Article
Les données de santé, données sensibles, doivent être traitées avec la plus grande prudence et la CNIL ne laisse rien au hasard. Le 7 décembre 2020, deux médecins libéraux en ont fait les frais. Ils ont été respectivement condamnés à 3 000 et 6 000 euros d’amende pour non-respect de la sécurité des données médicales de leurs patients. En cause : une mauvaise configuration de la box internet et un paramétrage défectueux d’un logiciel d’imagerie, ainsi que des clichés non chiffrés. Résultats, la CNIL a constaté que des milliers d’images médicales étaient en libre accès sur Internet via des serveurs non sécurisés.
Comment être irréprochable en matière de stockage des données de santé lorsque l’on est un professionnel libéral ? « Avant toute chose, le professionnel de santé a l’obligation d’informer ses patients. Ils doivent savoir où sont stockées les données, y avoir accès à tout moment et être informés de la manière dont elles seront détruites et quand cela sera le cas ou encore ce qu’il en advient en cas de décès », explique Me Julie Jacob.
« Il y a donc un devoir d’information mais aussi de sécurisation de la base de données. Or, les médecins n’ont pas toujours conscience de leur qualité de responsable de traitement au sens de la CNIL », poursuit l’avocate. Et en cas de contrôle, le non-respect du RGPD est puni d’une peine d’amende correspondant à 2% du chiffre d’affaires, 4% si ce n’est pas la première fois.
Tenir des registres, engager un DPO, avoir un hébergeur agréé : le B.A. BA du respect du RGPD
Pour éviter d’en arriver là, la professionnelle recommande de « tenir un registre de traitements avec : un fichier à jour reprenant l’ensemble des données collectées et un fichier de ses sous-traitants, les personnes morales ou physiques à qui les données sont envoyées. Cela peut-être par exemple des mutuelles, laboratoires, ou encore des cabinets de radiologie ».
Julie Jacob insiste sur l’importance en tant que médecin d’être sensibilisés « sur leurs devoirs, notamment à une époque où les dossiers médicaux sont dématérialisés et la télémédecine est en plein essor ».
Parmi les erreurs les plus fréquentes rencontrées par l’avocate, une mauvaise communication de la politique de protection des données. « Il faut informer par le biais de flyers dans la salle d’attente, sur les dossiers patients, sur le site des médecins, sur les formulaires de collecte… Bref avoir une politique de protection des données accessible au patient aussi bien sur le site internet que dans le cabinet ».
Autre élément important, avoir un hébergeur agrée, conformément à l’article L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016, qui stipule que « les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés. Cette certification remplace l’agrément aujourd’hui délivré par le ministère de la Santé dans les conditions définies par le décret n°2006-6 du 4 janvier 2006 ».
Par ailleurs, les données doivent être détruites dans un délai raisonnable. Pour un cabinet médical, la conservation en base active ne doit pas dépasser 5 ans après la dernière consultation.
Lorsque l’on gère beaucoup de données dans son cabinet, Julie Jacob conseille « la désignation d’un délégué à la protection des données, DPO. Si on le fait seul, on tient les registres bien à jour, on ajoute les informations nécessaires sur tout support patient, en veillant à bien mettre à jour son site internet également. Il est aussi essentiel de regarder les contrats avec les sous-traitants pour vérifier qu’ils disposent bien des clauses de sécurisation essentielles », précise l’avocate.
Une prise de conscience de l'importance du rôle du médecin dans la protection des données
En cas de piratage, de la même manière que les établissements de santé, le professionnel libéral dispose d’un délai de 72h pour notifier cette violation à la CNIL. Il faut faire un constat d’huissier et ensuite porter plainte au pénal pour intrusion dans un système informatique. La CNIL peut également demander d’informer chaque patient de la situation.
« Il faut une vraie prise de conscience des médecins qui souvent utilisent des logiciels et n’ont pas la conscience de l’enjeu sur la vie privée, il n’y a pas que les sociétés commerciales qui sont concernées », rappelle Julie Jacob. « Il existe des solutions clé en main, simples, par le biais de logiciels mais il faut une personne au sein du cabinet, par exemple le directeur administratif et financier (DAF) ou de manière externalisée par le biais d’un DPO pour le prendre en main et avoir une gestion conforme et un outil de contrôle toujours à jour afin d’éviter des sanctions semblables à celles prononcées en décembre 2020 ».