Depuis le 25 mai 2018 ⁽¹⁾, le règlement général sur la protection des données (RGPD ou GDPR en anglais, General Data Protection Regulation) s’applique à tout acteur traitant de données personnelles au sein de l’Union européenne et vient compléter les dispositions nationales, gérées en France par la CNIL (Commission nationale de l’informatique et des libertés). Le RGPD renforce et unifie la protection des données des individus au sein de l’Union européenne. Les professionnels de santé sont particulièrement concernés compte tenu du caractère sensible des données de santé. Comment adapter votre pratique à ces nouvelles régulations obligatoires ?

Quelles données sont concernées ?

Tout recueil de données au sujet de vos patients est concerné, que ce soit un dossier papier ou informatique (par exemple une fiche patient dans le logiciel de gestion de votre activité). Cabinet médical, pharmacie d’officine, laboratoire d’analyses, infirmières libérales ou cabinet d’orthophonie : tous les secteurs médicaux sont impactés ⁽²⁾.
La CNIL donne ainsi quelques exemples de données personnelles divisées en trois catégories ⁽³⁾ :
• les données directement identifiantes : nom, prénom, photo, e-mail nominatif… ;
• les données indirectement identifiantes : identifiant de compte, 
   numéro de sécurité sociale, empreinte digitale ;
• un recoupement d’informations permettant une identification : par exemple, une fille de 24 ans vivant dans le centre-ville de Lyon...
Les données de santé, quant à elles, sont définies comme toutes données relatives à la santé physique ou mentale (passée, présente, future) d’une personne physique, y compris les services de soins, qui révèlent des informations sur l’état de santé de cette personne (résultats d’examens, traitement clinique, état physiologique, antécédents médicaux...) ⁽⁴⁾.
Les données de santé répondent, au même titre que l’origine ethnique et que l’appartenance religieuse ou syndicale, à une interdiction globale de stockage et de traitement. Cependant, des dérogations sont prévues dans le cadre d’activités répondant, par exemple, à la sauvegarde de la vie humaine, la médecine préventive, les diagnostics médicaux, l’administration de soins ou de traitements, la recherche et l’intérêt public ⁽⁵⁾

Quelles sont les obligations des professionnels de santé ? 

En matière d’information, il faut prévenir les patients du traitement de leurs donnée s médicales que vous effectuez pour leur prise en charge. Cette information peut être communiquée par oral ou sous la forme d’une affiche dans votre salle d’attente. Le consentement du patient n’est pas nécessaire pour la collecte et la conservation de données de santé que vous utilisez pour la mise en œuvre de votre activité ⁽²⁾.

En matière de conservation des données, il faut en sécuriser l’accès ⁽⁶⁾ : 
• armoire à dossiers ou ordinateur : pensez à les verrouiller quand vous quittez votre bureau ;
• votre mot de passe doit rester confidentiel : pas de post-it sous le clavier ou sur l’ordinateur. Il est conseillé de le renouveler au moins deux fois par an ;
• aucune personne autre que les assistantes médicales ne peut avoir accès aux informations relatives au patient : prévoyez bien une clause de confidentialité dans leur contrat de travail ;
• signaler à la CNIL tout incident de sécurité impliquant des données personnelles dans les 72 heures ⁽⁷⁾ (obligation qui s’ajoute à celle de signalement des incidents de sécurité des systèmes d’information de santé ⁽⁸⁾).

En matière de communication, des règles précises sont à respecter ⁽⁶⁾ : 
• en cas d’adressage du patient vers un médecin correspondant, les données personnelles médicales doivent être transmises au patient. À charge pour lui de les donner au médecin consulté. Il en est différemment lorsqu’il s’agit d’une prise en charge du patient par une équipe de soins, puisque les données couvertes par le secret médical sont réputées être transmises à l’ensemble de l’équipe.
• attention à l’utilisation des messageries électroniques : aucun enfvoi d’informations médicales ne peut être fait avec une messagerie non cryptée. En d’autres termes, vous ne pouvez pas utiliser votre boîte mail personnelle pour recevoir ou transférer des informations relatives à vos patients ;
• si vous êtes utilisateurs de logiciels métier disposant de l'agrément "Hébergeurs de Données de Santé" (HDS), vous disposez d’une messagerie sécurisée universelle, dont les certificats sont assurés par la Carte de Professionnel de Santé (CPS) et circulent sur la Messagerie Sécurisée de Santé (MSS). La sécurité est assurée et vos messages peuvent être lus par tous ceux qui disposent de la CPS.

En matière d’acquisition des données, il ne faut collecter que des données adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins ⁽²⁾.

En matière de durée, les données de vos patients ne peuvent être gardées indéfiniment. Le Conseil National de l’Ordre des Médecins préconise de garder un dossier médical pendant 20 ans à compter de la dernière consultation ⁽²⁾.

