RGPD pour les professionnels de santé libéraux
Depuis l’entrée en application du règlement général sur la protection des données, la CNIL reçoit de nombreuses demandes de la part des professionnels de santé libéraux pour comprendre ce qui change ou non. La CNIL propose donc de répondre aux questions les plus fréquemment posées, en attendant la parution prochaine d’un guide pratique en partenariat avec le CNOM.
Les dispositions du RGPD s’appliquent-elles uniquement à vos traitements informatiques ?
Les dispositions du RGPD s’appliquent à tous les traitements de données personnelles
(ex : nom, prénom, numéro de patient, etc.) que vous utilisez pour l’exercice de votre activité professionnelle, que ces traitements soient sous une forme informatique (ex : logiciel de gestion de votre cabinet médical, logiciel utilisé pour l’exploitation de votre pharmacie, de votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.) ou papier (ex : dossier patient papier).
Quelles informations sur les patients pouvez-vous collecter ?
Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.
A titre d’exemple, la collecte d’informations sur la vie familiale d’un patient n’est en principe pas appropriée.
Pouvez-vous transmettre les données de vos patients à tous les professionnels, organismes ou autorités qui vous les demandent ?
Vous devez limiter l’accès aux données de santé de vos patients : seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci (ex : équipe de soins d’un établissement de santé intervenant dans la prise en charge sanitaire du patient, secrétaire médicale, organismes d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, etc.).
Ces personnes n’accèdent qu’aux données nécessaires à l’exercice de leur mission (ex : le secrétaire médical accède aux données administratives permettant de gérer les prises de rendez-vous, mais n’accède pas à la totalité du dossier médical).
Par ailleurs, la loi peut autoriser certains tiers à avoir accès aux données de vos patients (ex : les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, etc.).
Combien de temps pouvez-vous conserver les données que vous collectez sur vos patients ?
Les données que vous collectez sur vos patients doivent être conservées pour une durée déterminée.
A titre d’exemple, les médecins libéraux conservent, conformément aux recommandations du Conseil national de l’Ordre des médecins, les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation.
Devez-vous informer les patients dont vous collectez et conservez les données de santé ?
Vous devez délivrer aux patients une information portant sur le traitement de données que vous effectuez pour leur prise en charge (soit dans votre logiciel de suivi, soit dans votre dossier papier). Cela peut être sous la forme d’une affiche, dans votre salle d’attente.
• Pour savoir quelle information donner aux patients, voir la fiche thématique « Traitement de données de santé : comment informer les personnes concernées ».
Devez-vous recueillir le consentement du patient pour collecter et conserver les données de santé que vous utilisez pour la mise en œuvre de votre activité ?
Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.
Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (ex : le code de la santé publique impose le recueil du consentement du patient pour la réalisation d’un examen des caractéristiques génétiques).
Etes-vous responsable de la mise en place de mesures de sécurité pour garantir le respect de la confidentialité des données de santé de vos patients ?
Vous devez respecter des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Pour ce faire vous devez mettre en place des mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données(ex : utilisation de la carte professionnel de santé, mot de passe personnel, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc.).
Pour vous aider à identifier les mesures de sécurité à mettre en place, vous pouvez consulter le Guide sécurité).
Si vous passez par un prestataire qui traite des données en votre nom et pour votre compte(ex : hébergement de données par un hébergeur de données de santé agréé ou certifié, etc.), celui-ci doit, en tant que sous-traitant, vous garantir un niveau de sécurité adapté au risque. Vous devez vérifier ce point et conclure un contrat avec votre prestataire.
Un exemple de clauses contractuelles de sous-traitance est disponible dans le Guide du sous-traitant.
Devez-vous toujours déclarer les traitements de données personnelles auprès de la CNIL ?
Avec l’entrée en application du RGPD, vous n’avez plus de formalité à accomplir auprès de la CNIL pour les traitements de données personnelles nécessaires à la gestion de votre activité (cabinet médical, d’infirmiers, d’orthophonistes, laboratoire de biologie médicale, officine pharmaceutique, opticien, etc.).
En revanche, vous devez être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD en traçant toutes les démarches entreprises : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc.
Etes-vous obligé de désigner un délégué à la protection des données (DPO) ?
Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de désigner un DPO. Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.).
Pour en savoir plus, vous pouvez consulter la fiche thématique « Devenir délégué à la protection des données ».
Devez-vous tenir un registre des activités de traitement ?
La constitution et le maintien d’un registre est une obligation prévue par le RGPD. Elle s’applique à toutes les structures qui traitent des données personnelles de façon régulière dans le cadre de leurs activités.
Dans la mesure où vous mettez en œuvre des traitements pour l’exercice de votre activité professionnelle (ex : pour la gestion de votre cabinet, pour l’exploitation de votre pharmacie, pour votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.), vous devez tenir un registre des activités de traitement et le renseigner.
La tenue de ce registre est l’occasion de se poser les bonnes questions et de limiter les risques au regard des principes du RGPD.
- Pour vous aider dans l’élaboration de votre registre, vous pouvez consulter la fiche thématique ” Le registre des activités de traitement“.
- Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base (format PDF et Word), destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures.
Une fois renseigné, devez-vous transmettre votre registre des activités de traitement à la CNIL ?
Votre registre doit être conservé en interne : il vous permet de documenter votre conformité au RGPD.
Ainsi, la CNIL n’est pas destinataire des registres des activités de traitement des professionnels de santé. Néanmoins, si vous faites l’objet d’un contrôle de la CNIL, vous devez être en mesure de le mettre à disposition des agents de la CNIL effectuant le contrôle.
Devez-vous mener une analyse d’impact pour tous les traitements que vous mettez en place dans le cadre de votre activité (ex : gestion du suivi du patient, fournisseurs, salariés, etc.) ?
Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de mener une analyse d’impact pour les traitements que vous menez dans le cadre de votre activité.
Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez mener une analyse d’impact pour les traitements concernés.
Pour tout savoir sur les conditions de réalisation du PIA, vous pouvez consulter les guides PIA.
Le RGPD s’applique aux traitements informatiques et aussi aux dossiers papier
- La transmission des données de santé de vos patients doit être limitée aux seules
personnes qui sont autorisées à y accéder au regard de leurs missions - Les données de vos patients ne peuvent être gardées indéfiniment
- Les patients doivent être informés du traitement de leurs données mais vous n’avez
pas à recueillir leur consentement - Il n’y a plus de déclaration à faire auprès de la CNIL mais vous devez tenir un registre des traitements
A noter : ces principes ne se limitent pas aux traitements de données de santé dans le cadre de la prise en charge de vos patients mais s’appliquent à l’ensemble de vos traitements (ex : gestion des rémunérations de vos collaborateurs, gestion des fournisseurs, etc.).