Gestion des données personnelles : pour les médecins ?

Dossiers des patients = données personnelles. Un médecin libéral peut être amené à recevoir ou émettre des informations sur ses patients dans un « dossier patient », sur une plateforme web de gestion des rendez-vous. Ces informations sont considérées comme des données personnelles.

Quelles données personnelles ? En pratique, ces données personnelles sont les nom, prénom, adresse, numéro de téléphone, informations sur la vie personnelle (par exemple, son nombre d’enfants) et la couverture sociale du patient (assurance maladie obligatoire, assurance maladie complémentaire, etc.). Surtout, un médecin collecte des informations sur la santé du patient (pathologie, diagnostic, soins, etc.) et sur les éventuels professionnels qui interviennent pour sa prise en charge. Un médecin libéral détient également le numéro de sécurité sociale de ses patients pour les facturer (Numéro d’Inscription au Répertoire des personnes physiques – NIR).

Médecins libéraux = responsables de traitement. Au regard du RGPD, vous êtes considéré comme un « responsable de traitement ». Vous devez donc vous assurer de la conformité des dossiers de vos patients avec cette réglementation.

Violation des données. La Cnil a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à 2 médecins libéraux étaient librement accessibles sur Internet. Suite aux investigations, la Cnil a décidé de sanctionner les médecins pour manquement à l’obligation de sécurité des données et manquement à l’obligation de notifier les violations de données à la Cnil. Ce qui justifie, selon la Cnil, la condamnation à une amende de 3 000 € et 6 000 €.

     =>  Pour en savoir plus, consultez notre fiche « Organiser la protection des données personnelles (RGPD) »

Gestion des données personnelles des dossiers patients : ce qu’il faut faire

Déterminez les finalités recherchées. Vous devez, tout d’abord, vous assurer que les informations collectées dans les dossiers des patients sont utilisées pour l’exercice de votre activité de prévention, de diagnostic et de soins et qu’elles servent à gérer votre cabinet. Elles ont notamment pour but de vous permettre :

• d’assurer la gestion des rendez-vous,
• d’assurer la gestion des dossiers médicaux,
• l’édition des ordonnances,
• l’envoi de courriers aux confrères,
• l’établissement et la télétransmission des feuilles de soins.

Attention ! Toute utilisation personnelle ou commerciale des données personnelles de vos patients est prohibée.

Déterminez la pertinence des données collectées. Seules les informations utiles au suivi de votre patient peuvent être collectées. La Cnil (autorité de contrôle de la conformité au RGPD en France) estime que les données personnelles suivantes peuvent être légitimement collectées par un médecin libéral :

• les données d’identification : nom, prénom, date de naissance, adresse, numéro de téléphone ;
• le numéro de sécurité sociale : uniquement pour l’édition des feuilles de soins et la télétransmission aux caisses d’assurance maladie ;
• selon les contextes, la situation familiale : situation matrimoniale, nombre d’enfants ;
• selon les contextes, la vie professionnelle : profession, conditions de travail ;
• la santé : historique médical, historique des soins, diagnostics médicaux, traitements prescrits, nature des actes effectués, résultats d’examens de biologie médicale et tout élément de nature à caractériser la santé du patient et considéré comme pertinent par le médecin ;
• informations relatives aux habitudes de vie : si collectées avec l’accord du patient et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins.

Données personnelles non pertinentes. Toute information sans lien avec l’objet de la consultation du patient ou qui ne serait pas indispensable au diagnostic ou à la délivrance des soins ne doit pas être collectée. Par exemple, vous ne devez pas inscrire des informations sur la vie privée du patient qui ne sont pas médicalement nécessaires, comme la religion du patient ou son orientation sexuelle.

Durée de conservation des données collectées. Il n’existe pas de texte légal portant sur la durée de conservation des dossiers professionnels exerçant en profession libérale. C’est pourquoi le Conseil national de l’Ordre des médecins préconise de vous aligner sur les délais de conservation prévus pour les dossiers médicaux des établissements de santé, à savoir :

• 20 ans à compter de la date de la dernière consultation du patient ;
• si le patient est mineur et que ce délai de 20 ans expire avant son 28ème anniversaire, la conservation des informations le concernant doit être prolongée jusqu'à cette date ;
• dans tous les cas, si le patient décède moins de 10 ans après sa dernière consultation, les informations le concernant doivent être conservées pendant 10 ans à compter de la date du décès ;
• en cas d’action tendant à mettre en cause la responsabilité du médecin, il faut suspendre ces délais de conservation.

