Guide : les bonnes pratiques RGPD en cabinet médical

Ce texte juridique, dont l'application est obligatoire dans tous les pays de l'Union Européenne depuis 2018, renouvelle les obligations qui existaient en France depuis 1978 (avec la Loi dite Informatique et Libertés). On y retrouve notamment la catégorie des données de santé, qui est un sous-ensemble des données sensibles, c'est-à-dire des données personnelles bénéficiant d'une protection renforcée.

En juin 2018, le Conseil National de l'Ordre des Médecins (CNOM) a rédigé un premier référentiel, pour la mise en conformité des médecins en exercice libéral. Il y était expliqué comment mettre en œuvre les obligations prévues par la nouvelle règlementation sur la protection des données personnelles. Depuis, la Commission Nationale de l'Informatique et des Libertés (CNIL) a publié un second référentiel, "relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux". A partir de ces textes, nous avons établi un guide en 4 étapes de mise en conformité au RGPD à disposition des professionnels de santé libéraux.

1. Le registre de traitement

La première étape de la mise en conformité consiste à cartographier ses traitements. "Est-ce que je traite des données personnelles ?", et si oui, "lesquelles ?", sont les premières questions à se poser. Le grand principe apporté par le RGPD est en effet celui de l'Accountability : ce principe consiste à faire reposer sur le responsable de traitement (c'est-à-dire, ici, le professionnel de santé) l'obligation de pouvoir fournir à tout moment la preuve de sa conformité. En droit, prouver c’est bien souvent documenter. Un des éléments essentiels de cette documentation est le registre de traitement. Ce registre est un document dans lequel doivent figurer tous les traitements. Ils sont généralement classés dans des "fiches de traitement" ; une fiche étant rattachée à une finalité. En effet, il ne suffit pas de mentionner que l'on traite des données personnelles (nom, prénom, numéro de téléphone, etc.) pour que le registre soit complet. Il doit apparaître sur chaque fiche de traitement : la finalité du traitement, la catégorie de personnes concernées par le traitement, la catégorie de données traitées, et la durée de conservation de ces données. De même, il doit y être mentionnées les mesures de sécurité adoptées afin de protéger ces données. En effet, la sécurité des données est un point essentiel en matière de conformité au RGPD, nous en parlerons dans la dernière étape.

2. Les relations contractuelles

En plus de son registre de traitement, le professionnel de santé doit tenir une documentation relative à ses relations contractuelles. Au cours de l'exercice de sa profession, il est amené à confier des données personnelles à ses sous-traitants (un dentiste peut envoyer des données personnelles à son prothésiste par exemple), il peut aussi partager son espace de travail avec d'autres professionnels de santé (s'il n'y a pas de relation salariale entre eux, on parlera alors de responsables conjoints de traitement) ou encore, il utilise des logiciels d'accompagnement (dans la gestion de son cabinet par exemple). Toutes ces relations contractuelles doivent être documentées. En effet, il faut s’assurer que les personnes qui traitent des données personnelles pour le compte de, le font (lesdits sous-traitants) en adoptant un comportement respectueux du RGPD. De même, il est important que la répartition des responsabilités entre les personnes ait été clairement déterminée en amont. Enfin, les données personnelles des employées aussi sont concernées (secrétaire médicale, assistant(e), etc.) . Il est donc essentiel de les inscrire dans le registre de traitement, et de veiller à respecter leurs droits.

3. Les droits des personnes concernées

Vous l'aurez compris, l'objectif du RGPD est de faire en sorte que le responsable de traitement fasse un usage adéquat des données que la personne concernée lui a confiées (la personne concernée pouvant être un patient, un employé, etc.). En effet, il ne faut pas oublier que les données personnelles sont relatives à une personne, par définition. Cette personne (appelée juridiquement "la personne concernée") a des droits relativement à ses données. Ces droits, le responsable de traitement doit s'assurer qu'elle peut les exercer. Ainsi, il doit informer la personne concernée que ses données personnelles sont traitées, ce pourquoi elles sont traitées (la finalité du traitement), et enfin les droits qu'elle a relativement à ce traitement de ses données (droit d'accès, de rectification, de limitation, d'opposition, ...). En général, une affiche dans la salle d'attente du cabinet avec les bonnes mentions suffit. Par la suite, il restera bien sûr à donner effet aux demandes d'exercice de droit faites par la personne concernée lorsqu'elles sont légitimes.

4. La sécurité des données

Enfin, comme nous l'avons évoqué, le responsable de traitement doit assurer la sécurité des données qui lui ont été confiées. En effet, les données personnelles sont des informations sur la vie d'une personne et tout particulièrement les données de santé. De manière générale, la sécurité de l'information repose sur trois piliers : la disponibilité (possibilité d'accéder à l'information), l'intégrité (absence de modification de l'information) et la confidentialité (seuls les destinataires de l'information en ont connaissance). Le professionnel de santé doit donc s'assurer de protéger les données qu'il traite contre les atteintes à ces trois piliers. Pour cela, il doit mettre en œuvre des mesures techniques (ex : un antivirus de qualité) et organisationnelles (ex : une gestion des accès différentiés au système d'information). Une atteinte à l'une de ces trois composantes de la sécurité informatique peut empêcher le professionnel de santé de poursuivre son activité (s'il ne peut plus accéder aux dossiers de ses patients par exemple), ou encore porter atteinte à la vie privée de ses patients (c'est le cas lorsque des données personnelles les concernant sont divulguées). Ces atteintes peuvent notamment être causées par un ransomware, un type d'attaque informatique très courant dans le secteur de la santé. En tant que responsable de traitement, le professionnel de santé doit non seulement prémunir son système d'information contre ces atteintes, mais aussi, si un incident survient, il devra en informer la CNIL, autorité de contrôle en matière de protection des données personnelles. En décembre 2020, la CNIL a ainsi sanctionné deux médecins à des amendes de plusieurs milliers d'euros suite à un incident de sécurité dû à un mauvais paramétrage des outils informatiques qui avaient rendu publiques de nombreuses images médicales.