Le règlement général sur la protection des données (RGPD) expose-t-il les gynécologues et obstétriciens à des risques ? Clairement, oui. Un exemple pratique en ces périodes troublées : si vous avez créé une liste – que ce soit sur papier ou dans un fichier informatique − de patientes Covid+ ou encore une liste de patientes à opérer après le déconfinement, vous devez vous assurer de respecter de bout en bout le RGPD, surtout si vous la transmettez à un tiers comme une administration !
Le RGPD est entré en application le 25 mai 2018. Les médecins, libéraux ou salariés, sont directement concernés par la protection des données personnelles, qui s’articule avec le respect du secret professionnel. Vous êtes considéré comme « responsable de traitement » pour vos patients. Vous devez donc vous assurer de la conformité des dossiers médicaux avec cette réglementation.
Un vaste champ d’application en médecine
Mais le domaine d’application du RGPD dans notre exercice est vaste. Il s’applique à toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (attention aux données identifiables indirectement – pseudonymisées − qui sont aussi concernées !). Cela inclut donc les dossiers médicaux, la gestion de rendez-vous et des salariés, la télémédecine…
Le principe de cette contrainte n’est plus d’accomplir une formalité de déclaration à la commission nationale informatique et libertés (Cnil) mais d’être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD en traçant toutes les démarches entreprises : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée à la patiente, actions menées pour garantir la sécurité des données de santé, etc.
Dans les dossiers, certaines informations sont autorisées, quand elles sont adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge de la patiente au titre des activités de prévention, de diagnostic et de soins. D’autres sont interdites comme des informations sur la vie privée de la patiente qui ne sont pas médicalement nécessaires : religion, orientation sexuelle, etc.
Des mesures dans les cabinets de groupe
Pour les cabinets de groupe, si vous estimez que vous traitez des données de santé à grande échelle (réseau de professionnels, maisons de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un délégué à la protection des données (DPD) en interne, soit solliciter les services d’un DPD externe (consultants ou cabinet d’avocat par exemple). Le DPD devra également mener des études d’impact (PIA).
Le médecin, ou le DPD, doit s’assurer que les règles de sécurité sont respectées, pour protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Du point de vue pratique, cela nécessite, entre autres, de mettre en conformité les points suivants : utilisation d’un mot de passe conforme aux recommandations de la Cnil, renouvelé régulièrement, ou authentification par carte de professionnel de santé (CPS) ; verrouillage des sessions automatiquement après 30 minutes d’inactivité ; antivirus à jour et application systématique des correctifs de sécurité ; sauvegardes régulières des données et conservation dans un lieu différent de votre cabinet ; chiffrement des données avec un logiciel adapté ; absence ou minimisation des connexions d’appareils non professionnels.
Le RGPD exige aussi de délivrer aux patients une information portant sur le traitement de données que vous effectuez pour leur prise en charge. Cela peut être sous la forme d’une affiche, dans votre salle d’attente (modèle dans le guide du CNOM [1]).
Pour documenter tous les éléments de cette conformité, vous devez constituer et maintenir un registre, conservé en interne. Si vous faites l’objet d’un contrôle de la Cnil, vous devez être en mesure de le mettre à disposition de ses agents.
En cas d’infraction, les sanctions peuvent être extrêmement lourdes, administratives ou pénales.
Exergue : Vous devez être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD
Centre PMAtlantique, Clinique Saint-Herblain, Nantes
Maintien des connaissances et des compétences
La certification périodique marque des points
Deux poids, deux mesures ? La fin des négos ravive les tensions entre spécialistes et généralistes
Déconventionnement : la colère enfle sur l’île de beauté
C’est quoi ta spé ? – Épisode 01
[VIDÉO] « La bobologie c’est super ! » : Mirana, interne en médecine générale, livre son expérience et ses conseils