Bonnes pratiques
Qu’est-ce que le RGPD ? Comment et pourquoi les CPTS sont-elles directement concernées ? Quelles sont les bonnes pratiques ? Le point avec la société DrData, qui accompagne les professionnels de santé et les établissements de santé dans leur conformité RGPD.
Article publié dans Concours pluripro, décembre 2022
• RGPD, données personnelles : késako ?
Le RGPD est un règlement européen qui vise à renforcer les droits et les libertés fondamentales des personnes physiques en matière de traitement de leurs données personnelles. Il met en place différents principes qui doivent être respectés afin de garantir une transparence et une loyauté absolues vis-à-vis des personnes concernées.
Une donnée personnelle est une information permettant d’identifier directement ou indirectement une personne physique. Il peut s’agir d’un prénom ou d’un nom, d’un e-mail, d’une adresse IP mais aussi de toute combinaison de données permettant de cibler un seul individu. Par exemple, un code postal, une pathologie ou l’année de naissance pris individuellement ne permettent pas d’identifier un individu, mais, une fois corrélées, il est fort probable qu’un très faible nombre de personnes, voire une seule personne, réponde à ces critères. Le champ d’application du RGPD est donc très large.
Le RGPD établit également une liste de données dites "sensibles" car, en cas de violation de données personnelles (toute atteinte à la confidentialité, à l’intégrité et à la disponibilité des données) ciblant cette catégorie d’informations, l’impact sur les droits et libertés des personnes peut être maximal. Ainsi, le traitement des données concernant la santé, l’origine, les opinions politiques ou encore les données biométriques et génétiques doivent faire l’objet de mesures de sécurité renforcées et de formalités persistantes.
Lire aussi : RGPD : obligations et responsabilités
• Le RGPD touche-t-il tous les domaines ?
Oui, tous les domaines sont concernés par la protection des données personnelles, notamment dans certains secteurs comme le sanitaire et le médico-social, où les problématiques rencontrées peuvent être plus complexes et les risques plus élevés pour les organisations vu le caractère sensible des données personnelles qui sont traitées. Mais indépendamment des données de santé de patients, chaque organisation traite des données personnelles de ses collaborateurs et de ses partenaires. Ainsi, même si les données personnelles ne sont pas au coeur de son activité, elle doit tout de même appliquer les grands principes du RGPD, quelle que soit sa taille.
• Comment et en quoi les CPTS sont-elles concernées ?
Comme le RGPD intéresse toute organisation traitant des données personnelles, la CPTS sera amenée à les traiter, notamment dans le cadre de la facilitation de l’accès aux soins et de l’organisation des parcours de soins des patients.
Une CPTS effectue principalement trois types de traitements de données : à propos des personnes concernées par ses missions sur le territoire ; de ses propres employés ; et de ses adhérents (gestion de l’annuaire, de l’envoi de newsletters, de l’organisation d’événements et de formations, etc.). De plus, elle est amenée à concentrer ses actions sur les personnes dites "fragiles", donc vulnérables au sens du RGPD, et sur des durées de conservation relativement longues. Elle peut également traiter des données de santé à grande échelle en fonction de la taille de son territoire. Ces différents facteurs représentent des risques portant sur les traitements de données. Il importe donc de mettre en place des mesures de sécurité supplémentaires, notamment une analyse de risque spécifique aux aspects relatifs à la protection des données en amont de la mise en place de ces traitements.
Au-delà de leurs missions socles, certaines CPTS portent des actions de coordination du parcours de soins et même de recherche médicale. Ces actions nécessitent d’autres démarches afin d’en assurer la conformité, dont l’application de cadres juridiques, notamment le code de la santé publique et les réglementations relatives à la réutilisation des données, voire celles applicables aux essais cliniques.
