Point juridique
Si les médecins sont tenus de gérer quotidiennement les données personnelles de leurs patients et de leurs collaborateurs, des manquements au RGPD peuvent entraîner des sanctions, notamment financières.
Article publié dans Concours pluripro, octobre 2021
Dans le cadre de leur activité, les médecins et les maisons de santé sont amenés à collecter, stocker et traiter des données à caractère personnel, comme des fichiers de patients, de fournisseurs ou de salariés. Depuis le 22 mai 2018, ils doivent appliquer le règlement général sur la protection des données (RGPD) et mettre en place des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté au risque, dans la détention et l’utilisation de ces données. S’agissant des patients, ces données doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à leur prise en charge au titre des activités de prévention, de diagnostic et de soins de ces professionnels de santé. La collecte d’informations sur la vie familiale d’un patient n’est donc pas appropriée. Des guides pratiques sur la protection des données personnelles, sur la sécurité de ces données ou sur leur traitement ont été publiés, notamment par la Commission nationale de l’informatique et des libertés (Cnil) et l’Ordre des médecins (disponible sur www.cnil.fr). Ils visent à rappeler les obligations à respecter par les praticiens, quel que soit leur mode d’exercice : se protéger contre des accès non autorisés ou illicites et contre la perte, la destruction et les dégâts d’origine accidentelle ; fournir à ses patients et à ses collaborateurs une information portant sur le traitement des données effectué pour leur prise en charge ; établir un registre des activités de traitement des données prouvant le respect de la réglementation en vigueur. La traçabilité est essentielle afin de pouvoir recenser non seulement ses fichiers mais aussi les modalités de l’information délivrée ou encore les actions entreprises pour garantir la sécurité des données de santé.
Autant de bonnes pratiques qui doivent être connues et respectées par tous les intervenants de l’équipe médicale ou de la maison de santé. Pour les aider à mettre en oeuvre cette réglementation, les équipes de soins peuvent nommer un délégué à la protection des données (DPO), chargé de contrôler le respect du règlement, d’informer et de conseiller le responsable de traitement des données et d’être l’interlocuteur direct de la Cnil en cas de questionnement. La désignation d’un DPO peut être conseillée dans les cabinets de groupe. Elle est obligatoire si l’ensemble des conditions suivantes sont remplies : être médecin, exercer en cabinet groupé, partager un système d’information commun (comme un ordinateur pour plusieurs médecins et/ou un réseau commun et/ou des logiciels communs…) et avoir au moins 10 000 patients par an dans le cabinet groupé. Le DPO peut être un membre de l’équipe disposant alors de connaissances spécialisées en matière de protection des données. La maison de santé peut aussi faire appel à une société externe spécialisée dans ces questions.
Pour se prémunir contre les cybermenaces pouvant affecter les données de leur cabinet, les professionnels de santé doivent sécuriser leurs équipements, opter pour des mots de passe plus sûrs et limiter l’accès aux données sensibles aux seules personnes indispensables à travers la gestion des droits d’accès, la sécurisation des postes de travail et le chiffrement des données. Une assurance cyber-risques pourra être souscrite afin de pouvoir bénéficier d’une assistance face à ces nouveaux risques numériques.
Les médecins ne sont pas à l’abri d’un contrôle de la Cnil : le 7 décembre 2020, celle-ci a condamné deux d’entre eux à des amendes de 3 000 et 6 000 euros pour n’avoir pas su garantir la sécurité des données médicales de leurs patients. Des milliers d’images médicales hébergées sur des serveurs non sécurisés appartenant à ces médecins étaient en libre accès sur internet. La commission a considéré que ces praticiens avaient manqué à leur obligation de sécurité des données. L’utilisation d’une messagerie sécurisée, le chiffrage systématique des données personnelles en ligne, un verrouillage automatique de son matériel pour éviter toute intrusion… sont recommandés.
