Site icon geer.fr

Le respect du RGPD dans les cabinet médicaux libéraux

docteur sur smartphone

Qu’en est il du respect de l’obligation des cabinets médicaux libéraux de se conformer au RGPD (ou Règlement Général pour la Protection des Données) ?

Quelles sont les obligations du cabinet médical au titre du RGPD ?

D’un point de vue légal, c’est assez clair et simple : comme tout entreprise, le cabinet médical doit être conforme avec le RGPD. Et pour rappel : le RGPD inverse la charge de la preuve. Cela veut dire qu’il ne suffit pas de ne rien avoir à se reprocher, on doit pouvoir prouver sa conformité. Concrètement, le cabinet médical, comme toute entreprise, doit faire une démarché explicite de mise en conformité.

Mais en fait pas exactement comme tout entreprise ! Le cabinet traite par définition des données de santé. Ces données ont un statut particulier selon le RGPD, dites « sensibles ». Par conséquent, elles doivent être traitées de façon encore plus sécurisée que des données personnelles « classiques ».

Le CNOM (Conseil National de l’Ordre des médecins) rappelle d’ailleurs très bien ici le référentiel que la CNIL a publié en juillet 2020 explicitement pour les cabinets médicaux. « En tant que responsables de traitements de données à caractère personnel, ils sont soumis aux dispositions RGPD… ».

Donc, il n’y a aucun doute sur le sujet.

La publication du CNOM et du CNIL au sujet du RGPD dans les cabinets médicaux

Le CNOM publie également une Q&A assez claire avec quelques points clés, voici les points « chauds » qui ne sont que rarement respectés (sauf démarché explicite) :

Comment mettre en conformité RGPD son cabinet médical ?

Probablement comme dans toute entreprise, la mise en conformité passe par :

1. La prise de conscience

Cela parait basic, mais dans « la vraie vie », comme pour beaucoup d’entreprises, la conscience que la conformité (pourtant obligatoire par la loi) nécessite une démarche explicite n’est pas donnée à tout le monde.

2. Le choix de la méthode

Certains médecins ou responsable de structure peuvent être tentés de faire la démarche tout seul, par peur des coûts dans le cas de faire appel à un prestataire. Personnellement, je trouve que c’est un peu comme avec l’auto-médication…il y a des cas où cela est raisonnable, d’autres pas. Considérant les enjeux et la technicité du sujet, il me semble que le challenge n’est pas simple…et un prestataire sera mieux armé pour traiter le sujet dans sa globalité.

3. Formation

Une bonne partie de la mise en conformité concernera la sécurisation des données. Par conséquent les règles de sécurité informatique (par ex. la gestion des mot de passe, l’authentification, le spam,…) sont élémentaires.

4. Utilisation du référentiel de la CNIL

Disponible sur le site de la CNIL ou ici.

5. Mise en oeuvre des moyens techniques

Dans les cas les plus simple :
– imposer l’utilisation des mot de passe de session
– utiliser un anti-malware performant
– activer le firewall
– organiser et tester la sauvegarde des données

6. Choix d’une cyber-assurance

Le risque de perte ou de fuite de données ne peut jamais être totalement éliminé. Dans ce cas les conséquences peuvent être difficile à gérer, et peuvent s’avérer coûteux par ex. :
– information de l’ensemble des personnes concernés
– déclaration à la CNIL
– fermeture du cabinet
La souscription d’une cyber-assurance peut couvrir ces frais le cas échéant. Les assurances ne couvrent pas seulement les risques en cas d’attaque, mais souvent également en cas de mauvaise manipulation ou même acte malveillant et donnent accès à des hotline 24/7.

Merci aux 472 lecteurs de cet article !

Quitter la version mobile