Informez les patients ! Vous devez informer les patients de l’existence de vos dossiers et de leurs droits à cet égard (par exemple, par voie d’affichage, dans la salle d’attente, ou par la remise d’un document spécifique).

Des informations a minima ! L’information donnée au patient doit comporter impérativement les éléments suivants :

• votre nom et vos coordonnées ;
• les finalités et la base juridique du traitement, y compris les finalités ultérieures ;
• les destinataires des données ;
• la durée de conservation ;
• les droits de votre patient : accès, rectification, à certaines conditions effacement, limitation, opposition, introduction d’une réclamation auprès de la Cnil ;
• le caractère obligatoire des données fournies et des conséquences éventuelles d’un défaut de réponse ;
• le cas échéant, l’utilisation ultérieure des données pour une finalité autre que celle pour laquelle les données ont été collectées (ex : si un médecin souhaite utiliser ultérieurement les données à des fins de recherche).

     =>  Consultez le modèle-type de document spécifique pouvant être remis à un patient

Prenez des précautions ! Vous devez prendre toutes les précautions utiles pour empêcher que des tiers non autorisés aient accès aux données de santé. Par exemple, le personnel administratif ne peut avoir qu’un accès partiel aux dossiers des patients, pour les seuls besoins de son activité.

Les données personnelles doivent être sécurisées. Vous devez prendre toutes les mesures nécessaires pour sécuriser et protéger les données personnelles que vous traitez. Pour protéger votre système informatique, la Cnil recommande de respecter les principes suivants :

• utilisation d’un mot de passe conforme à 12 caractères (chiffres, lettres majuscules et minuscules, caractères spéciaux), renouvelé régulièrement ;
• verrouillage de votre session informatique automatiquement après maximum 30 minutes d’inactivité ;
• antivirus à jour, pare-feu, application systématique des correctifs de sécurité du système informatique et des logiciels ;
• sauvegardes régulières des données (sauvegarde au minimum hebdomadaire, avec conservation des sauvegardes mensuelles sur 12 mois glissants) et leur conservation dans un lieu différent que votre cabinet ;
• chiffrement des données avec un logiciel adapté ;
• absence ou minimisation des connexions d’appareils non professionnels sur le réseau ;
• authentification via votre carte de professionnel de santé (CPS) ou tout moyen alternatif d’authentification forte.

Violation des données. En cas de violation de données à caractère personnel, vous devez contacter la Cnil dans les meilleurs délais et, si possible, par principe, 72h au plus tard après avoir pris connaissance de cette violation. Si la notification de la violation n’a pas eu lieu dans les 72h, il vous faudra expliquer les raisons de ce retard à la Cnil.

Attention ! Si la violation des données a eu lieu au sein d’établissements de santé, d’hôpitaux des armées, de laboratoires de biologie médicale ou de centres de radiothérapie, votre structure doit également notifier l’incident à l’Agence régionale de santé compétente.

Une formalité auprès de la Cnil ? Depuis le 25 mai 2018, vous ne devez plus réaliser, auprès de la Cnil, d’engagement de conformité à la norme simplifié 50 (NS-050), comme le prévoyait auparavant la Loi pour la gestion des cabinets médicaux.

Devez-vous nommer un DPO ? Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de désigner un DPO. Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.).

Gestion des données des patients : un référentiel à connaître

Un référentiel… La Cnil a adopté un référentiel qui recense et applique les principes du RGPD aux traitements de données couramment mis en œuvre dans le cadre de la gestion médicale et administrative d’une patientèle.

=> Consultez le le référentiel à destination des professionnels de santé

… contraignant ? Le référentiel n’est pas contraignant : les professionnels de santé libéraux peuvent s’écarter de ses préconisations, à condition toutefois de pouvoir justifier leur choix.

Pour qui ? Le référentiel vise les professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou encore au sein de maisons de santé. Sont donc concernés les médecins généralistes ou spécialistes, les infirmiers, les radiologues, les masseurs kinésithérapeutes, les sages-femmes, les pédicures-podologues, les orthophonistes et orthoptistes etc.