Le Règlement Général sur la Protection des Données (RGPD) est une directive européenne concernant les données personnelles - publiée en 2016 et entrée en application le 25 mai 2018 - qui s’impose à tous les acteurs qui traitent ce type de données, sous forme informatisée ou non.
Cette directive partage le même objectif que la loi «informatique et Libertés » de 1978, en cours de modification.
Il s’agit de concilier protection de la vie privée des citoyens et innovation, ainsi que de garantir que tout traitement de données personnelles se fasse avec le consentement des gens concernés.
Le médecin et son personnel détiennent des données sensibles, médicales ou autres - ils sont donc soumis au décret européen.
Toute information se rapportant à une personne physique identifiée ou identifiable est une donnée personnelle – cela concerne les données médicales (dossier patient), mais aussi les données du cabinet (prises de rendez vous, données concernant le personnel et les fournisseurs).
La collecte des données doit se limiter aux informations nécessaires, adéquates et pertinentes.
Les dossiers et informations ayant atteint la durée de conservation préconisée doivent être supprimés.
Cette durée est variable selon le type d'information. Le CNOM préconise de s’aligner sur les délais de conservation prévus pour les dossiers médicaux des établissements de santé :
Les doubles des feuilles de soins doivent être conservés 3 mois.
Les données relatives à la prise de rendez-vous peuvent être supprimées lorsqu’elles ne sont plus nécessaire.
Le patient doit être informé de l'archivage de données sensibles le concernant et de son droit de consulter, modifier voire faire effacer des données le concernant.
Il existe un modèle d'affichage rédigé par le CNOM - exemple ci-dessous.
Utilisation recommandée d’une messagerie médicale sécurisée.
Toutefois, les échanges avec certains professionnels et avec les patients ne sont pas possibles ainsi - utilisation conseillée alors d'une messagerie "hébergée en France", avec chiffrage des données jointes (GNU Privacy Guard conseillé par la CNIL).
L’utilisation de toute messagerie ne chiffrant pas les données et hébergeant les données dans un pays ou auprès d’un prestataire qui ne garantit pas la protection des données conformément aux règles européennes est à proscrire.
Objectif : recensement de l’ensemble des activités de traitement des données personnelles au sein du cabinet, avec rédaction d’une fiche standard de modalité de traitement pour chaque activité.
Contenu : les cabinets médicaux (car moins de 250 salariés) bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :
En cas de violation de données, analyse de l'étendue du problème et inscription dans le registre des activités de traitement des données personnelles.
Si nécessaire, notification à la CNIL et aux personnes concernées...
Sources de cet article : CNIL - CNOM
Dr DURANDET Philippe
Publié le 05-08-2018