Le Règlement Général sur la Protection des Données (RGPD), applicable depuis le 25 mai 2018, réforme en profondeur l'exploitation par les professionnels de santé des informations à caractère personnel.
Les bases du RGPD
Une donnée personnelle est une donnée permettant d'identifier, directement ou indirectement, une personne physique (nom, adresse, numéro de téléphone, email, identifiant, photo, etc). Les données de santé sont des données personnelles qualifiées de sensibles.
Un traitement de données consiste en toute opération sur des données personnelles (conservation, modification, enregistrement, classement, transfert,…), quel que soit le procédé utilisé.
Selon la loi Informatique et Libertés, les données personnelles sont exclues du droit de propriété, c’est-à-dire qu’elles n’appartiennent à personne. Mais les personnes dont les données sont traitées possèdent des droits sur leurs données : elles doivent pouvoir y accéder, s’opposer à leur utilisation ou la limiter, demander leur effacement (droit à l'oubli), rectification ou transfert (droit à la portabilité). Dans le domaine médical, certaines demandes de patients peuvent être restreintes. Un patient ne peut demander la suppression de ses données de santé car la tenue d'un dossier médical par les professionnels de santé est une obligation légale.
Les professionnels doivent sécuriser toutes les données personnelles qu’ils détiennent, afin de les protéger d’une part contre des accès non autorisés ou illicites et, d’autre part contre leur perte, destruction ou modification accidentelle.
En cas de violation de données présentant un risque au regard de la vie privée, la Commission Nationale Information et Liberté (CNIL) doit en être notifiée dans les 72 heures sous peine de sanctions financières. Une plainte doit être déposée auprès du commissariat de police ou de la gendarmerie dont dépend le centre ou le cabinet. Tous les mots de passe doivent être rapidement modifiés. En outre, les personnes concernées doivent également en être informées en leur précisant :
- Les circonstances de l'incident
- La nature des données concernées
- Le point de contact pour avoir des informations supplémentaires
- Les mesures déjà prises et envisagées
- Les conséquences possibles pour elles
Les données personnelles ne peuvent être détenues indéfiniment. Les professionnels doivent les supprimer sous certains délais, variables selon les catégories de données.
Application aux cabinets et centres médicaux
Au cours d’une activité médicale, de nombreuses données personnelles sont collectées, directement ou indirectement (via une plateforme de prise de rendez-vous en ligne par exemple), et conservées sur support papier ou informatique. Ces données constituent un actif précieux, indispensable au fonctionnement d’une structure médicale.
Les médecins et les centres médicaux sont « responsables de traitement » des données collectées. Ils doivent à tout moment pouvoir prouver que leurs dispositifs de traitement des données personnelles sont conformes aux règles établies par les législations européennes et nationales.
Un professionnel de santé n'a pas l’obligation de recueillir le consentement de ses patients, employés ou collaborateurs pour collecter et conserver leurs données personnelles dans le cadre de son activité médicale. Cependant, les patients doit être informés, de manière claire et intelligible, qu’un traitement de leurs données est effectué et de l’usage qui est fait de leurs données. Cette information peut se faire par le biais d’un affichage en salle d'attente ou par la remise/mise à disposition d'une notice d’information.
Un professionnel utilisant les données qu’il détient pour envoyer à ses patients des messages qui ne sont directement liés aux soins prodigués (ex. envoi d’une newsletter) doit au préalable obtenir l’accord écrit des patients de manière formelle, claire et univoque. Un patient reste libre de retirer son consentement à tout moment.
Les données de patients potentiels ayant contacté le centre ne peuvent être conservées sans leur accord formalisé.
Les employés et collaborateurs sont concernés par le RGPD à double titre : d’une part car leurs propres données personnelles sont collectées (pour l’établissement d’un contrat de travail par exemple), et d’autre part parce qu’ils sont utilisateurs des données du centre. Les employés et collaborateurs doivent ainsi être sensibilisés et informés de leurs droits et devoirs à l’égard des données. Il en est de même si le centre détient des données personnelles de prestataires, fournisseurs, sous-traitants ou si ceux-ci ont accès aux données du centre.
Pour la sauvegarde des données informatisées, les professionnels de santé peuvent appliquer la règle du 3-2-1 :
- Disposer d’au moins 3 copies des données (1 principale et 2 sauvegardes)
- Stocker ces copies sur 2 supports différents
- Conserver 1 des copies de sauvegarde hors site
Logiciel de gestion et RGPD
Un bon logiciel de gestion doit aider le professionnel de santé à se conformer au RGPD en ayant les fonctionnalités suivantes :
- Droits utilisateur spécifiques limitant les accès aux différentes fonctionnalités du logiciel
- Désactivation automatique de toute session après une période d’inactivité
- Mots de passe Utilisateur forts d’au moins 10 caractères et modifiables
- Sauvegardes régulières des données du logiciel (de préférence automatisées)
- Indicateurs et conservation des preuves de consentement concernant l’envoi aux patients de messages non liés aux rendez-vous
- Journal des accès (pour vérifier régulièrement qui a accédé au logiciel, quand et pour quoi faire)
- Hébergement des données sur un serveur sécurisé certifié Données de santé (logiciels sur le cloud)
- Utilisation d’un protocole sécurisé https (logiciels sur le cloud)
Si le logiciel est installé sur ordinateur, des protections comme un anti-virus et un pare-feu doivent être installées. Périodiquement, le logiciel doit être mis à jour pour limiter les failles de sécurité et les données sauvegardées sur un système externe.
Ces dernières années, des médecins libéraux et hospitaliers n’ayant pas sécurisé des données patient, qui se sont retrouvées visibles sur internet, ont été condamnés par la CNIL à des amendes de plusieurs milliers d’euros.
Un logiciel de médecine esthétique comme AMESLA, hébergé sur un cloud sécurisé Données de Santé avec double sauvegarde, aide à résoudre la problématique liée à la protection des données personnelles.
Pour plus d’informations : Guide CNOM-CNIL