Comment appliquer le RGPD quand on est professionnel de santé ?

En tant que professionnel de santé vous êtes amené à recevoir ou à émettre des informations sur vos patients pour assurer leur suivi (gestion en ligne des rendez-vous ou télémédecine).

De manière globale vous collectez des informations pour gérer votre cabinet. Nous allons voir comment effectuer votre mise en conformité avec le RGPD (Réglement Général sur la Protection des Données) pour votre cabinet médical.

Le RGPD au quotidien

Qu’est-ce qu’une donnée à caractère personnel ?

Le RGPD définit comme une donnée à caractère personnel toute information relative à une personne physique identifiée ou pouvant être identifiée, directement ou indirectement. La définition de donnée à caractère personnel ne vise donc uniquement les personnes physiques et ne s’applique pas aux personnes morales. Elle est dite « sensible » au sens RGPD.

Exemples de données qui permettent d’identifier une personne :
Directement : le nom, le prénom, une adresse mail nominative
Indirectement : le numéro de téléphone, le numéro de sécurité sociale, les données biométriques, l’image de la rétine

Qu’est-ce qu’une donnée de santé ?

La donnée personnelle de santé est une donnée relative à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.
Exemples de données de santé : dossier médical du patient, examen médical, maladie ou traitement médicamenteux d’un patient, listing de rendez-vous

Quelle est votre responsabilité ?

En tant que professionnel de santé vous êtes responsable du traitement des données personnelles de santé de vos patients.

Vous devez définir :

  • La finalité d’utilisation des données : la finalité est l’objectif principal d’utilisation des données personnelles (elle doit être déterminée, explicite et légitime). Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser les données dans le futur.
    Ex : Gestion des rendez-vous, gestion des dossier médicaux…
  • Les moyens de traitement : mesures mises en œuvre pour atteindre la finalité.
    Ex : logiciel utilisé.
  • La durée de conservation des données.
    Ex : Le délai de conservation prévus pour les dossiers médicaux des établissements de santé est de 20 ans à compter de la date de la dernière consultation du patient. Les données relatives à la prise de rendez-vous peuvent être supprimées lorsqu’elles ne sont plus nécessaires et sa durée de conservation doit être pensée en fonction de votre activité.

Vous devrez établir un registre des traitements qui devra contenir :

  • les parties prenantes (représentant, sous-traitants…) qui interviennent dans le traitement des données,
  • les catégories de données traitées,
  • à quoi servent ces données, qui y accède et à qui elles sont communiquées,
  • combien de temps vous les conservez,
  • comment elles sont sécurisées.

La déclaration auprès de la CNIL n’est plus obligatoire depuis le 25 mai 2018.

Téléchargez le modèle de registre simplifié de la CNIL : Registre de traitement simplifié
Pour plus d’informations : Cartographier vos traitements de données personnelles

Contrat avec les sous-traitants

Un sous-traitant (prestataire informatique, prestataire qui implique de traiter les données pour le compte du responsable de traitement) doit présenter des garanties quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.

N’oubliez pas de demander à votre prestataire :

  • sa politique en matière de protection des données à caractère personnelle
  • d’élaborer un contrat mentionnant les obligations respectives des parties
Bonnes pratiques : passez à l’action en 4 étapes
1 Je tiens un registre de traitement de données.
2 Je fais le tri dans mes données : je supprime les données de mes patients ayant dépassées la durée de conservation préconisée.
3 Je respecte les droits des personnes : j’informe mes patients et m’assure du respect de leurs droits : droits d’accès, rectification, effacement, limitation, opposition. (Téléchargez l’affiche pour votre cabinet médical – URPS IdF : Affiche PDF)
4 Je sécurise mes données et limite les information collectées au nécessaire.

Hébergement des données de santé à caractère personnel

Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La réglementation définit les modalités et les conditions attendues.

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. »

L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016

Chez Belenos, les données des patients sont hébergées chez un hébergeur agréé données de santé (OVHcloud Healthcare). Leur certification ISO 27001 et HDS est conforme aux obligations réglementaires.

Sources :
CNIL : Le RGPD appliqué au secteur de la santé
CNOM : RGPD – Comment les médecins doivent appliquer au quotidien le RGPD
CNIL : Guide pratique sur la protection des données personnelles
Ministère des solidarités et de la santé : Mémento RGPD