Au service des médecins dans l’intérêt des patients

Règlement général sur la protection des données personnelles

Publié le Lundi 13 mai 2019 Temps de lecture : 6 mn
RGPD
Comment les médecins doivent appliquer au quotidien le RGPD qui les concerne notamment pour la protection des données personnelles de santé.

Comment l’appliquer au quotidien ?

Le Règlement général sur la protection des données personnelles (RGPD), adopté au niveau européen, est entré en application le 25 mai 2018. Les médecins sont doublement concernés car la protection des données personnelles s’articule avec leur secret professionnel. C’est pourquoi l’Ordre a élaboré et rédigé conjointement avec la Cnil un guide pratique  constitué de 6 fiches pratiques thématiques, qui se complèteront au fur et à mesure, pour accompagner les médecins dans la mise en œuvre de ces obligations.

Pourquoi un guide pratique sur la protection des données personnelles ?

Aujourd’hui le Règlement général sur la protection des données (RGPD) d’étendue européenne et la loi française sur la protection des données personnelles, promulguée en juin 2018, adaptant la loi Informatique et libertés, constituent désormais le socle de la nouvelle réglementation sur la protection de toutes les données personnelles et celles qui concernent la santé notamment.
Ce guide se veut très pratique. Les structures comme les établissements de santé disposent de ressources juridiques internes qui se sont déjà impliquées dans ce domaine. Les médecins qui y exercent peuvent s’en rapprocher, particulièrement près du délégué à la protection des données (DPO), interlocuteur privilégié pour les renseigner sur l’état de conformité de la structure au RGPD ou répondre à leurs questions. C’est pour cela que le guide semble se concentrer surtout sur l’exercice en cabinet libéral, mais il concerne bien tous les médecins.  

À quoi correspondent les données personnelles ?

Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ». En matière de données de santé, il peut s’agir de données d’identification comme les nom, prénom, adresse, ou numéro de téléphone, mais aussi d’informations sur la vie personnelle du patient (ex : nombre d’enfants), sa couverture sociale (ex : assurance maladie obligatoire, assurance maladie complémentaire, etc.) et surtout d’informations relatives à sa santé (pathologies, diagnostics, prescriptions, soins, etc.), et sur les éventuels professionnels qui interviennent dans sa prise en charge. Vous détenez également, dans le cadre de votre exercice, le numéro de sécurité sociale des patients (Numéro d’Inscription au Répertoire des Personnes Physiques - NIR) pour facturer les actes réalisés.

Pourquoi êtes-vous concerné par le RGPD ?

En tant que médecin, vous êtes amené à recevoir ou à émettre des informations sur vos patients pour assurer leur suivi, que ce soit dans le dossier « patient » (papier ou informatique), dans le cadre de l’utilisation d’une plateforme en ligne de gestion des rendez-vous ou encore de la réalisation d’actes de télémédecine. De manière plus globale, vous collectez également des informations pour gérer votre cabinet (ex : gestion des fournisseurs, des personnels que vous employez, etc.).

Quel cadre appliquer aux dossiers des patients ?

Tout d’abord, vos dossiers papiers ou votre logiciel médico-administratif doivent répondre à des finalités déterminées, explicites et légitimes, c’est-à-dire aux besoins de la prise en charge de vos patients.
Les données que vous collectez et que vous reportez dans les dossiers de vos patients, doivent être adéquates, pertinentes et limitées à ce qui est nécessaire à la prise en charge du patient. Elles doivent être conservées pour une durée qui n’excède pas la durée nécessaire à l’utilisation que vous en faites.
Vous devez informer les patients de l’existence de vos dossiers et de leurs droits à cet égard, par exemple par voie d’affichage dans la salle d’attente. Vous devez enfin prendre toutes les précautions utiles pour empêcher que des tiers non autorisés aient accès aux données de santé de vos patients, notamment en veillant à ce qu’elles soient sécurisées.

Quel cadre appliquer à la prise de rendez-vous ?

À l’occasion des prises de rendez-vous, sont collectées, enregistrées et utilisées des données personnelles concernant vos patients, en particulier leur identité et leurs coordonnées personnelles. Les motifs de consultation peuvent parfois être demandés avec un degré de précision qui varie selon les spécialités et les nécessités de préparation à un examen particulier. Que la prise de rendez-vous soit assurée par votre cabinet, par un prestataire tiers de permanence téléphonique, ou par une plateforme en ligne, vous restez « responsable du traitement », au sens de la loi, des données d’identification des patients et des données de santé collectées lors de la prise de rendez-vous. En tant que responsable de traitement, vos obligations sont identiques à celles applicables pour les dossiers de vos patients : enregistrement des données strictement nécessaires, utilisation légitime des informations obtenues dans le cadre de la prise de rendez-vous, inscription dans le registre des activités de traitement, limitation des accès, sécurisation du planning et de son contenu, notification à la Cnil en cas de violation des données, etc.

Quel cadre appliquer à l’utilisation de la messagerie électronique ?

Dans le cadre de votre exercice professionnel, vous êtes amené à échanger des informations avec d’autres professionnels de santé ou avec vos patients. En tant que responsable de traitement et personne soumise au secret professionnel, vous devez assurer la protection des données que vous échangez. Pour cela, utilisez un service de messagerie sécurisée de santé pour vos échanges avec d’autres professionnels de santé. Si vous utilisez une messagerie électronique standard ou des messageries instantanées, assurez-vous que ces messageries sont sécurisées et adaptées à votre utilisation professionnelle. Enfin, chiffrez les pièces jointes lorsque vous utilisez des messageries standard qui ne garantissent pas la confidentialité des messages.

Quel cadre appliquer aux téléphones portables et tablettes ?

Votre tablette ou votre téléphone portable peut être utilisé, dans un contexte professionnel, à conditions que les règles de sécurité soient respectées. Il est ainsi fortement déconseillé de conserver des informations d’ordre médical dans la mémoire interne de votre tablette ou de votre téléphone portable. Néanmoins, si vous êtes amené à passer outre ce conseil, la conservation des données doit s’effectuer a minima dans le respect des règles suivantes : utilisation de mots de passe conformes aux recommandations de la Cnil (12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux), verrouillage automatique après un court délai, et chiffrement des données sensibles. Par ailleurs, évitez de prêter votre téléphone ou votre tablette et ne les laissez pas sans surveillance.
L’accès à distance aux dossiers de vos patients doit se faire conformément aux référentiels d'interopérabilité et de sécurité élaborés par l’Asip santé. Dans l’attente de la publication des textes réglementaires, la Cnil demande que l’authentification des professionnels de santé intervienne au moyen d’une carte de professionnel de santé (CPS) ou d’un dispositif équivalent agréé par l’ASIP santé.

languageLire les recommandations de la CNIL