Pour les médecins, méconnaître les règles de gestion des données personnelles de vos patients n’est plus une option. Les dispositions du RGPD (règlement général sur la protection des données) s’appliquent en effet à toutes les données de santé que vous collectez, et ce, de manière informatique ou papier. Tour d’horizon de ce qu’un médecin doit savoir sur les bonnes pratiques RGPD !
Quelles données un médecin peut-il collecter ?
En tant que professionnel de santé, vous devez recueillir uniquement les données pertinentes pour la prise en charge de vos patients. Si l’âge ou les antécédents médicaux tombent ainsi sous le sens, les informations sur les enfants ou le conjoint ne sont pas adéquates. Gardez à l’esprit qu’il faut que la collecte se cantonne à ce qui est nécessaire.
Les patients doivent-ils consentir au recueil de leurs données ?
La réponse est non. Les données de vos patients étant de facto nécessaires à leur prise en charge médicale et sociale, le consentement de ces derniers au traitement et à la conservation de leurs données n’est pas requis.
Dois-je informer mes patients du traitement de leurs données ?
Oui : le traitement de leurs données doit être porté à la connaissance de vos patients de façon concise, transparente, compréhensible et aisément accessible. Vous pouvez par exemple créer une affiche à disposer dans votre salle d’attente. Vous devez y faire paraître les points suivants :
- L’identité du responsable de traitement : c’est-à-dire, vous.
- La finalité du traitement : en d’autres mots, la raison pour laquelle vous collectez les données de vos patients.
- La durée de conservation des données.
- Le droit pour vos patients d’accéder à leurs données, les rectifier ou les supprimer.
- Le droit de s’opposer au traitement des données (NB : sauf s’il existe des motifs légitimes et impérieux qui prévalent sur les droits et libertés des patients, par exemple, assurer leurs besoins vitaux).
- Le droit à la portabilité des données : c’est-à-dire le droit à récupérer les données transmises à un autre responsable de traitement, par exemple un autre médecin).
- Le droit de retirer son consentement à la collecte des données.
- Le droit de réclamation auprès de la CNIL.
Combien de temps puis-je conserver les données de mes patients ?
Sachez qu’une donnée personnelle ne peut en aucun cas être conservée pour un temps illimité. Le Conseil national de l’Ordre des médecins recommande ainsi de conserver un dossier médical pendant 20 ans à compter de la dernière consultation d’un patient.
Quelles règles de mise en sécurité des données dois-je respecter ?
Vous devez protéger les données de vos patients contre la perte, le vol, le viol et la destruction. À cet effet, vous devez prendre des mesures pour protéger leur confidentialité et leur intégrité. Par exemple, protéger l’accès des données informatiques par un mot de passe fort, utiliser un système de chiffrement si vous utilisez Internet. Si vous faites appel à un sous-traitant, comme un hébergeur de données, vérifiez impérativement le niveau de sécurité offert. Attention, la CNIL a déjà sanctionné plusieurs médecins pour manquement à la sécurité des données de leurs patients !
Les médecins doivent-ils tenir registre de traitement ?
La tenue d’un registre de traitement est obligatoire pour toutes les entreprises. les professionnels de santé n’échappent pas à la règle ! Vous devez y indiquer les catégories de données traitées, ce que vous en faites, quel est l’objectif de la collecte, combien de temps vous les conservez et de quelle façon elles sont sécurisées. Une bonne façon de remettre vos pratiques à plat et de vous interroger sur la collecte et la sécurisation des données de vos patients. Conservez bien votre registre de traitement : il vous permet de documenter votre conformité au RGPD en cas de contrôle de la CNIL.
En tant que médecin, vous êtes ainsi responsable des données personnelles de votre patientèle. Les informations collectées, leur conservation et la tenue de votre registre de traitement sont des points à bien maitriser pour garantir la vie privée de vos patients… mais aussi pour éviter toute sanction pénale. L’œil aguerri d’un professionnel ou une formation au RGPD peut vous aider à acquérir toutes les bonnes pratiques !