RGPD 2018 : Qu'est ce que c'est ? Qu'est ce que cela va changer dans ma pratique quotidienne?

Depuis le 25 mai 2018, le Règlement général sur la Protection des données (RGPD) est en vigueur augmentant sensiblement le niveau de protection des données personnelles des individus mais également la responsabilité de ceux qui collectent, traitent et conservent ces données.

Une donnée à caractère personnel (donnée personnelle) est « toute information se rapportant à une personne physique identifiée ou identifiable ». Il s’agit de toute information permettant de connaître l’identité d’une personne soit directement (nom, prénom, numéro de sécurité sociale etc.) soit indirectement (adresse, plaque d’immatriculation, etc.).

Pour faire simple, l’objectif du RGPD est double : 

Assurer la protection des individus :

• En augmentant la transparence sur la façon dont sont collectées, utilisées et conservées les données personnelles, 

• En augmentant la responsabilitéde ceux qui manipulent ces données (désormais les sanctions peuvent aller jusqu’à 20M € d’amendes ou 4% du Chiffre d’Affaire annuel), 
• En augmentant les droits des personnesdont les données sont traitées (droit d’accès, droit à la rectification, droit à l’effacement, droit à la limitation du traitement, droit d’opposition, entres autres)

Faciliter la libre circulation des données :

• En réduisant les formalités administratives nécessaires : auparavant un enregistrement auprès de la CNIL était nécessaire, ce n’est désormais plus nécessaire (Toutefois, il faut être en mesure démontrer à tout moment votre conformité aux exigences du RGPD : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc. ;
• En clarifiant les pratiques autorisées, par exemple le profilage, technique visant à évaluer les aspects relatifs à une personne physique, notamment pour analyse ou prédire des aspects la concernant (tests psychologiques, situation économique ou encore état de santé physique).
• En limitant, a priori, les données collectables.

Il ne fait nul doute que les professionnels de la santé sont amenés, tous les jours, à manipuler des données à caractère personnel : Nom, prénom, adresse, numéro de patient, numéro de sécurité sociale et toutes informations médicales. Dès lors, leur responsabilité est nécessairement engagée. Il est important de noter que ces obligations concernent toutes les données, peu importe le support : papier ou numérique.

Les données médicales sont considérées comme étant des données à caractère personnel sensibles faisant l’objection d’une interdiction de récolte, traitement et stockage. Il existe cependant plusieurs exceptions parmi lesquelles l’exercice d’une profession médicale. Cette exception fait donc reposer une responsabilité d’autant plus importante dans le traitement des données. Il s’agira donc d’établir une première approche de ce qui peut être fait ou non et des obligations issues du RGPD.

Sur la collecte de données du patient : 

Seules celles étant strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins peuvent être collectées.

Pour toute donnée, il faut pouvoir justifier les raisons pour lesquelles celle-ci est nécessaire.

Par exemple, les informations sur la vie familiale d’un patient ne seront pas nécessaires si celles-ci n’interfèrent pas avec la prise en charge du patient.

Ce qu’il faut retenir : Les données collectées sur les patients doivent être adéquates, pertinentes et limitées.

Sur la conservation des données :

Il est important de conserver ses données dans un environnement sécurisé et dont l’accès doit être restreint. De même que pour la collecte, il faut pouvoir justifier l’accès d’un.e employé.e aux données personnelles. De même, l’accès aux données n’est pas toujours total et doit être limité au seul exercice des missions. Par exemple, un.e secrétaire médical accède aux données administratives permettant de gérer les prises de rendez-vous, mais n’accède pas à la totalité du dossier.

De plus, les données doivent être conservées pour une durée déterminée correspondant au temps nécessaire pour le traitement des données.

Cette durée peut être recommandée : par exemple, le Conseil national de l’Ordre des médecins recommande de conservation les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation ou être imposée par la loi (à l’instar des documents comptables par exemple).

Informer le patient :

Il est important que la personne dont les données sont collectées soit éclairée, c’est-à-dire qu’elle ait accès à l’information portant sur le traitement de ses données. Cela peut être sous la forme d’une affiche, dans votre salle d’attente.

Le RGPD impose de recueillir le consentement explicite d’un individu afin de pouvoir procéder au traitement de ses données. Néanmoins, dans la mesure où la collecte et la conservation des données sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés, ce consentement n’est pas nécessaire.

/!\ Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (ex : le code de la santé publique impose le recueil du consentement du patient pour la réalisation d’un examen des caractéristiques génétiques).

Sur vos responsabilités :

Comme pour responsable de traitement, il est important de mettre en place des règles de sécurité pour protéger les données des patients contre tous accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. 

Ceci passe par exemple, par la mise en place de mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données comme l’utilisation de la carte professionnel de santé, des mots de passe personnels, l’utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc.).

Dans le cadre de l’utilisation d’un logiciel de gestion des dossiers médicaux, il est important de déterminer avec le prestataire de services les responsabilités de chacun. La responsabilité, en cas de problème, pourra être partagée. Est considéré comme étant « responsable du traitement », la personne physique ou morale ou l’entité déterminant les finalités et les moyens du traitement.

Par exemple, dans le cadre de l’hébergement de données par un hébergeur de données de santé agréé ou certifié, etc., celui-ci doit, en tant que sous-traitant, vous garantir un niveau de sécurité adapté au risque. Vous devez vérifier ce point et conclure un contrat avec votre prestataire.

Sur vos obligations :

Il est obligatoire de constituer (et garder à jour) un registre des activités de traitement des données. Elle s’applique à toutes les structures qui traitent des données personnelles de façon régulière dans le cadre de leurs activités.

C’est d’ailleurs par l’établissement de ce registre que les responsables de traitement pourront déterminer l’ensemble des réponses à la collecte et la conservation des données, l’information du patient ou encore quels accès à quelles informations seront établis.

Pour aider à l’élaboration de ce registre, la CNIL propose un modèle de registre simple et qui conviendra à la plupart des besoins en matière de traitements de données.

En matière de droit des données personnelles, le règlement européen RGPD a ensuite été complété par la loi française sur la protection des données personnelles publiée en juin 2018 et qui a mis à jour la loi informatique et libertés de 1978.

Références : 

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)