Depuis l’entrée en vigueur du RGPD en 2018, les professionnels du domaine médical sont assujettis à la réglementation des données à caractère personnel. Les données qu’ils exploitent sont dites sensibles dès lors qu’elles constituent une information sur l’état de santé des patients. Récemment, deux médecins ont fait l’objet d’une sanction par la CNIL pour un défaut de protection des données [1] .
[1] https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins
Depuis l’entrée en vigueur du RGPD en 2018, les professionnels du domaine médical sont assujettis à la réglementation des données à caractère personnel. Les données qu’ils exploitent sont dites sensibles dès lors qu’elles constituent une information sur l'état de santé de leurs patients. Le professionnel doit désormais être en mesure de démontrer la conformité de ses fichiers au RGPD. Est-ce votre cas ?
Bonne nouvelle, en juillet 2020, la CNIL a adopté de nouveaux référentiels[1] – sorte de cahier des charges- dont un relatif aux traitements de données à caractère personnel destinées à la gestion des cabinets médicaux et paramédicaux.
Ce référentiel est destiné à couvrir l’ensemble de l’activité des cabinets médicaux et paramédicaux en exercice libéral afin de leur faciliter la mise en conformité de leurs fichiers.
En substance, il conviendra des traiter tous les pans de la réglementation :
Type de données : Tout d’abord, s’agissant du champ d’application, le RGPD est applicable à tout traitement (ou toute base) de données qui identifie directement ou indirectement une personne physique. Le RGPD s’applique tout autant aux traitements informatiques ainsi qu’aux dossiers papier : les psychiatres et psychologues ne pourrons pas botter en touche.
La transmission des données des patients doit être limitée aux seules personnes qui sont autorisées à y accéder au regard de leurs missions. Professionnels de santé, personnes en charge du secrétariat (externe ou interne), personnels des organismes d’assurance maladie, etc ...
Données collectées : Selon la CNIL, toutes les données collectées par ces différentes professions doivent être nécessaires et pertinentes. Voici une liste proposée par la CNIL :
-
- L’identité et coordonnées du patient (telles que les nom, prénom, date de naissance, adresse postale, adresse électronique et numéro de téléphone) ;
-
- L’identifiant national de santé (INS) ;
-
- Le numéro de sécurité sociale ;
-
- La situation familiale ;
-
- La situation professionnelle ;
-
- La santé (telles que le poids, la taille, les antécédents médicaux, les diagnostics médicaux, la thérapie suivie, les traitements prescrits, …)
-
- Les informations relatives aux habitudes de vie
Durée de conservation : Le reste des informations doit, a priori ne pas être collecté par les praticiens. La CNIL autorise donc les professions médicales libérales à collecter toutes ces données mais elles ne peuvent être gardées indéfiniment. En effet, les données enregistrées peuvent être conservées pendant une durée de vingt ans à compter de la date de la dernière prise en charge du patient. À l’expiration de ces délais, les données sont supprimées ou archivées sous une forme anonymisée. La conservation et l’archivage des données doit bien entendu être conforme aux exigences en matière de santé : une sécurisation forte.
Information préalable à la collecte : C’est là que le bât blesse le plus souvent : dès le stade de la collecte des données personnelles, les personnes doivent etre informées des modalités de traitement de leurs données dans les conditions prévues par les articles 12, 13 et 14 du RGPD. Rassurez-vous, les professionnels de santé n’ont pas pour autant l’obligation de recueillir le consentement des patients, qui est induit par le consentement aux soins.
Droit des personnes sur leurs données : Les personnes concernées doivent par ailleurs être informées de la manière dont elles peuvent exercer leurs droits que sont le droit de s’opposer au traitement de leurs données, le droit d’accès à leur dossier patient, le droit de rectification, le droit d’effacement et le droit à la limitation du traitement.
Tenue du registre des traitements : Avec l’entrée en vigueur du RGPD, il n’y a plus de déclaration à faire auprès de la CNIL pour les traitements de données personnelles nécessaires à la gestion de l’activité mais le professionnel de santé se doit de tenir un registre des traitements.
Délégué à la protection des données: De plus, la CNIL estime que la réalisation d’une analyse d’impact relative à la protection des données (AIPD) et la désignation d’un délégué à la protection des données (DPO) devraient être nécessaires pour les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir d’un seuil annuel de 10 000 patients.
Nul n’est besoin d’attendre ce seuil pour recruter un délégué à la protection des données qui permettra au professionnel de réaliser son activité en toute sécurité : tenue du registre des traitements, recommandations sur les actions à mettre en place au sein des cabinets, vérification du niveau de sécurité informatique, et réponse aux demandes de personnes sur leurs données. Au-delà d’une simple obligation, c’est aussi un message de confiance que l’on adresse à ses patients en ces temps tourmentés.
Notre cabinet, délégué à la protection des données de nombreuses professions libérales, se tient à votre disposition pour vous offrir ses services de délégué à la protection des données ou vous donner de plus amples informations.
[1] https://www.cnil.fr/fr/la-cnil-publie-trois-referentiels-pour-le-secteur-de-la-sante
https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins
