RGPD et professionnels de santé : soyez en conformité

Home / All / RGPD et professionnels de santé : soyez en conformité

Plusieurs années après son entrée en vigueur, le règlement général sur la protection des données en effraie encore certains ! 
En tant que professionnel de santé, vous êtes amené à traiter, pour les besoins de votre activité, des données personnelles dont des données de santé dites sensibles.
Quelles obligations vous incombent ? Quel est l’impact sur votre activité professionnelle ? Découvrez dans cet article les points essentiels sur lesquels vous devez vous concentrer afin d’assurer votre conformité au règlement.

Créer mon site internet pour Professionnel de Santé

Le RGPD, késako ?

Aujourd’hui, le cadre juridique est forcé de s’adapter aux évolutions des technologies et des sociétés. Pour garantir une meilleure maîtrise des données personnelles, le règlement général sur la protection des données (RGPD) a fait son apparition le 25 mai 2018. Il est venu renforcer le contrôle par les citoyens de l’utilisation pouvant être faite de leurs données. 

Il convient de rappeler ce qui est considéré comme étant une donnée à caractère personnel. Le RGPD la définit comme “ toute information relative à une personne physique identifiée ou pouvant être identifiée, directement ou indirectement.

Grâce au règlement, les règles au sein des États membres de l’Union européenne ont été harmonisées pour offrir un seul et unique cadre juridique aux professionnels.
Le règlement a eu d’importantes répercussions sur de nombreuses entreprises à travers le monde. C’est l’un des plus grands bouleversements jamais connus dans le domaine ! 

Le RGPD et les professionnels de santé : êtes-vous concerné ?

On peut dire que le champ d’application du RGPD est vaste. De manière générale, tout organisme, quels que soient sa taille, son lieu d’implantation et son activité, peut être concerné par ses mesures.
En effet, le règlement s’applique à toute organisation, publique ou privée, traitant des données personnelles pour son compte ou non, à condition :

  • qu’elle soit établie sur le territoire de l’un des états membres de l’Union européenne,
  • ou que son activité cible directement des résidents européens.

Le règlement concerne également les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

À travers votre profession, vous êtes forcément amené à recevoir ou bien à émettre des informations personnelles concernant vos patients. Il peut même s’agir de données de santé dites sensibles.
Les dispositions du règlement vont donc s’appliquer à l’ensemble des traitements de données personnelles que vous effectuez. Ils peuvent aussi bien se faire sous forme papier (ex : dossier patient) que sous forme informatique (ex : logiciel de gestion de votre cabinet).

Bien sûr, les mesures du RGPD ne vont pas uniquement s’appliquer aux traitements de données de santé que vous faites dans le cadre de la prise en charge de votre patientèle. Elles vont également concerner tous vos autres traitements (ex : gestion des rémunérations de vos collaborateurs, des fournisseurs, de vos employés, ses agents d’entretien, etc.).

En tant que responsable de traitement et personne soumise au secret professionnel, vous devez garantir la bonne application des différentes procédures mises en place par le règlement pour protéger les données personnelles que vous traitez. 

Le traitement des données personnelles de votre patientèle

  • La nature des données personnelles de votre patientèle

Les informations que vous allez détenir sur vos patients sont considérées comme étant des données personnelles. On retrouve le nom, le prénom, l’adresse, le numéro de téléphone, le numéro de sécurité sociale, l’assurance maladie obligatoire et complémentaire, etc. Il peut également s’agir d’informations concernant leur état de santé et l’identité d’autres professionnels qui interviennent.  

Attention : les données relatives à votre patientèle que vous collectez doivent présenter différentes caractéristiques. Elles doivent être adéquates, pertinentes et limitées, strictement nécessaires à la prise en charge de vos patients au titre des activités de prévention, de diagnostic et de soins.
Par exemple, la collecte d’informations relatives à la vie familiale ou à la vie professionnelle n’est en principe pas appropriée.

  • La transmission des données de vos patients

Soyez vigilant ! Vous devez limiter l’accès aux données de santé de votre patientèle.
Seules certaines personnes peuvent y accéder en raison de leurs missions. Il peut s’agir d’une secrétaire médicale, des organismes d’assurance maladie, d’une équipe de soins d’un établissement de santé, etc.
De plus, elles ne peuvent pas avoir accès à la totalité du dossier médical mais uniquement aux données indispensables à l’exercice de leurs missions. 

En parallèle, il est possible que d’autres personnes n’exerçant pas dans le milieu de la santé se voient autoriser un accès aux données de vos patients dans certains cas particuliers (ex : lutte contre la fraude).

  • La durée de conservation des données collectées

Les données collectées relatives à vos patients ne peuvent pas être conservées sur une durée indéterminée mais seulement sur un laps de temps limité. 

À titre d’exemple, selon les recommandations du Conseil de l’Ordre des médecins, les médecins libéraux sont tenus de conserver les dossiers médicaux des patients pendant une durée de 20 ans à compter de leur dernière consultation.

  • Le consentement de votre patientèle

Pour collecter les données de santé de vos patients et les conserver par la suite, il n’est pas nécessaire d’obtenir leur consentement. En effet, elles sont indispensables à la pose d’un diagnostic et à une prise en charge efficace. 

Attention à ne pas confondre les notions de consentement en matière de protection des données et de consentement nécessaire à la réalisation de certains actes médicaux.
Par exemple, le Code de la Santé Publique impose l’obtention d’un consentement libre et éclairé du patient pour pouvoir procéder à un examen médical (article L.1111-4).

