Protection des données : FAQ

Concernant le référentiel

A qui s’adresse ce référentiel ?

Ce référentiel s’adresse aux médecins généralistes ou spécialistes exerçant à titre libéral ou en cabinet individuel ou groupé, ou au sein de maisons de santé.
Il s’adresse également aux autres professionnels de santé.

Pourquoi ce référentiel ?

Il a évocation à aider les professionnels de santé à mettre en conformité les traitements de données personnelles utilisés pour la gestion de leurs cabinets médicaux et paramédicaux.

Est-ce un référentiel obligatoire ?

Ce référentiel est un cadre de référence, non obligatoire.
Tout médecin qui déciderait de procéder autrement devra être en mesure de justifier de ses démarches de mise en conformité.

J’ai réalisé un engagement de conformité à la norme NS-50 destinée aux membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion des cabinets.

Le présent référentiel remplace la norme simplifiée NS-50.  
Aucune déclaration auprès de la CNIL n’est nécessaire.
Chaque médecin doit prendre acte de ce référentiel afin de se conformer aux nouvelles règles posées par le Règlement Général sur la Protection des Données (RGPD).

Où trouver ce référentiel ?

Le référentiel est disponible sur le site de la CNIL 

La mise en application du référentiel

Que faire concrètement ?

• Tenir un registre des traitements
• Sécuriser les données traitées
• Désigner un délégué à la protection des données, le cas échéant
• Réaliser une AIPD, le cas échéant

Il n’y a aucune déclaration à réaliser auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Où puis-je trouver un exemple de registre des traitements ?

Il est possible de trouver un exemple de registre des traitements dans le Guide pratique sur la protection des données personnelles.

Je recours à un prestataire de service pour assurer la maintenance du logiciel et des postes de travail contenant les dossiers patients. Quelles précautions prendre ?

Les prestataires de service ne doivent pas accéder aux dossiers des patients, afin de garantir le secret médical.
Les données doivent être chiffrées afin que le prestataire puisse réaliser sa mission de maintenance sans accéder aux données des patients.

Je recours à un prestataire de service pour héberger les dossiers des patients. Quelles sont les règles à respecter ?

Tout hébergeur des dossiers patients doit être agréé ou certifié pour l’hébergement des données de santé, conformément à l’article L 1111-8 du code la santé publique.

De plus, le contrat devra comporter au moins les clauses suivantes :

• Une clause relative à la protection des données et conforme à l’article 28 du RGPD ;
• Une clause relative à la sécurité des données ;
• Une clause relative aux conditions de restitution et de destruction des données en fin de contrat.

Pour en savoir plus sur la rédaction de la clause relative à la protection des données, vous pouvez consulter la page 9 du Guide sur la protection des données élaboré conjointement par le CNOM et la CNIL.

J’ai recours à une plateforme de prise rendez-vous. Quels sont les bons réflexes ?

Un contrat doit être passé avec l’éditeur de la plateforme de prise de rendez-vous.
Le contrat devra comporter au moins les clauses suivantes :

• une clause répartissant de manière claire les responsabilités de l’éditeur et du médecin dans la gestion des données personnelles des patients
• une clause relative à la protection des données et conforme à l’article 28 du RGPD ;
• une clause relative à la sécurité des données ;
• une clause relative aux conditions de restitution et de destruction des données en fin de contrat

Pour en savoir plus sur la rédaction de la clause relative à la protection des données, vous pouvez consulter la page 9 du Guide sur la protection des données élaboré conjointement par le CNOM et la CNIL.

Quelles sont les durées de conservation des données des patients ?

Le dossier du patient doit être conservé pendant 20 ans à compter de la date de sa dernière prise en charge.
Dans les cas suivants, il est recommandé de prolonger la durée de conservation, comme cela est prévu pour les dossiers médicaux détenus par les établissements de santé :

• si le patient est mineur et que la durée de 20 ans expire avant son 28ème anniversaire, prolonger la conservation du dossier jusqu'à cette date ;
• si le patient décède moins de 10 ans après la date de sa dernière consultation, conserver le dossier pendant 10 ans à compter de la date du décès ;
• en cas d’action tendant à mettre en cause votre responsabilité.

Les doubles des feuilles de soin électroniques doivent être conservés 3 mois.

