RGPD

Publiée 12 octobre 2018

réglementation RGPD digital 

Le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai 2018. Ce texte qui encadre la collecte et le traitement des données à caractère personnel s’applique aussi aux professionnels de santé libéraux. Ces derniers sont en effet amenés à recueillir et à émettre un certain nombre d’informations sur leurs patients dans le cadre de leur suivi. Ces dernières sont ensuite intégrées dans leur dossier, numérique ou papier. Ils collectent également des données sur le personnel qu’ils emploient, leurs fournisseurs, …. Autant d’informations qui sont considérées comme des données personnelles, donc sensibles. 
La CNIL (Commission nationale de l’informatique et des libertés) et le Conseil national de l’Ordre des médecins viennent de publier un guide pour aider les médecins à se mettre en conformité. Nous vous en présentons les grandes lignes. Faites attention également aux tentatives de fraude au RGPD qui se multiplient.

Des mesures souvent de bon sens

Le guide dresse la liste des bonnes pratiques à respecter pour le traitement réservé aux données concernant les patients :

  • Limiter les informations collectées au nécessaire, c’est-à-dire à l’activité de prévention, de diagnostic et de soin. Ces données concernent l’identification du patient, le numéro de sécurité sociale, la situation de famille, et selon les contextes, la vie professionnelle, la santé (historique médical, des soins, diagnostics médicaux, …), et les habitudes de vie.
  • Utiliser les dossiers patients conformément à leurs finalités (pour le suivi) ; Toute utilisation commerciale est interdite bien évidemment.
  • Supprimer les dossiers patients et de manière générale toute information ayant dépassé la durée de conservation préconisée ; le Conseil national de l’Ordre des médecins recommande de s’aligner sur les délais de conservation prévus pour les dossiers médicaux des établissements de santé : 20 ans à compter de la date de la dernière consultation du patient, jusqu’à l’âge minimum de 28 ans pour un patient mineur, …
  • Prendre les précautions utiles pour sécuriser et protéger les dossiers « patients » et les données de santé ; Si vous faites appel à un prestataire, il faut signer un contrat de sous-traitance comprenant différentes mentions sur la confidentialité des données, la sécurité, …
  • Informer les patients de l’existence des dossiers et s’assurer du respect de leurs droits, soit par voie d’affichage dans la salle d’attente, soit par la remise d’un document spécifique.
  • Tenir à jour un registre des activités de « traitements » recensant tous les traitements que vous mettez en œuvre dans le cadre de votre exercice.
En cas de non-respect du RGPD, le professionnel de santé peut faire l'objet d'une sanction administrative de la part de la CNIL, et même d'une sanction pénale. Il est donc impératif de se mettre en conformité et de le prouver.

Le guide donne également le cadre à appliquer à la prise de rendez-vous (si elle est confiée à un prestataire), à l’utilisation d’une messagerie électronique (une messagerie de santé sécurisée par exemple), aux téléphones portables et tablettes, et enfin à la télémédecine. 

Attention aux arnaques et aux cyber-attaques

Avec l’entrée en vigueur du RGPD, les professionnels de santé doivent se montrer vigilants aux sollicitations qu’ils peuvent recevoir, et notamment aux démarchages frauduleux au titre de la mise en conformité du nouveau règlement. 
Des courriers avec en tête « Mise en conformité – dernier rappel » sont ainsi envoyés, invitant les récipiendaires à appeler un numéro. Ce qu’il faut évidemment ne pas faire. Sur Twitter, des médecins se plaignent ainsi depuis plusieurs mois d’avoir reçu ce type de courrier, comme @GingeryDeer, médecin dans le Nord, le 6 septembre dernier. Et, ils font passer le message à leurs followers.
Si la lecture du guide ne vous suffit pas, et si vous souhaitez faire appel à une société extérieure pour de l’aide, renseignez-vous sur elle, et dans le doute, contactez la CNIL (01 53 73 22 22).

Les professions médicales ne peuvent plus ignorer qu’elles doivent se protéger contre les attaques sur Internet et le piratage des fichiers.

Si ce type d’incident se produit, vous pouvez contacter le dispositif d’assistance aux victimes d’actes de cybermalveillance : cybermalveillance.gouv.fr
Surtout, vous devez impérativement déposer plainte auprès de la police, de la gendarmerie ou par courrier au procureur de la République du Tribunal de grande instance. Vous devez également en informer la CNIL. Vous disposez désormais de 72 heures pour signaler l’incident à votre régulateur sous peine de payer une amende.

Afin que nos assurés soient rapidement couverts au regard de la réglementation et des risques encourus, nous proposons une garantie Cyber-risque en inclusion de nos contrats Multirisques professionnelles.

Contactez-nous

La Médicale propose des solutions d'assurances dédiées aux professionnels de la santé : Responsabilité Civile Professionnelle, Prévoyance, Multirisque Professionnelle mais aussi Santé, Auto, Habitation, Assurance Emprunteur... Quelle que soit votre activité, découvrez l'ensemble des offres de La Médicale pour vous couvrir aussi bien dans votre vie professionnelle que privée.