin de vous assurer  de votre mise en conformité RGPD.

Malik BelkacemiM. Belkacemi