Article
1. La protection des données personnelles fait peau neuve !
Le 25 mai 2018 est une date importante qui doit sûrement vous rappeler quelque chose. C’est celle de la mise en vigueur du Règlement Général de la Protection des Données (RGPD). Cela fait donc déjà bientôt trois ans que ce texte est sorti mais il est encore peu compris et souvent mal exécuté Pourtant, comme toute entreprise, en tant que médecin libéral, vous êtes soumis au RGPD. En effet, vous traitez et collectez inévitablement des informations au sein de votre cabinet médical ou structure de santé. Il s’agit même de données dites « sensibles », car ce sont des données à caractère personnel relatives à l’état de santé des personnes. Ces données peuvent être récupérées sur votre logiciel de gestion médical mais aussi par le biais de vos dossiers médicaux papiers. Il s’agit donc aussi bien des données dématérialisées que des données manuscrites ou imprimées.
Les données personnelles sont définies par la CNIL (Commission Nationale de l’Informatique et des Libertés) comme étant des informations se rapportant à des personnes physiques identifiables grâce à leur nom et prénom ou à l’aide d’un numéro d’identifiant comme le numéro de sécurité sociale ou de téléphone ou bien encore, de données biométriques. Ainsi, toutes ces données doivent faire l’objet de mesures de protection par vos soins.
2. A chaque traitement de données personnelles, sa finalité !
En tant que praticien, vous avez l’habitude de prescrire des traitements à votre patientèle afin que celle-ci puisse guérir d’une maladie ou éviter une dégradation de son état de santé. Vous avez donc toujours un objectif et une finalité en tête. Dans le même esprit, le traitement des données personnelles correspond à toutes les opérations portant sur les données personnelles telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication et toute autre forme de mise à disposition. Ce traitement a donc toujours une ou plusieurs finalités prédéterminées.
3. Le rôle et les intérêts du RGPD pour votre exercice médical
Le RGPD a été créé afin de répondre aux évolutions importantes des technologies et des usages du numérique de ces dernières années. En France, ce règlement s’inscrit dans la continuité de la loi informatique et liberté du 6 Janvier 1978 qui régit la liberté de traitement des données personnelles. Le RGPD s’applique donc à toute organisation européenne, grande ou petite, publique ou privée, traitant de données personnelles.
Avant l’arrivée du RGPD, le niveau de protection des données des personnes et notamment des patients n’était pas le même d’un cabinet à l’autre. La protection dépendait plus de l’attachement et la sensibilité des professionnels de santé à prendre ou pas des mesures de sécurité particulières. Aujourd’hui, il n’y a plus le choix, sous peine de sanctions de la CNIL. Vous devez être en mesure de justifier des mesures de protection prises au sein de votre structure.1
Les données de santé de vos patients sont très convoitées car elles ont beaucoup de valeur et ne pas les protéger c’est les « donner » à des personnes malveillantes. Les cyberattaques se multiplient et vous expose à un risque financier très élevé. Les sanctions pécuniaires pour non-respect peuvent s’élever jusqu’à 20 millions d’euros. Un coût qui peut être encore plus important en cas de cyberattaque ou de plaintes. La vigilance est donc de mise ! N’hésitez pas à vous faire accompagner pour vous mettre en conformité.
4. Quelques gestes barrières pour protéger les données de ses patients
Le RGPD n’est pas inné et il y a de nombreuses attitudes à risques facile à commettre. Pour faire simple, il faut toujours penser à la pertinence des informations collectées de vos patients afin qu’elles soient limitées uniquement à leur prise en charge médicale. Le partage de ces données de santé doit également être limité uniquement aux professionnels autorisés. Cela signifie donc par exemple que votre collègue secrétaire médicale ne pourra accéder qu’aux informations de la partie administrative du dossier patient.
Vous avez également un devoir d’information auprès de votre patientèle sur la collecte et le traitement de leurs données.2 Ainsi, vos patients doivent être informés des données que vous utilisez et être en mesure de comprendre leur utilité. Bien évidemment, vous n’êtes pas obligé de mentionner toutes ces informations à chaque consultation. En revanche, vous pouvez mettre à disposition une affiche ostensible en salle d’attente ou à l’entrée de votre cabinet par exemple. Pensez aussi à sécuriser l’utilisation de votre carte CPS, celle-ci est strictement personnelle et ne peut être utilisée par un autre professionnel que vous. Au sein de votre cabinet, il est vivement recommandé que l’usage de votre ordinateur soit uniquement à des fins professionnelles. Pensez aussi à utiliser un mot de passe à forte authentification pour tous vos logiciels.
En définitive, en tant que médecin libéral, vous serez toujours le responsable de la mise en place des mesures de sécurité visant à garantir la confidentialité et l’intégrité des données de santé de vos patients. En cas de contrôle de la CNIL, vous devrez être en mesure d’apporter la preuve de la mise en conformité de votre cabinet ou de votre maison de santé.
Pour aller plus loin, découvrez vite le Guide de la cybersécurité pour les médecins libéraux.