docteur sur smartphone

Le respect du RGPD dans les cabinet médicaux libéraux

Qu’en est il du respect de l’obligation des cabinets médicaux libéraux de se conformer au RGPD (ou Règlement Général pour la Protection des Données) ?

Quelles sont les obligations du cabinet médical au titre du RGPD ?

D’un point de vue légal, c’est assez clair et simple : comme tout entreprise, le cabinet médical doit être conforme avec le RGPD. Et pour rappel : le RGPD inverse la charge de la preuve. Cela veut dire qu’il ne suffit pas de ne rien avoir à se reprocher, on doit pouvoir prouver sa conformité. Concrètement, le cabinet médical, comme toute entreprise, doit faire une démarché explicite de mise en conformité.

Mais en fait pas exactement comme tout entreprise ! Le cabinet traite par définition des données de santé. Ces données ont un statut particulier selon le RGPD, dites « sensibles ». Par conséquent, elles doivent être traitées de façon encore plus sécurisée que des données personnelles « classiques ».

Le CNOM (Conseil National de l’Ordre des médecins) rappelle d’ailleurs très bien ici le référentiel que la CNIL a publié en juillet 2020 explicitement pour les cabinets médicaux. « En tant que responsables de traitements de données à caractère personnel, ils sont soumis aux dispositions RGPD… ».

Donc, il n’y a aucun doute sur le sujet.

La publication du CNOM et du CNIL au sujet du RGPD dans les cabinets médicaux

Le CNOM publie également une Q&A assez claire avec quelques points clés, voici les points « chauds » qui ne sont que rarement respectés (sauf démarché explicite) :

  • Tenir un registre des traitements : une démarche pas très naturelle avant le RDPD, mais évidemment clé.
  • Sécuriser les données traitées (c’est à dire s’assurer que seul le médecin puisse y acceder et faire des sauvegardes également sécurisées). Heureusement, beaucoup de médecins comprennent la nécessité d’une sauvegarde. En revanche, elle est souvent sur une simple clé USB, sans être chiffrée, et quasiment jamais testée. L’ordinateur est souvent accéssible sans mot de passe (car, oui, c’est pénible de rentrer x fois par jour un mot de passe, complexe de surcroit. L’accès au logiciel de gestion du cabinet n’est pas nécessairement protégé par mot de passe et la lecture de la carte CPS.
  • Les prestataires de service ne doivent pas accéder aux dossiers des patients, afin de garantir le secret médical. Les données doivent être chiffrées afin que le prestataire puisse réaliser sa mission de maintenance sans pouvoir accéder aux données des patients.
    Je crois que mon obligation de secret professionnel m’oblige de m’abstenir de commentaire, mais vous l’aurez compris…la pratique n’est pas toujours celle qui est recommandée (ou obligatoire plutôt)…
  • La durée de conservation des données patients : d’une part, les données ne bénéficient pas toujours du soin nécessaire pour garantir leur conservation pendant 20 ans (ou plus selon les cas), mais surtout (et comme dans les entreprises), à l’expiration de ces délais, les données doivent être supprimées ou anonymisées pour être archivées.
  • Les patients doivent être informés des modalités du traitement de leurs données et de la manière dont ils peuvent exercer leurs droits.
  • Les mesures à mettre en place pour préserver la sécurité des données : notamment, la sécurisation des postes de travail, la sécurisation des échanges avec d’autres professionnels de santé et avec les patients.
    Ici je vois deux violations fréquentes supplémentaires :
    1. L’envoi de données via des moyens non sécurisés de type email classique (et non sécurisé comme MSSanté), SMS, WhatsApp,…entre médecins. Je pense que cette pratique est en baisse, mais l’ensemble des proffessionnels de santé ne disposant pas encore de MSSanté,…
    2. Idem mais envers des patients…car plus compliqué, car il n’y a pas encore d’outil généralisé (il est prévu dans le plan Ma Santé 2022) et difficile de refuser de communiquer par mail avec les patients…
  • Et le meilleur pour la fin : La désignation d’un DPO est obligatoire lorsqu’un cabinet de groupe partage son système d’information et gère plus de 10 000 patients par an…ce qui doit être le cas pour bon nombre de Maisons de Santé Pluridisciplinaires, ou MSP.

Comment mettre en conformité RGPD son cabinet médical ?

Probablement comme dans toute entreprise, la mise en conformité passe par :

1. La prise de conscience

Cela parait basic, mais dans « la vraie vie », comme pour beaucoup d’entreprises, la conscience que la conformité (pourtant obligatoire par la loi) nécessite une démarche explicite n’est pas donnée à tout le monde.

2. Le choix de la méthode

Certains médecins ou responsable de structure peuvent être tentés de faire la démarche tout seul, par peur des coûts dans le cas de faire appel à un prestataire. Personnellement, je trouve que c’est un peu comme avec l’auto-médication…il y a des cas où cela est raisonnable, d’autres pas. Considérant les enjeux et la technicité du sujet, il me semble que le challenge n’est pas simple…et un prestataire sera mieux armé pour traiter le sujet dans sa globalité.

3. Formation

Une bonne partie de la mise en conformité concernera la sécurisation des données. Par conséquent les règles de sécurité informatique (par ex. la gestion des mot de passe, l’authentification, le spam,…) sont élémentaires.

4. Utilisation du référentiel de la CNIL

Disponible sur le site de la CNIL ou ici.

5. Mise en oeuvre des moyens techniques

Dans les cas les plus simple :
– imposer l’utilisation des mot de passe de session
– utiliser un anti-malware performant
– activer le firewall
– organiser et tester la sauvegarde des données

6. Choix d’une cyber-assurance

Le risque de perte ou de fuite de données ne peut jamais être totalement éliminé. Dans ce cas les conséquences peuvent être difficile à gérer, et peuvent s’avérer coûteux par ex. :
– information de l’ensemble des personnes concernés
– déclaration à la CNIL
– fermeture du cabinet
La souscription d’une cyber-assurance peut couvrir ces frais le cas échéant. Les assurances ne couvrent pas seulement les risques en cas d’attaque, mais souvent également en cas de mauvaise manipulation ou même acte malveillant et donnent accès à des hotline 24/7.

Merci aux 193 lecteurs de cet article !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.