Le Règlement Général sur la Protection des Données personnelles en médecine libérale

Article paru dans Le Psy Déchaîné n°23 / AFFEP.

 

Pour ceux qui n’auraient pas suivi l’actualité de ces derniers mois, le Règlement général sur la protection des données personnelles (RGPD), adopté au niveau européen, est entré en application le 25 mai 2018. Les médecins, et les professionnels de santé de manière générale, sont directement concernés par la protection des données personnelles, qui s’articule avec le respect du secret professionnel.

C’est pourquoi le CNOM (Conseil National de l’Ordre des Médecins) et la CNIL (Commission Nationale de l’Informatique et des Libertés) ont élaboré conjointement un guide pratique pour accompagner les médecins libéraux.

Pour faire un résumé très grossier de la RGPD, voici les points importants à retenir :

** Le responsable de traitement (RT) a pour obligation de documenter sa conformité à la loi (c’est à dire qu’il doit être en mesure de démontrer que les principes du règlement sont respectés en pratique).

 

**Les droits des personnes dont on traite les données personnelles :

   > Droit d’information (le RT doit informer les personnes de leurs droits et des données stockées),

   > Droit d’accès aux données conservées,

   > Droit de rectification des données personnelles,

   > Droit d’opposition au traitement des données personnelles,

   > Droit d’effacement des données personnelles,

   > Droit à l’oubli (les données récoltées ne peuvent avoir une durée de conservation illimité).

 

**Principe de proportionnalité : on ne doit collecter que les données qui sont utiles aux services.

**Principe de collecte loyale et licite : c’est à dire transparente, et la personne doit donner son consentement.

**La sécurité des données : le RT doit mettre en œuvre les moyens techniques et organisationnels pour la sécurité des données personnelles, afin de garantir un niveau de sécurité adapté au risque.

Les médecins sont effectivement directement concernés par cette nouvelle loi, puisque traitement des données personnelles, et notamment des données de santé qui sont soumises au secret médical, ainsi que certaines données dites « sensibles » comme par exemple le numéro de sécurité sociale.

Pour information, en cas de non-respect de la réglementation, la CNIL peut prononcer, en fonction de la gravité du non-respect de la réglementation, des amendes administratives allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Quant aux peines pénales maximales, elles sont, pour une personne physique, de 5 ans d’emprisonnement et de 300.000 d’euros d’amende et, pour une personne morale, de 1,5 millions d’euros d’amende.

Nous vous encourageons fortement à lire le guide, qui est plutôt bien fait et assez synthétique, et qui pourrait vous éviter des sanctions.

Le document regroupe entre autre 6 fiches, chacune abordant une thématique différente, allant de la gestion du dossier médical, au cadre de la prise de rendez-vous, en passant par les messageries électroniques. Il fournit également quelques exemples pratiques.

 

Dans cet article, nous vous avons extrait les « checklist des bonnes pratiques à respecter » fournies pour chaque fiche : 

 

Fiche 1 : Quel cadre appliquer aux dossiers des patients ?

 

>> Je limite les informations collectées au nécessaire et j’utilise les dossiers patients conformément aux finalités définies (suivi des patients) ;

>> Je tiens un registre à jour de mes « traitements »,

>> Je supprime les dossiers patients et de manière générale toute information ayant dépassé la durée de conservation préconisée,

>> Je mets en place les mesures appropriées de sécurité de mes dossiers « patients »,

>> J’informe mes patients et m’assure du respect de leurs droits.

 

Fiche 2 : Quel cadre appliquer à la prise de rendez-vous ?

 

>> Je limite les informations collectées par le prestataire et vérifie la conformité du prestataire avec la réglementation et notamment la présence des mentions obligatoires dans le contrat de sous-traitance que je passe avec lui,

>> Je tiens un registre à jour de mes « traitements »,

>> J’informe mes patients et m’assure du respect de leurs droits.

 

Fiche 3 : Quel cadre appliquer à l’utilisation de la messagerie électronique ?

 

>> J’utilise un service de messagerie sécurisée de santé pour mes échanges avec d’autres professionnels de santé,

>> Si j’utilise une messagerie électronique standard ou des messageries instantanées, je m’assure que ces messageries sont bien sécurisées et adaptées à mon utilisation professionnelle,

>> Je chiffre les pièces jointes lorsque j’utilise des messageries standard sur internet qui ne garantissent pas la confidentialité des messages.

 

Fiche 4 : Quel cadre appliquer aux téléphones portables et tablettes ?

 

>> Je sécurise l’accès à mon téléphone ou à ma tablette et à son contenu (mot de passe, chiffrement, etc.)

>> Je ne stocke pas d’informations médicales relatives à mes patients sur mon téléphone portable ou ma tablette ;

>> Je m’assure que l’accès à mon logiciel de dossiers « patients » sur mon téléphone portable ou ma tablette est sécurisé ;

>> Je consulte mon logiciel de dossiers « patients » avec précaution.

 

 Fiche 5 : Quel cadre appliquer aux recherches ?

 

>> Je réalise une analyse d’impact avant la réalisation d’études internes sur les données de mes patients si le traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ;

>> Dans le cadre de recherches en partenariat avec un tiers, je m’assure que les recherches sont menées conformément à la réglementation ;

>> Je tiens à jour le registre des activités de traitement ;

>> J’informe mes patients et m’assure du respect de leurs droits.

 

 Fiche 6 : Quel cadre appliquer à la télémédecine ?

 

>> Je m’assure que le prestataire de télémédecine choisi est bien conforme avec la réglementation ;

>> Je vérifie la présence des mentions obligatoires dans son contrat.

>> Je contrôle que le patient a bien été informé.

 

Pour aller plus loin, vous pouvez consulter le document dans son intégralité à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/guidecnom- cnil.pdf.

Thomas BARBARIN, Dijon