Dans le cadre de leur pratique, les professionnels de santé libéraux sont amenés à collecter les données de leurs patients. Or, toutes les données personnelles sont normalement soumises aux dispositions du RGPD. En tant que praticien libéral, êtes-vous concerné ? Si oui, comment traiter les données que vous collectez ? Suivez le guide pour y voir plus clair !
Suis-je concerné par le RGPD en tant que professionnel de santé libéral ?
Oui, mille fois oui ! Collecter les données personnelles de vos patients fait de vous un responsable de traitement. Le secteur de la santé touche par ailleurs à des données sensibles : numéro de sécurité sociale, dossier médical… autant d’informations que vos patients n’ont pas envie de voir disséminées dans la nature ou piratées ! En tant que professionnel de santé libéral, vous êtes donc directement concerné par les dispositions du RGPD, que vous exerciez en cabinet individuel, groupé ou encore en maisons de santé. De fait, vous devez mettre en œuvre toutes les mesures techniques et organisationnelles afin de protéger ces données tout au long de leur vie. Vous devez également être en mesure de démontrer leur conformité avec le RGPD à tout instant.
RGPD : Quelles données patients sont concernées ?
C’est bien simple : toutes les données personnelles de votre patientèle sont concernées par les dispositions du RGPD, et ce, qu’elles soient collectées informatiquement ou pas. Les logiciels de gestion que vous utilisez dans votre cabinet, tout comme les dossiers papier, doivent donc faire l’objet d’une mise en conformité. Vous devez appliquer au traitement des données de vos patients la même vigilance que pour le secret médical.
Quelles sont les sanctions possibles ?
La sécurisation des données personnelles n’est pas à prendre à la légère. En 2020, la CNIL a prononcé des sanctions à l’égard de médecins qui ne respectaient pas la mise en conformité avec le RGPD : l’un a écopé de 3000€ d’amende et l’autre de 6000€ pour insuffisance de protection des données et absence de notification à la CNIL de violation des données.
RGPD et professionnels de santé libéraux, comment me mettre en conformité avec le RGPD ?
Voici une synthèse des bonnes pratiques à appliquer au sein de votre cabinet en matière de traitement des données personnelles :
1. Collecter uniquement les données utiles
Afin d’obéir au principe de minimisation des données, seules celles qui sont pertinentes pour la gestion médicale et administrative de votre patientèle doivent être collectées. Elles sont les suivantes :
- l’identité et les coordonnées du patient
- l’identifiant national de santé (INS)
- le numéro de sécurité sociale
- données relatives à la situation familiale
- données relatives à la situation professionnelle
- données relatives à la santé
2. Informer mes patients
Tout traitement de données doit être transparent. Vous devez informer vos patients de l’utilisation qui est faite de leurs données, par exemple par voie d’affichage dans votre cabinet. Vous devez également les informer de la manière dont ils peuvent exercer leurs droits (opposition, accès, rectification et limitation du traitement).
3. Mettre en place un registre de traitement
Un registre des activités de traitement permet de recenser les traitements appliqués aux données personnelles et disposer d’une vue d’ensemble. La tenue d’un registre de traitement pour les cabinets médicaux n’est pas très contraignante. Vous devez ainsi y faire figurer :
- les dossiers médicaux de vos patients
- les traitements réguliers d’informations sensibles (par exemple, les rendez-vous médicaux)
- les traitements susceptibles de comporter un risque pour les droits et les libertés des personnes (par exemple, si vous avez installé un système de vidéosurveillance dans la salle d’attente de votre cabinet),
- chaque sous-traitant à qui vous confiez des données personnelles, avec son rôle détaillé
- le signalement de violation des données
4. Sécuriser les données des patients
L’accès aux données personnelles de vos patients doit être limité aux seules personnes autorisées. Les données doivent être chiffrées à l’aide d’un logiciel dédié et conservées sur les serveurs d’un hébergeur de données de santé agréé. Le Code de la santé publique autorise en effet les professionnels de santé « à déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agréées à cet effet ».
5. Conserver les données des patients
Les données de vos patients ne doivent pas être conservées plus longtemps que les durées préconisées par le Code de la santé publique, à savoir :
- Pour les patients majeurs : 20 ans à compter de la date de la dernière consultation.
- Pour les patients mineurs, avec expiration de ce délai avant leur 28ème anniversaire, la conservation des informations doit être prolongée jusqu’à cette date.
- Patient décédé : si le patient décède moins de 10 ans après sa dernière consultation, les informations le concernant doivent être conservées pendant 10 ans à compter de la date du décès.
- En cas de contentieux avec un patient : en cas d’action tendant à mettre en cause votre responsabilité, ces délais de conservation sont suspendus.
En outre, les données concernant les prises de rendez-vous peuvent être supprimées dès qu’elles ne sont plus nécessaires. Vous devez par ailleurs conserver les doubles des feuilles de soins pendant 3 mois.
6. Transmettre les données médicales
Transmettre les données de vos patients à un autre médecin via un autre canal que les messageries cryptées est à proscrire. Oubliez donc votre adresse e-mail personnelle et les messageries type gmail, Yahoo, etc. Évidemment, ne discutez jamais du dossier d’un patient avec un confrère ou une consœur via des plateformes de messagerie en ligne, comme Facebook ou WhatsApp !
Pour aller plus loin, la CNIL met à votre disposition un référentiel relatif aux traitements de données à caractère personnel, destiné à la gestion des cabinets médicaux et paramédicaux. En cas de doute et pour être certain de protéger au mieux les données de vos patients, je peux vous accompagner dans votre mise en conformité RGPD !
