Médecins : le RGPD impose des règles de sécurité et de confidentialité

Le Règlement Général sur la Protection des Données personnelles (RGPD) adopté au niveau européen est entré en application le 25 mai dernier. La loi française de mise en cohérence de la loi informatique et libertés à ce règlement a été adoptée par le Parlement et est en instance de promulgation. Le RGPD impose aux professionnels de santé le respect de règles de sécurité et de confidentialité des données personnelles de leurs patients.

Le RGPD donne pour la première fois une définition des données de santé à caractère personnel à l’échelle européenne. Il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».  Le RGPD précise que ces données comprennent « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne  par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ».

Ce RGPD concerne toute personne  amenée à traiter des données personnelles de citoyens de l’Union européenne dans le cadre de son activité professionnelle. Il concerne donc, bien évidemment, les médecins, puisque les dossiers médicaux de leurs patients sont directement ou indirectement  nominatifs (ils contiennent des éléments permettant d’identifier le patient) et qu’ils y collectent des informations personnelles, les conserve, les modifie, les utilise. Le RGPD leur impose donc des règles de sécurité et de confidentialité de ces données.  

Conservation des données

Cela implique quelques règles simples comme verrouiller son clavier d’ordinateur lorsqu’on quitte son cabinet et conserver le mot de passe confidentiel et en changer au moins deux fois par an. Aucune personne autre que les assistantes médicales ne peut avoir accès aux informations relatives aux patients et une clause de confidentialité doit  figurer dans leur contrat de travail. En cas de changement de logiciel, les données doivent être récupérées et archivées. Comme les dossiers papier – qui doivent être rangés dans une armoire fermée à clé – les données personnelles informatiques doivent être conservées au minimum 20 ans.

Communication des données

Lorsqu’un patient est adressé à un médecin correspondant, ses données médicales personnelles doivent être données au patient qui les transmet au praticien correspondant. Il en va différemment lorsque le patient est pris en charge par une équipe médicale : les données couvertes par le secret médical peuvent être partagées par l’ensemble de l’équipe.

Aucun envoi d’informations médicales ne peut être effectué avec une messagerie non cryptée. Les médecins utilisateurs de logiciels métier disposant de l’agrément « Hébergeurs de Données de Santé » (HDS) disposent d’une messagerie sécurisée universelle, dont les certificats sont assurés par la CPS et circulent sur la Messagerie Sécurisée de Santé (MSS). La sécurité est assurée et les messages peuvent être lus par tous ceux qui disposent de la CPS.

Prouver le respect des règles

Il ne suffit pas de respecter les règles de sécurité et de confidentialité, il faut aussi pouvoir prouver qu’on les respecte le cas échéant. Pour cela, les médecins peuvent télécharger le document type proposé par la CNIL et y indiquer les mesures de sécurité prises, l’organisation prévue en cas de piratage informatique ou de destruction  accidentelle des données. Il faut  également prévoir  quelles sont les modalités d’accès des patients à leurs données, les modalités de rectification et de portabilité de ces données vers un autre médecin en cas de changement.

 

RGPD : l’Ordre et la CNIL vous guident

image_pdfimage_print