RGPD et Professionnels de santé libéraux

Mai 2018 : La CNIL publie ce qu'il faut savoir sur l'application du Règlement Général sur la Protection des Données (RGPD) par les professionnels de santé libéraux

En tant que professionnel de santé libéral, vous êtes amené à recevoir ou à émettre des informations sur vos patients sous forme de dossier « patient » (papier ou informatique), ou dans le cadre de l’utilisation d’une plateforme en ligne de gestion des rendez-vous.

De même, vous collectez certainement des informations pour la gestion de votre cabinet (ex: gestion des prestataires/fournisseurs, des secrétaires, agents de ménage, personnes que vous employez...).

Toutes les informations que vous détenez sont considérées comme des données personnelles (par exemples : les données d’identification comme les nom, prénom, adresse, numéro de téléphone, numéro de sécurité sociale de vos patients, assurance maladie obligatoire, assurance maladie complémentaire, mais aussi toutes informations relatives à la santé de votre patient (diagnostic, maladies, prescriptions, traitements médicamenteux, soins, etc.), les différents professionnels qui interviennent dans sa prise en charge.

Pour toutes ces situations lors desquelles vous utilisez ces données personnelles, vous êtes concerné par le RGPD.

Depuis l’entrée en application du Règlement général sur la protection des données, et pour répondre aux nombreuses questions que se posent les professionnels de santé libéraux, la CNIL a mis en ligne sur son site une fiche thématique dont vous trouverez le lien ci-dessous :

« RGPD et professionnels de santé libéraux ce que vous devez savoir ».

Les données collectées et reportées dans les dossiers "patients" doivent être ...

Les données collectées et reportées dans les dossiers "patients" doivent être adéquates, pertinentes et limitées à ce qui est nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

Dans ce cadre la CNIL estime légitime de collecter certaines catégories de données personnelles notamment les données d'identification : nom, prénom, date de naissance, adresse, numéro de téléphone, le numéro de sécurité sociale, uniquement pour l'édition des feuilles de soins et la télétransmission aux caisses d'assurance maladie, selon les contextes : la situation familiale, la vie professionnelle, la santé : historique médical, informations relatives aux habitudes de vie : si collectées avac l'accord du patient et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins.

En revanche, toute information sans lien avec l’objet de la consultation du patient ou non indispensable au diagnostic ou à la délivrance de soins doit être exclue (ex : ne pas inscrire des informations sur la vie privée du patient qui ne sont pas médicalement nécessaires (religion du patient, orientation sexuelle…).

Information des patients de l’existence de leurs dossiers et de leurs droits à cet égard :

Cette information peut se faire par voie d’affichage, dans la salle d’attente.

Le CNOM, dans son guide pratique sur la protection des données personnelles, précise que cette information peut se faire également par la remise d’un document spécifique (ex : dépliant remis au patient ou mis à disposition dans la salle d’attente). Un exemple de notice d’information est annexé au guide.

L’information doit comporter impérativement les éléments suivants :

votre nom et vos coordonnées ;
les finalités et la base juridique du traitement, y compris les finalités ultérieures ;
les destinataires des données ;
les droits de la personne : accès, rectification, à certaines conditions effacement, limitation, opposition, introduction d’une réclamation auprès de la CNIL ;
caractère obligatoire des données fournies et des conséquences éventuelles d’un défaut de réponse ; ……

Vos patients disposent de droits. Ils peuvent :

accéder aux données les concernant ;
rectifier ces données en cas d’erreur ;
s’opposer au traitement pour des raisons tenant à leur situation particulière ;
effacer les données, dans certaines situations particulières (dossier patient conservé trop longtemps, données non adéquates, par exemple).

Chaque demande portant sur ces droits doit être examinée dans un délai raisonnable. Dans le cas d’une demande d’accès au dossier « patient », le délai est obligatoirement de 8 jours, porté à 2 mois lorsque les informations datent de plus de 5 ans.

Prendre toutes les mesures nécessaires pour sécuriser et protéger les données personnelles que vous traitez

Le pédicure-podologueest responsable de la mise en place de mesures de sécurité pour garantir le respect de la confidentialité des données de santé de ses patients. Aussi, il doit respecter des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites et contre, la perte, la destruction ou les dégâts d’origine accidentelle. Pour ce faire, il doit mettre en place des mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données (ex : utilisation de la CPS, mot de passe personnel, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc….).

Si le pédicure-podologue passe par un prestataire qui traite des données en son nom et pour son compte (ex : hébergement de données par un hébergeur de données de santé agrée ou certifié…), celui-ci doit, en tant que sous-traitant, garantir le pédicure-podologue d’un niveau de sécurité adapté au risque. Le professionnel de santé doit vérifier ce point et conclure un contrat avec son prestataire.

Conservation des données collectées sur les patients

Les données collectées sur les patients doivent être conservées pour une durée déterminée.

En l’absence de dispositions spécifiques portant sur la durée de conservation des données des professionnels exerçant en libéral, le Conseil national de l'Ordre des médecins, à titre d’exemple, préconise de s’aligner sur les délais de conservation prévus pour les dossiers médicaux des établissements de santé (article R.1112-7 du CSP) : 20 ans à compter de la date de la dernière consultation.

Devez-vous accomplir une formalité particulière auprès de la CNIL ?

