Situation : Le Docteur X a eu connaissance qu’un nouveau règlement européen sur la protection des données personnelles (RGPD) était applicable depuis le 25 mai dernier et s’interroge sur les éventuels impacts de ce RGPD sur son activité professionnelle.
Les questions que doit se poser le Docteur X
1/ Est-il concerné par le RGPD ?
Le Docteur X est concerné par le RGPD, s’il exerce son activité à titre libéral.
2/ Quelles sont les données personnelles traitées par le Docteur X qui sont concernées par le RGPD ?
Le RGPD s’applique à toutes les données personnelles, c’est-à-dire à toutes informations se rapportant à une personne physique identifiée ou identifiable, qu’elles soient sur support papier ou dématérialisées. En pratique, le Docteur X est amené à collecter et traiter les données personnelles :
• De ses patients : et principalement les nom, prénom, adresse, téléphone, informations relatives aux problèmes de santé, numéro de sécurité sociale, historique médical, le cas échéant, profession, situation familiale…
• De ses salariés : et principalement les nom, prénom, adresse, téléphone, salaire, RIB, numéro de sécurité sociale…
• De ses fournisseurs : et principalement les nom, prénom, fonction, téléphone professionnel et courriel professionnel de ses contacts.
Ce que doit faire le Docteur X
1/ Quelles sont les principales conditions pour collecter et traiter les données personnelles ?
• Informer les patients/salariés/fournisseurs : le Docteur X devra informer les personnes auprès de qui il collecte les données des raisons pour lesquelles il collecte et traite leurs données. Pour les patients, il peut s’agir d’un affichage dans la salle d’attente.
• Limiter les données personnelles collectées à ce qui est nécessaire : les données personnelles que le Docteur X collecte ou traite doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Il convient préalablement à la collecte de déterminer précisément les raisons de la collecte et du futur traitement.
• Tenir un registre des activités de traitement : ce registre recense l’ensemble des traitements que le Docteur X met en œuvre et permet de disposer d’une vue d’ensemble de ce qu’il fait avec les données personnelles. Ce registre est un outil de pilotage et de démonstration de la conformité du Docteur X au RGPD et le premier document demandé par la CNIL en cas de contrôle.
• Mettre en place des mesures appropriées de sécurité afin de sécuriser et protéger les données personnelles : le Docteur X devra mettre en place les principales mesures suivantes : utilisation d’un mot de passe conforme aux recommandations de la CNIL, verrouillage de la session information automatiquement après 30 minutes d’inactivité, antivirus, pare-feu, sauvegarder régulièrement les données, conserver les sauvegardes dans un lieu sécurité externe au cabinet, chiffrement des données en utilisant un logiciel adapté, minimiser la connexion d’appareils non professionnels au réseau, s’authentifier via la carte de professionnel de santé et authentifier son personnel au moyen d’un mot de passe à usage individuel, placer les dossiers papiers patients dans un lieu sécurisé, ne pas conserver de données relatives à la santé des patients sur son téléphone mobile ou tablette, privilégier les services de messagerie électronique sécurisée.
Si le Docteur X utilise un logiciel SaaS pour ses données patients (c’est-à-dire que les données sont hébergées dans le cloud par un prestataire), le Docteur X doit s’assurer que ce prestataire est agréé ou certifié pour l’hébergement de données de santé.
• Aviser la CNIL de toute violation de données (destruction, perte, altération, divulgation non autorisée de données personnelles) : le Docteur X doit notifier à la CNIL toute violation de données personnelles et si possible dans les 72 heures au plus tard après en avoir pris connaissance.
S’il exerce à titre individuel, le Docteur X ne sera pas contraint de désigner un délégué à la protection des données, c’est-à-dire une personne chargée de mettre en œuvre la conformité du RGPD au sein du cabinet médical, sauf s’il traite des données de santé à grande échelle.
2/ Pour quelle durée peut-il conserver les données personnelles ?
• Concernant les données des patients : le Conseil national de l’Ordre des médecins préconise de conserver les données pendant une durée de 20 ans à compter de la date de la dernière consultation du patient.
• Concernant les données des salariés : le Docteur X peut conserver les données de ses salariés jusqu’à ce qu’ils quittent le cabinet. Au terme du contrat de travail, il est recommandé d’archiver de manière intermédiaire les données des salariés (c’est-à-dire de les sortir de la base active) en raison des délais de prescription et des éventuelles actions en responsabilité.
• Concernant les données des fournisseurs : le Docteur X peut conserver ces données pendant la durée de la relation commerciale.
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes
« Ils savaient » : le chirurgien pédocriminel Le Scouarnec protégé par l'omerta médicale