En matière de conformité administrative, un registre du traitement des données est obligatoire pour toute structure, même en exercice individuel. Conservé en interne, ce registre vous permet de faire preuve de votre conformité au RGPD. Il n’y a pas besoin de le transmettre à la CNIL néanmoins, lors d'un contrôle, vous devez être en mesure de le mettre à disposition des agents de la CNIL ⁽²⁾.
La tenue de ce registre est l’occasion de se poser les bonnes questions et de limiter les risques au regard des principes du RGPD.
Pour vous aider dans l’élaboration de votre registre, vous pouvez consulter la fiche thématique : Le registre des activités de traitement ⁽⁹⁾ 
Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures. 

Des obligations plus poussées hors de l’exercice individuel

Si, en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex. : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), d’autres obligations s’ajoutent :
• Désigner un délégué à la protection des données (DPO) ⁽²⁾.
Sa mission : contrôler le respect du RGPD, informer et conseiller le responsable du traitement des données ⁽⁹⁾. Vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.).
• Mener une analyse d’impact ⁽²⁾.
Réalisé par un expert en collaboration avec le DPO, le privacy impact assessment (PIA) contient :
– une description systématique des opérations de traitement envisagées et les finalités du traitement ;
– une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
– une évaluation des risques sur les droits et libertés des personnes concernées ;
– les mesures envisagées pour faire face aux risques ; 
– la preuve du respect du règlement ⁽¹⁰⁾.

De nouvelles habitudes à prendre

L’introduction, dans la loi française, des régulations européennes en matière de traitement des données apporte de nombreux changements dans les usages et pratiques des professionnels de santé. Si les obligations les plus drastiques ne concernent que les maisons de santé ou les gros réseaux de praticiens, de nouvelles habitudes sont à prendre pour tout le monde, même en exercice individuel. Les principes énoncés dans le RGPD sont donc l’occasion de réorganiser vos processus internes d’archivage et de gestion. 
Utilisation systématique d’un mot de passe complexe, clause de confidentialité du personnel assistant ou ajustement des contrats avec vos prestataires de services ⁽²⁾ (éditeur de logiciel, plateforme de prise de rendez-vous) sont autant d’obligations nouvelles pour respecter toujours plus les droits des patients.
Il ne faut pas en effet oublier qu’au-delà de l’obligation légale, ne pas protéger ses données de santé, c’est exposer les patients aux conséquences d’un piratage.

Un patient vous ayant confié ses données peut à tout moment et sans justification retirer son consentement, et vous en faire part en personne, par voie postale, ou par courrier électronique, en apportant preuve de son identité. Vous avez alors un mois pour accéder à sa demande et modifier ou supprimer définitivement ses données de votre système informatique, et l’en notifier ⁽¹²⁾. 
Il est donc important de mettre en place un système d’archivage efficace rassemblant toutes les données appartenant à un patient dans un même dossier, afin d’en simplifier la suppression le cas échéant. Archives d’ordonnances, copies de feuilles de remboursement, dossier médical complet sont autant d’éléments dont il faut tenir registre pour mieux les supprimer.

Références
1. Agence Française de la Santé Numérique. Le règlement européen sur la protection des données personnelles (RGPD) vous concerne. Novembre 2017.
2. CNIL. RGPD et professionnels de santé libéraux : ce que vous devez savoir. 1 juin 2018.
https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux-ce-que-vous-devez-savoir - Site consulté le 17 juillet 2018.
3. Economie.gouv.fr Entreprises, quelles sont vos obligations concernant les données personnelles ? 9 Novembre 2016.
https://www.economie.gouv.fr/entreprises/entreprises-obligations-donnees-personnelles - Site consulté le 17 juillet 2018.
4. CNIL. Qu’est-ce ce qu’une donnée de santé ? https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante - Site consulté le 17 juillet 2018.
5. Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
https://www.legifrance.gouv.fr/eli/loi/2018/6/20/JUSC1732261L/jo/texte
6. CSMF. RGPD : vous avez des règles à respecter ! http://www.csmf.org/rgpd-vous-avez-des-regles-respecter - Site consulté le 17 juillet 2018.
7. CNIL. RGPD : par où commencer. https://www.cnil.fr/fr/rgpd-par-ou-commencer - Site consulté le 17 juillet 2018.
8. Code de la santé publique - Article L1111-8-2.
https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000031921128&dateTexte=&categorieLien=cid
9. CNIL. Le registre des activités de traitement. https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement - Site consulté le 17 juillet 2018.
10. CNIL. Ce qu'il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD). 6 novembre 2018.
https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd - Site consulté le 15 novembre 2018.
11. CNIL. Vigilance : démarchages trompeurs « Mise en conformité RGPD ». 7 Juin 2018.
https://www.cnil.fr/fr/vigilance-demarchages-trompeurs-mise-en-conformite-rgpd - Site consulté le 17 juillet 2018.
12. CNIL. RGPD. Chapitre III - Droits de la personne concernée. Journal officiel de l’Union européenne, L 119. 4 mai 2016.