Depuis le 25 mai 2018, vous ne devez plus réaliser, auprès de la CNIL, d’engagement de conformité à la norme simplifié 50 (NS-050), comme le prévoyait auparavant la loi pour la gestion des cabinets médicaux.

En revanche, vous devez tenir un registre des activités de traitement recensant tous les traitements que vous mettez en œuvre dans le cadre de votre activité, notamment : celui que vous utilisez pour le suivi des patients (les dossiers « patients ») mais aussi ceux résultant de l’utilisation de la messagerie électronique sécurisée, etc.

Le registre des activités de traitement doit inclure vos nom et coordonnées ainsi que les caractéristiques essentielles du traitement (finalité du traitement, personnes concernées, destinataires, transferts de données, etc.).

Pour cela, la CNIL a créé un outil téléchargeable de son site.

Une fois renseigné, le registre des activités de traitement doit être conservé en interne. Ainsi, la CNIL n’est pas destinataire des registresdes activités de traitement des professionnels de santé. Néanmoins, si le professionnel de santé fait l’objet d’un contrôle de la CNIL, il doit être en mesure de le mettre à disposition des agents de la CNIL effectuant le contrôle.

Devez-vous désigner un délégué à la protection des données (DPO) ?

Dès lors que le pédicure-podologue exerce à titre individuel, il n’est pas soumis à l’obligation de désigner un DPO.

Néanmoins, si en raison de son activité, il estime qu’il traite des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), il doit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.).

Si le pédicure-podologue exerce au sein d’un établissement de santé, un EHPAD, il peut se rapprocher de la direction, ou de toute personne susceptible de gérer la question des données personnelles.

Si la structure a désigné un délégué à la protection des données (DPO), ce dernier est l’interlocuteur privilégié pour renseigner sur l’état de conformité de la structure au RGPD ou répondre à toutes les questions.

Pouvez-vous être sanctionné ?

Si le pédicure-podologue ne respecte pas ses obligations, il peut faire faire l’objet d’une sanction administrative de la CNIL, voire d’une sanction pénale (*)

Il est donc impératif de se mettre en conformité avec la réglementation et de documenter cette conformité (registre des activités de traitement, traçabilité des violations de données, engagements de confidentialité du personnel, etc.). Si la CNIL constate un défaut de conformité et met en demeure le professionnel de santé de se conformer, celui-ci a la possibilité d’adopter les mesures nécessaires pour éviter une sanction.

La CNIL a indiqué que les contrôles de conformité qu’elle pourrait réaliser seront, dans les premiers mois d’application du RGPD, à visée pédagogique. L’essentiel est de pouvoir démontrer que vous êtes engagé dans une démarche de mise en conformité.

(*) La CNIL peut prononcer, en fonction de la gravité du non-respect de la réglementation, des amendes administratives allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. Quant aux peines pénales maximales, elles sont, pour une personne physique, de 5 ans d’emprisonnement et de 300.000 d’euros d’amende et, pour une personne morale, de 1,5 millions d’euros d’amende.

Jurisprudence

A RETENIR :

Le RGPD s’applique aux traitements informatiques et aussi aux dossiers papier
La transmission des données de santé de vos patients doit être limitée aux seules personnes qui sont autorisées à y accéder au regard de leurs missions
Les données de vos patients ne peuvent être gardées indéfiniment
Les patients doivent être informés du traitement de leurs données mais vous n’avez pas à recueillir leur consentement
Il n’y a plus de déclaration à faire auprès de la CNIL mais vous devez tenir un registre des traitements

A noter : ces principes ne se limitent pas aux traitements de données de santé dans le cadre de la prise en charge de vos patients mais s’appliquent à l’ensemble de vos traitements (ex : gestion des rémunérations de vos collaborateurs, gestion des fournisseurs, etc.).

Juillet 2020 :

la CNIL publie trois référentiels pour le secteur de la santé ayant pour objectif d’aider les professionnels de santé libéraux dans leurs démarches de conformité dans la gestion des traitements courants des cabinets médicaux et paramédicaux.

Ce référentiel est un cadre de référence qui permet aux professionnels de santé libéraux de mettre en conformité les traitements de données personnelles utilisés pour la gestion de leurs cabinets médicaux et paramédicaux. Il a vocation à remplacer l’ancienne norme simplifiée NS-50 destinée aux membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet.

Ces référentiels ne sont pas contraignants.

Référentiel des durées de conservation dans le domaine de la santé hors recherche (ex : tenue du dossier patient, ordonnancier, vigilances sanitaires, etc.)
Référentiel des durées de conservation dans le domaine de la recherche en santé (ex : les recherches interventionnelles, les recherches sur des données déjà collectées, etc.).
Référentiel relatif aux traitement de données personnelles pour les cabinets médicaux et paramédicaux

La CNIL a publié un guide pratique qui apporte les réponses aux questions les plus fréquentes des professionnels sur le principe de limitation de la conservation des données.

Ressources associées

www.cnil.fr/professionnel (Ma conformité au RGPD...)
La CNIL lance sa formation en ligne "L'atelier RGPD" ouverte à tous (mars 2019)
Guide pratique sur la protection des données personnelles édition Juin 2018 élaboré par le CNOM en collaboration avec la CNIL.
Arnaque au RGPD Appel à la vigilance de la CNIL
Fiche Thématique CNIL : Les droits pour maitriser vos données personnelles