Technologie

Protection des données patients : comment se conformer au RGPD (2e partie)

Le règlement général européen sur la protection des données (RGPD) entraîne de nouvelles contraintes pour les professionnels de santé libéraux. Il faut se mettre en conformité avec cette réglementation le plus rapidement possible.

Depuis le 25 mai 2018, les établissements et les professionnels de santé doivent appliquer le nouveau règlement européen sur la protection des données personnelles. Toutefois, cette date du 25 mai 2018 n’est pas une date couperet dans la mesure où la CNIL ne sanctionnera pas immédiatement les PLS qui ne seront pas en conformité avec ce règlement : les sanctions ne seront mises en œuvre qu’après une mise en demeure ou un avertissement adressé au professionnel et resté sans effet.
Néanmoins, il est indispensable de commencer des démarches de mise en conformité afin de pouvoir au moins prouver, en cas de contrôle, que ces démarches ont bien été entamées.

Les actions à mener

Pour se conformer aux exigences du RGPD, il faut d’abord recenser les traitements des données personnelles au sein de l’établissement de santé ou du cabinet afin d’identifier les actions à entreprendre. Dans le même temps, il faut ouvrir un registre des traitements des données qui servira à démontrer la conformité de l’établissement ou du cabinet au règlement (voir ci-dessous).
Ensuite, il faut fixer une durée de conservation des données (il ne faut pas conserver les données indéfiniment). Dans tous les cas, si des données de santé doivent être obtenues ou récupérées auprès de patients ou de clients, il faut leur demander leur consentement et prévoir même un mécanisme de sollicitation (par exemple pour un devis de prothèse, un devis dentaire, etc.).
D’autre part, il faut veiller à la sécurité des données. Notamment, seules les personnes ayant besoin d’y accéder doivent pouvoir le faire. Il est conseillé en outre de mettre en place un système d’authentification par login et mot de passe pour accéder aux données, et, bien entendu, de faire des sauvegardes régulières.
A noter : le professionnel de santé peut par exemple utiliser sa carte de Professionnel de santé (CPS) pour empêcher les risques d’accès non autorisés aux données. Pour ceux qui utilisent un fichier patients sur papier, celui-ci doit être mis sous clef.
Attention aussi si le traitement des données est confié à un sous-traitant, comme cela peut être le cas avec des gestionnaires à distance de fichiers patients ou des hébergeurs de données. A compter du 25 mai 2018, le contrat passé avec le prestataire sous-traitant devra comprendre des clauses obligatoires prévues par le règlement européen. Tout professionnel confiant la gestion de données personnelles à un sous-traitant sera en effet coresponsable, avec ce dernier, des infractions au RGPD.
A noter : en cas de violation ou de fuite de données à caractère personnel, une notification devra être faite dans les 72 heures à la CNIL et dans les plus brefs délais aux patients ou clients concernés.

Le document de conformité

C’est l’une des principales obligations à remplir : il faut démontrer la conformité de l’établissement ou du cabinet au RGPD en décrivant dans un document spécifique :

  • quels sont les traitements de données personnelles effectués. C’est l’objet, principalement, du registre des traitements, qui devra être tenu régulièrement à jour. Il faut décrire les différents traitements de données personnelles, distinguer les catégories de données personnelles s’il y en a (et faire la distinction, pour les PLS, avec les données de santé), décrire les objectifs poursuivis par ces traitements et identifier les personnes ou acteurs qui traitent ces données (prestataires extérieurs compris) ;
    A noter : pour ce registre, on peut utiliser l’outil de la CNIL téléchargeable sur le site www.cnil.fr
  • comment les personnes sont informées. Il faut indiquer comment les clients et patients sont informés du traitement des données qui les concernent, les modèles de recueil de leur consentement qui sont utilisés, et les procédures mises en place pour l’exercice de leurs droits ;
  • quels sont les traitements de données sous-traités. Il faut établir la liste des hébergeurs de données auxquels on a recours et s’assurer des clauses du contrat passé avec eux, notamment en termes de partage de responsabilité et de conduite à tenir en cas de fuite ou de violation des données.

D’autre part, les Ordres professionnels communiquent sur le RGPD depuis plusieurs semaines. Les professionnels de santé libéraux ont donc intérêt à se rapprocher de leur structure ordinale, et de leur syndicat le cas échéant.

Articles pouvant vous intéresser