RGPD - CSMF 974

RGPD : êtes-vous prêts ?

Le RGPD, c’est quoi ?

Le 25 mai 2018, un nouveau droit des données personnelles reposant sur le Règlement général pour la protection des données personnelles (RGPD) entrera en application. Ce Règlement européen 2016/679/UE du 27 avril 2016 est directement applicable en droit français. D’importantes obligations pèseront sur les auteurs de traitements de données, afin de mieux protéger la vie privée.

La CSMF est à disposition de ses adhérents pour les aider à mettre en œuvre le RGPD. Contactez le service juridique.

Vous êtes concernés

Le RGPD a vocation à s’appliquer aux traitements de données à caractère personnel, qu’ils soient automatisés ou non, informatisés ou sur papier.

Le terme de « traitement » peut laisser penser que vous n’êtes pas concernés, mais dans ce cadre il est d’interprétation large. En effet, les traitements de données sont les opérations du type collecte, enregistrement, conservation, modification, consultation, utilisation, transmission…

Les données à caractère personnel sont les informations qui concernent une personne physique et qui permettent soit de l’identifier, soit qu’elle soit identifiable (identité, numéro de sécurité sociale, adresse…).

Vous êtes donc concernés parce que :

Tous vos dossiers médicaux sont directement ou indirectement nominatifs (c’est-à-dire qu’il y a des éléments permettant de retrouver votre patient) ;
Vous collectez des informations personnelles, les conservez, les modifiez, les utilisez…

Vous avez de règles à respecter !

> En matière de conservation

Dans la mesure où vous conservez des données, vous devez les sécuriser.
Quelques conseils :

Verrouillez votre clavier d’ordinateur chaque fois que vous quittez le cabinet ;
Conservez le mot de passe confidentiel en particulier, ne collez pas de mot de passe sur l’ordinateur ou ne le cachez pas sous le clavier, et changez celui-ci au moins deux fois par an ;
Pas de dossiers papier rangés dans une armoire non fermée à clé ;
Aucune personne autre que les assistantes médicales ne peut avoir accès aux informations relatives au patient : prévoyez bien une clause de confidentialité dans leur contrat de travail.

Chaque fois que vous changez de logiciel, récupérez et archivez les données. Au même titre que le dossier médical, les données personnelles informatiques doivent être conservées au minimum 20 ans.

> En matière de collecte

Les données à caractère personnel recueillies sont traitées par un médecin, lui-même soumis à une obligation de secret. Par ailleurs, au regard des obligations légales imposées au médecin concernant la tenue et conservation d’un dossier médical, le consentement du patient n’apparait pas nécessaire pour la collecte des données médicales le concernant.

> En matière de communication

En cas d’adressage du patient vers un médecin correspondant, les données personnelles médicales doivent être transmises au patient, à charge pour lui de les donner au médecin consulté.
Il en est différemment lorsqu’il s’agit d’une prise en charge du patient par une équipe de soins, puisque les données couvertes par le secret médical sont réputées être transmises à l’ensemble de de l’équipe.

Attention à l’utilisation des messageries électroniques : aucun envoi d’informations médicales ne peut être fait avec une messagerie non cryptée. En d’autres termes, vous ne pouvez pas utiliser votre boite mail personnelle pour recevoir ou transférer des informations relatives à vos patients.

Bon à savoir :
Si vous êtes utilisateurs de logiciels métier disposant de l’agrément » Hébergeurs de Donnée de Santé » (HDS), vous disposez d’une messagerie sécurisée universelle, dont les certificats sont assurés par la CPS et circulent sur la Messagerie Sécurisée de Santé (MSS). La sécurité est assurée et vos messages peuvent être lus par tous ceux qui disposent de la CPS.

La CSMF est à disposition de ses adhérents pour les aider à mettre en œuvre le RGPD.

Vous devez pouvoir prouver le respect de ces règles !

C’est le principe d’accountability : vous devez mettre en œuvre des mécanismes et procédures dans le cabinet médical qui permettent de protéger les données à caractère personnel, afin d’être prêts à démontrer que vous respectez le RGPD.

En pratique : retracez, dans le document type proposé par la CNIL, la façon dont vous protégez votre mot de passe, les règles relatives au verrouillage du clavier de votre ordinateur, à l’envoi de mails. Prévoyez également comment le cabinet va s’organiser en cas de piratage informatique ou de destruction accidentelle de données (information des patients par courrier par ex.).
Vous devez également prévoir, pour vos patients, quelles sont les modalités d’accès à leurs données, les modalités de rectification, voire de portabilité de celles-ci vers un autre médecin en cas de changement.