Le 25 mai 2018, le règlement général sur la protection des données (RGPD) du 27 avril 2016 est entré en application en France. De nouvelles obligations vont être demandées aux responsables des traitements de données dans le but de mieux protéger la vie privée des individus. Le Conseil national de l’ordre des médecins et la CNIL proposent un « guide pratique » pour les médecins. Ils rappellent également que « la date du 25 mai 2018 ne doit pas être considérée comme un couperet. L’essentiel pour les médecins, et les professionnels de santé en général, est de se placer dans une démarche active de garantie de la protection des données personnelles et de construire un plan d’actions pour atteindre le plus rapidement possible la conformité », ont-ils précisé. Voici une synthèse de ce qu’il faut retenir et des modèles de documents utiles (colonne de droite) pour vous aider dans l’application de ce nouveau règlement.

Les médecins libéraux sont concernés !

Le RGPD a vocation à s’appliquer aux traitements de données à caractère personnel, qu’ils soient automatisés ou non, informatisés ou sur papier.
En effet, les traitements de données sont les opérations du type collecte, enregistrement, conservation, modification, consultation, utilisation, transmission…
Les données à caractère personnel sont les informations qui concernent une personne physique et qui permettent soit de l’identifier, soit qu’elle soit identifiable (identité, numéro de sécurité sociale, adresse…).
Vous êtes donc concernés parce que :

• Tous vos dossiers médicaux sont directement ou indirectement nominatifs (c’est-à-dire qu’il y a des éléments permettant de retrouver votre patient) ;
• Vous collectez des informations personnelles, les conservez, les modifiez, les utilisez…

Comment appliquer le RGPD dans votre cabinet ?

Informer les patients

Le médecin étant déjà soumis à une obligation de secret doit simplement indiquer au patient via un affichage en salle d’attente qu’il collecte des informations privées dans le but de constituer, tenir et conserver un dossier médical. Cet affichage précise qu’il peut modifier, récupérer ou effacer ses données. Le consentement du patient n’apparaît pas nécessaire pour la collecte des données médicales le concernant.

Conserver les données de vos patients

A partir du moment où vous conservez des données, il est impératif de les sécuriser. Comment?

• Verrouillez votre session d’ordinateur à chaque fois que vous vous en éloignez que ce soit pour quelques minutes ou plusieurs heures ;
• Conservez les mots de passe confidentiels, ne les écrivez pas dans un carnet présent dans le cabinet ou ne les collez pas sous le clavier, et changez les au moins deux fois par an ;
• Un bon mot de passe fait au moins 8 caractères avec des chiffres, des majuscules et des caractères spéciaux (@#, ;:/ ?)
• Si vous utilisez votre téléphone portable pour stocker des informations ou échanger des informations sur vos patients, ces téléphones doivent également être cryptés, avoir des mots de passe de verrouillage et dans l’idéal pouvoir s’effacer à distance en cas de perte ou vol ;
• Les dossiers papiers doivent être rangés dans une armoire fermée à clé ;
  • Seuls les assistants médicaux peuvent avoir accès aux informations relatives à vos patients : vous devez leur faire signer un engagement de confidentialité.

Chaque fois que vous changez de logiciel, récupérez et archivez les données, assurez-vous que votre ancien prestataire efface bien les données.

NB : Les dossiers médicaux, papiers ou informatiques, doivent être conservés 20 ans après la dernière consultation. Même si vos patients demandent à les effacer ou à les récupérer en cas de changement de médecin, vous devez conserver une copie de leurs données pendant 20 ans, puis les supprimer à cette échéance.

RGPD : Mettre en place un registre de traitement des données

Pour prouver que vous respectez ces règles, vous devez :

• Créer un registre de traitement des données. La CNIL propose un modèle. Ce document décrit la nature des données collectées, l’utilisation de celles-ci, le processus de stockage, de modification, de suppression et de sécurisation.
• Créer une PIA (Analyse d’impact relative à la protection des données) que vous pouvez réaliser soit avec le logiciel de la CNIL, soit gratuitement sur HealthDPO qui met également à disposition un module de e-learning pour vous accompagner dans sa conception.
• Contacter vos prestataires informatiques en leur demandant la preuve qu’ils répondent bien aux exigences du RGPD (lettre type). Conservez bien vos échanges, courriers et mails.
• Prévoir, pour vos patients, les modalités d’accès à leurs données, les modalités de rectification et la portabilité de celles-ci vers un autre médecin en cas de changement.
• Faire signer un engagement de confidentialité à vos salariés (secrétaire médicale par exemple).

>> Registre de traitement des données : comment faire ?

Vous pouvez renseigner vous-même le registre de traitement des données ou bien faire appel à un prestataire externe qualifié, appelé data protection officer (DPO).

Transmettre des données à d’autres médecins

Vous ne pouvez pas utiliser votre boite mail personnelle pour recevoir ou transférer des informations relatives à vos patients. Les envois d’informations médicales doivent se faire avec une messagerie cryptée.

Pour aller plus loin

Texte officiel : Règlement européen 2016/679/UE du 27 avril 2016 (règlement général sur la protection des données)

Site de référence : Site de la CNIL (commission nationale de l’information et des libertés)

Guide pour le médecin : Guide pratique sur la protection des données personnelles – Ordre / CNIL – juin 2018