A l’expiration de ces délais, les données doivent être supprimées ou anonymisées pour être archivées.

Quelles sont mes obligations vis-à-vis des données personnelles des patients ?

Les patients doivent être informés des modalités du traitement de leurs données et de la manière dont ils peuvent exercer leurs droits.
Ces informations peuvent être portées à la connaissance du patient par voie d’affichage ou par la remise d’un document en main propre.
Pour un exemple de notice d’information, voir le Guide pratique sur la protection des données personnelles, page 27.

Quels sont les droits des patients à l’égard de leurs données personnelles ?

Les patients disposent des droits suivants :

• droit d’accès à toutes les données les concernant et à leur dossier médical. Le patient y accède, selon son choix, directement ou par l'intermédiaire d'un médecin désigné à cet effet, en application de l'article L. 1111-7 du code de la santé publique.
• droit de rectification des données qui sont erronées ou incomplètes.
• droit à la limitation du traitement : ce droit complète le droit de rectification. Concrètement, si un patient conteste l’exactitude des données le concernant, vous devez procéder aux vérifications nécessaires concernant cette demande. Pendant ce délai, le patient peut vous demander de geler temporairement le traitement de ses données.
• le droit à l’effacement des données est écarté s’agissant des données figurant dans le dossier médical. En effet, ce droit ne doit pas aller à l’encontre du respect d’une obligation légale (conservation des dossiers médicaux et droit d’accès des patients) et il ne s’applique pas dans la mesure où le traitement des données est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique.

Quelles sont les mesures à mettre en place pour préserver la sécurité des données traitées ?

Le médecin est responsable de la sécurité des données de ses patients.
Il est invité à adopter l’ensemble des mesures de sécurité décrites par la CNIL, page 9 de son référentiel .
Parmi ces mesures figurent, notamment, la sécurisation des postes de travail, la sécurisation des échanges avec d’autres professionnels de santé et avec les patients et la protection des locaux.

Mesures complémentaires pour les médecins exerçant en cabinets groupes

Dans quel cas dois-je désigner un délégué à la protection des données (DPO)?

La désignation d’un DPO est obligatoire lorsque l’ensemble des conditions suivantes sont remplies (conditions cumulatives) :

• être médecin
• exercer en cabinet groupé
• partager un système d’information commun ( exemples : un ordinateur pour plusieurs médecins et/ou un réseau commun et/ou des logiciels communs etc. )
• avoir au moins 10 000 patients par an dans le cabinet groupé

Comment désigner un délégué à la protection des données ? La désignation auprès de la CNIL est-elle payante ?

La désignation d’un délégué à la protection des données se réalise en ligne, sur le site de la CNIL à l’adresse suivante : https://www.cnil.fr/fr/designation-dpo

Cette désignation sur le site de la CNIL est gratuite.

Qu’est-ce qu’une Analyse d’impact sur la protection des données ?

L’analyse d’impact sur la protection des données est un outil permettant de bâtir des traitements de données personnelles respectueux de la vie privée. Cette analyse permet également de démontrer sa conformité au Règlement Général sur la Protection des données.

Dans quels cas réaliser une Analyse d’impact sur la protection des données (AIPD)?

Les médecins remplissant les conditions suivantes doivent réaliser une AIPD :

• exercer en cabinet groupé
• partager un système d’information commun ( exemples : un ordinateur pour plusieurs médecins et/ou un réseau commun et/ou des logiciels communs etc. )
• avoir au moins 10 000 patients par an dans le cabinet groupé.

Comment réaliser une AIPD ?

L’analyse d’impact sur la protection des données peut être réalisée à partir de l’outil de la CNIL , mis à disposition à l’adresse suivante : https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd

 Dois-je soumettre mon AIPD à l’Ordre ?

Non. Il n’est pas obligatoire de soumettre votre AIPD à l’Ordre des médecins.
Vous pouvez envoyer votre AIPD à la DPO de l’Ordre des médecins pour avis à l’adresse suivante : dpo@cn.medecin.fr Cet avis est purement consultatif.

Dois-je soumettre mon AIPD à la CNIL ?

Vous devez soumettre votre AIPD à la CNIL lorsque l’analyse présente des risques résiduels élevés.
Pour en savoir plus, vous pouvez consulter le site de la CNIL