Technologie

Protection des données patients : de nouvelles obligations pour les PLS (1ère partie)

Le règlement général sur la protection des données (RGPD) est une nouvelle réglementation qui est appliquée, en France et en Europe, depuis le 25 mai 2018. Elle vise à mieux protéger les droits des particuliers vis-à-vis de leurs données personnelles.

Droit à la protection des données à caractère personnel, droit d’accès à ces données, droit de rectification et de suppression, droit à la portabilité, droit à l’oubli… : le RGPD accorde de nombreuses prérogatives nouvelles aux particuliers en matière de données personnelles, mais il impose également des obligations aux organismes publics ou privés, aux entreprises et aux professionnels de santé libéraux qui traitent des données personnelles de leurs clients ou patients.
Sont concernés non seulement les traitements de données personnelles informatisés en tout ou partie, mais aussi les traitements non automatisés de données contenues sur un fichier physique.
A noter : en contrepartie du respect du RGPD, la déclaration préalable, à la Commission informatique et libertés (CNIL), des fichiers de données clients, va disparaître.

De quelles données s’agit-il ?

Pour les clients et patients des professionnels de santé, on distingue les données personnelles (nom, adresse, numéro de téléphone, adresse email…) et les données personnelles sensibles (dossier médical, données sur l’état de santé, orientation sexuelle…). Dès lors qu’un professionnel de santé – ce qui est toujours le cas – collecte, enregistre, conserve, modifie, utilise, transmet ou diffuse de telles données, il effectue un traitement qui devra répondre aux nouvelles exigences du RGPD.

Quelles obligations pour les PLS ?

Les trois grands types d’obligations à remplir par les professionnels de santé à compter du 25 mai 2018 sont :

  • un renforcement de la sécurisation des traitements des données personnelles ;
  • une plus grande transparence dans le traitement des données, avec notamment la tenue, obligatoire, d’un registre des activités de traitement, qui doit être mis à la disposition des autorités de contrôle et mis à jour en permanence ;
  • une responsabilisation accrue des professionnels, même pour ceux qui confient l’exploitation des traitements de données personnelles à un tiers.

A noter : les établissements publics de santé doivent désigner un délégué à la protection des données au sein de l’établissement. Les professionnels de santé libéraux n’y sont pas tenus, sauf lorsqu’ils traitent des données sensibles à grande échelle.

Comment se faire aider ?

Pour aider les professionnels dans la mise en conformité des traitements de données personnelles au RGPD, la Commission informatique et libertés (CNIL) a mis en ligne sur son site internet un guide « Comment se préparer en six étapes » : www.cnil.fr, rubrique « Je suis un professionnel ». On peut trouver également sur ce site de nombreuses informations pratiques sur le sujet, ainsi qu’une foire aux questions.
D’autre part, les Ordres professionnels communiquent sur le RGPD depuis plusieurs semaines. Les professionnels de santé libéraux ont donc intérêt à se rapprocher de leur structure ordinale, et de leur syndicat le cas échéant.

Articles pouvant vous intéresser