Créer mon site internet pour Professionnel de Santé

Quatre conseils à suivre pour être en conformité avec les règles de protection des données

  1. Constituez un registre des activités de traitement

    La constitution et le maintien d’un registre sont des obligations prévues par le règlement. Elles s’appliquent à toutes les structures traitant des données personnelles dans le cadre de leurs activités.
    Le registre va recenser tous vos traitements de données et vous permettra d’avoir une vision globale de votre situation. Pour cela, il est conseillé d’identifier vos activités principales concernées par ce type de traitement (gestion de la paie, gestion de la patientèle, etc.)

    Si vous faites l’objet d’un contrôle de la Commission nationale de l’informatique et des libertés, vous devez pouvoir mettre à disposition des agents votre registre afin qu’ils puissent mener à bien leur contrôle.

  2. Faites le tri de vos données

    Un tri de vos données s’impose ! Êtes-vous certain que toutes les données que vous traitez sont nécessaires à votre activité ? Traitez-vous des données sensibles ? Si oui, avez-vous le droit de le faire ? Pendant combien de temps traitez-vous vos données ? N’est ce pas plus long que nécessaire ? De nombreuses questions sont à approfondir !

    Ce tri est l’occasion parfaite pour améliorer vos pratiques. Vous pouvez supprimer toutes les informations qui ne se révèlent pas être utiles et essentielles, et si ce n’est pas déjà fait, mettre en place des règles d’effacement ou d’archivage.

  3. Respectez les droits des personnes

    Le règlement est venu renforcer l’obligation d’information et de transparence envers les personnes dont vous allez traiter les données.

    Pour garantir une transparence complète, vous devez délivrer à votre patientèle une information portant sur le traitement de données que vous effectuez pour leur prise en charge. Elle doit être délivrée de façon concise, transparente, compréhensible et aisément accessible. Il peut par exemple s’agir d’une affiche visible dans votre salle d’attente, d’un livret d’accueil lors d’une hospitalisation, etc. Cela vous permettra de respecter votre obligation de transparence avec brio !

    Les patients dont vous traitez les données disposent de différents droits sur celles-ci. On retrouve le droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité ou encore à la limitation du traitement. Ils doivent pouvoir les exercer de manière simple et efficace. 

    Et enfin, soyez réactif ! Lorsque vous recevez une demande concernant des données personnelles, il est important que vous proposiez une réponse et une solution rapidement. Vous pourrez ainsi renforcer la relation existante avec vos patients, améliorer votre image et éviter une plainte auprès de la Commission nationale de l’informatique et des libertés de France.

  4. Sécurisez vos données

    Vous êtes tenu de prendre les mesures nécessaires afin de sécuriser les données et de préserver leur confidentialité et leur intégrité. Pour cela, vous devez notamment restreindre les risques d’accès non autorisés, de perte, de destruction ou de dégâts accidentels. 

    Pour y parvenir, il est conseillé de mettre en place différentes mesures techniques. On retrouve par exemple l’utilisation d’un système de chiffrage fort en cas d’utilisation d’internet, la création de mots de passe hautement sécurisés, l’utilisation de la carte professionnelle de santé, la mise à jour régulière de vos logiciels et de vos antivirus…

    Important ! Si vous déléguez le traitement des données de votre patientèle en votre nom et pour votre compte à un prestataire (ex : hébergement de données par un hébergeur de données de santé certifié), vous devez vous assurer que celui-ci vous garantit un niveau de sécurité nécessaire à leur protection.

La désignation d’un délégué à la protection des données

Le délégué à la protection des données (DPO) est un véritable chef d’orchestre de la conformité en matière de protection des données. Il est chargé d’assurer la mise en conformité de ses clients au règlement et leur suivi sur le long terme.
Il va leur apporter des conseils et contrôler le respect du texte de loi. Si besoin, il va alerter le responsable de traitement, proposer des mesures correctrices et se charger du relai avec la Commission nationale de l’informatique et des libertés.

Sa désignation n’est pas toujours systématique. Selon la Commission, elle est obligatoire dans les situations suivantes :

  • pour les autorités ou les organismes publics, à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles ;
  • pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
  • les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Par conséquent, en tant que professionnel de santé, il est possible que vous soyez dans l’obligation de désigner un DPO, notamment si vous traitez des données de santé à grande échelle.
Ce peut être le cas si vous exercez votre profession au sein d’un réseau de professionnels, de maisons de santé, de centres de santé, que vous partagez des dossiers avec d’autres professionnels, etc.

Deux solutions s’offrent alors à vous : désigner un DPO en interne ou bien en externe (consultants, cabinets d’avocats, etc.).

De manière générale, même si elle n’est pas toujours obligatoire, sa désignation est vivement conseillée. Elle permet de déléguer à un expert dans le domaine, l’identification et la coordination de l’ensemble des actions à conduire en matière de protection des données personnelles. 

Les sanctions encourues en cas de non-respect du règlement

En cas de non-respect du règlement, vous pouvez encourir de lourdes sanctions. En effet, les autorités de protection ont la possibilité de prendre de nombreuses mesures.

Elles peuvent :
– prononcer un avertissement
mettre en demeure
limiter temporairement ou définitivement le traitement
suspendre les flux de données
ordonner de satisfaire aux demandes d’exercice des droits des personnes
la rectification, la limitation ou l’effacement des données.

Vous pouvez également être sanctionné financièrement par des amendes pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
De plus, ces sanctions pouvant être dévoilées au grand jour, elles peuvent causer un important préjudice d’image pour votre activité et pourraient avoir un impact négatif sur la relation que vous entretenez avec vos patients.

Créer mon site internet pour Professionnel de Santé

Une chose est sûre, la mise en place du RGPD a été un véritable chamboulement  pour de nombreux professionnels !
Prenez les mesures nécessaires pour assurer votre conformité avec ce règlement qui a pour vocation principale de sécuriser votre activité et les relations avec votre patientèle.