La protection des données de santé, un nouvel enjeu majeur pour les médecins

Logo RGPD

Entré en application en mai 2018, le Règlement Général sur la Protection des Données (RGPD) a renforcé certaines obligations pour les médecins libéraux et en a créé de nouvelles. Conservation des données, information de la patientèle et registre des activités de traitements sont des points à bien maîtriser en tant que médecin libéral. En effet, vous êtes responsable des données personnelles et/ou sensibles de vos patients.

Quelles sont les obligations des médecins liées à la protection des données et au RGPD ?

Les médecins collectent un grand nombre d’informations à caractère personnel sur leurs patients. On peut citer le nom et le prénom d’une personne, également son nombre d’enfants, son type de couverture sociale ou encore ses pathologies.

Outre vos obligations en termes de confidentialité et de secret professionnel, vous devrez toujours vous assurer que la collecte et la conservation des données de vos patients respectent les principes fondamentaux de la protection de données, notamment dans les quatre cas suivants :

Le dossier patient

Les dossiers de vos patients, qu’ils soient informatisés ou papiers, comportent bon nombre d’informations personnelles. Doivent y figurer seulement les informations strictement nécessaires au suivi et à la prise en charge et qui répondent à des finalités légitimes comme la gestion des rendez-vous, l’édition des ordonnances, l’envoi de courrier aux confrères, l’établissement et la télétransmission des feuilles de soins.

Ainsi, vous pouvez collecter par exemple :

  • Les nom et prénom
  • Le NIR
  • L’historique de santé
  • Les habitudes de vie, si cela est strictement nécessaire à l’établissement du diagnostic

Il n’existe pas de prescription juridique déterminant la durée de conservation des archives des médecins libéraux. Toutefois, la durée de conservation de ces données préconisée par le Conseil National de l’Ordre des Médecins est délimitée, a minima à :

  • 20 ans à compter de la date de dernière visite ou jusqu’au 28ème anniversaire du patient si ce délai s’achève avant cette date
  • 10 ans après le décès si la dernière visite du patient remontait à moins de 10 ans

Le délai de conservation est suspendu par toute action en justice ou auprès du Conseil de l’Ordre mettant en cause la responsabilité du médecin.

N’oubliez pas d’informer vos patients de l’existence de vos dossiers et de leurs droits à cet égard ! Il convient de le faire par la remise d’un document spécifique ou par voie d’affichage, par exemple dans la salle d’attente. Les mentions obligatoires sont :

  • Le nom et les coordonnées du praticien de santé
  • Les finalités et la base juridique du traitement des données
  • Les destinataires des données
  • La durée de conservation
  • Les droits du patient sur ses données personnelles (accès, rectification en cas d’erreur, opposition au traitement de la donnée, effacement et limitation dans certaines conditions)

Une demande faite par un patient quant à ses données personnelles doit donner lieu à une réponse dans un délai raisonnable. Pour ce qui est d’un accès simple à ces données, cela doit être fait dans les 8 jours consécutifs à la demande.

Les patients doivent aussi être informés de toute faille dans la sécurité et de toute violation des données les concernant.

La prise de rendez-vous

Lors de la prise de rendez-vous, on collecte des données personnelles, le motif de consultation peut notamment être demandé. Cette information peut donner une indication sur l’état de santé du patient.

Sachez que le motif de la consultation peut être demandé uniquement en cas de nécessité de préparation préalable ou de la réservation d’outils spécifiques.

Le traitement, la conservation, les droits patients, les sanctions encourues en cas de non-respect par le praticien sont identiques aux obligations et sanctions assujetties au dossier patient.

Cependant, s’agissant de données collectées pour une finalité ponctuelle et temporaire, à savoir la prise de rendez-vous, celles-ci doivent être détruites lorsqu’elles ne sont plus nécessaires.

Si vous passez par un prestataire extérieur qui héberge vos données, veuillez à ce que l’hébergement soit certifié et agréé et qu’il garantisse la sécurité et la confidentialité des données conservées

Messagerie électronique et chat

Pour communiquer avec vos confrères ou avec vos patients, il est préférable d’utiliser une messagerie chiffrée dédiée aux professionnels de santé. Il en va de même pour le logiciel de chat en ligne.

La messagerie sécurisée de santé est un espace dématérialisé et chiffré mis à disposition des professionnels de la santé, du sanitaire, du social et du médico-social. Cet espace offre des outils de communication entre professionnels ainsi qu’un annuaire regroupant l’ensemble des professionnels habilités.

Si vous n’utilisez pas de messagerie chiffrée, pensez à minima à chiffrer les pièces jointes contenant des informations sensibles et personnelles sur vos patients.

Télémédecine

L’ensemble de vos obligations déontologiques s’appliquent à la télémédecine, notamment en ce qui concerne la collecte d’informations à caractère personnel.

Il convient de traiter les informations obtenues par toute activité de télémédecine comme celles obtenues dans le cadre d’une consultation physique classique.

Vous l’aurez compris, en tant que médecin libéral, vous êtes responsable des données personnelles et/ou sensibles de vos patients. Il vous incombe donc de prendre toutes les précautions utiles pour empêcher que des tiers non autorisés aient accès à ces données de santé, que vous passiez par un prestataire externe ou non. Faute de quoi, vous pouvez faire l’objet d’une sanction administrative, voire même pénale.
 
Le guide pratique sur la protection des données personnelles, publié par le conseil national de l’Ordre des médecins, contient un exemple de notice d’information pour la gestion d’un cabinet médical et de registre des activités de traitement.
 
La CNIL a également publié un référentiel relatif au traitement de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux qui s’adresse spécifiquement aux professionnels de santé exerçant à titre libéral.