Qu’en est il de l’obligation des médecins libéraux de se conformer au Règlement Général pour la Protection des Données ?

D’un point de vue légal, c’est assez clair et simple : comme tout entreprise, le cabinet médical doit être conforme avec le RGPD, et un rappel important, le RGPD inverse la charge de la preuve, ce qui veut dire qu’il ne suffit pas de ne rien avoir à se reprocher, on doit pouvoir prouver sa conformité, c’est à dire que le cabinet médical, comme toute entreprise, doit faire une démarché explicite de mise en conformité.

Mais en fait non, pas comme tout entreprise, le cabinet qui traite par définition des données de santé qui ont un statut particulier selon le RGPD, dites sensibles, doivent être traitées de façon encore plus explicitement sécurisée que des données personnelles « classiques ».

Le CNOM (Conseil National de l’Ordre des médecins) rappelle d’ailleurs très bien ici le référentiel que la CNIL a publié en juillet 2020 explicitement pour les cabinets médicaux et je cite « En tant que responsables de traitements de données à caractère personnel, ils sont soumis aux dispositions du règlement général sur la protection des données (RGPD) … ».

Donc, il n’y a aucun doute sur le sujet.

Le CNOM publie également une Q&A assez claire avec quelques points clés dont je résume ci-après les points « chauds » qui ne sont que rarement respectés (sauf démarché explicite) :

  • Tenir un registre des traitements : une démarche pas très naturelle avant le RDPD, mais évidemment clé.
  • Sécuriser les données traitées (c’est à dire s’assurer que seul le médecin puisse y acceder et faire des sauvegardes également sécurisées) : Heureusement, beaucoup de médecins comprennent la nécessité d’une sauvegarde, mais elle est souvent sur une simple clé USB, sans être chiffrée, et jamais testée…l’ordinateur est souvent accéssible sans mot de passe (car, oui, c’est pénible de rentrer x fois par jour un mot de passe, complexe de surcroit), l’accès au logiciel de gestion du cabinet n’est pas nécessairement protégé par mot de passe et la lecture de la carte CPS,…
  • Les prestataires de service ne doivent pas accéder aux dossiers des patients, afin de garantir le secret médical et les données doivent être chiffrées afin que le prestataire puisse réaliser sa mission de maintenance sans accéder aux données des patients.
    Je crois que mon obligation de secret professionnel m’oblige de m’abstenir de commentaire, mais vous l’aurez compris…la pratique n’est pas toujours celle qui est recommandée, ou obligatoire plutôt…
  • La durée de conservation des données patients : d’une part, les données ne bénéficient pas toujours du soin nécessaire pour garantir leur conservation pendant 20 ans (ou plus selon les cas), mais surtout (et comme dans les entreprises), à l’expiration de ces délais, les données doivent être supprimées ou anonymisées pour être archivées.
  • Les patients doivent être informés des modalités du traitement de leurs données et de la manière dont ils peuvent exercer leurs droits.
  • Les mesures à mettre en place pour préserver la sécurité des données : notamment, la sécurisation des postes de travail, la sécurisation des échanges avec d’autres professionnels de santé et avec les patients.
    Ici je vois deux violations fréquentes supplémentaires :
    1. L’envoi de données via des moyens non sécurisés de type email classique (et non sécurisé comme MSSanté), SMS, WhatsApp,…entre médecins. Je pense que cette pratique est en baisse, mais l’ensemble des proffessionnels de santé ne disposant pas encore de MSSanté,…
    2. Idem mais envers des patients…car plus compliqué, car il n’y a pas encore d’outil généralisé (il est prévu dans le plan Ma Santé 2022) et difficile de refuser de communiquer par mail avec les patients…
  • Et le meilleur pour la fin : La désignation d’un DPO est obligatoire lorsqu’un cabinet de groupe partage son système d’information et gère plus de 10 000 patients par an…ce qui doit être le cas pour bon nombre de Maisons de Santé Pluridisciplinaires, ou MSP.

Comment mettre en conformité RGPD son cabinet médical ?

Probablement comme dans toute entreprise, la mise en conformité passe par :

  1. La prise de conscience
    Cela parait basic, mais dans « la vraie vie », comme pour beaucoup d’entreprises, la conscience que la conformité (pourtant obligatoire par la loi) nécessite une démarche explicite n’est pas donnée à tout le monde.
  2. Le choix de la méthode
    Certains médecins ou responsable de structure peuvent être tentés de faire la démarche tout seul, par peur des coûts dans le cas de faire appel à un prestataire. Personnellement, je trouve que c’est un peu comme avec l’auto-médication…il y a des cas où cela est raisonnable, d’autres pas. Considérant les enjeux et la technicité du sujet, il me semble que le challenge n’est pas simple…et un prestataire sera mieux armé pour traiter le sujet dans sa globalité.
  3. Formation
    Une bonne partie de la mise en conformité concernera la sécurisation des données, et donc les règles de sécurité informatique (par ex. la gestion des mot de passe, l’authentification, le spam,…).
  4. Utilisation du référentiel de la CNIL
    Disponible sur le site de la CNIL ou ici.
  5. Mise en oeuvre des moyens techniques
    Dans les cas les plus simple :
    – imposer l’utilisation des mot de passe de session
    – utiliser un anti-malware performant
    – activer le firewall
    – organiser et tester la sauvegarde des données
  6. Choix d’une cyber-assurance
    Dans la mesure où le risque de perte ou de fuite de données ne peut jamais être totalement éliminé et dans ce cas les conséquences peuvent être difficile à gérer, et peuvent s’avérer coûteux par ex.
    – information de l’ensemble des personnes concernés
    – déclaration à la CNIL
    – fermeture du cabinet
    la souscription d’une cyber-assurance peut couvrir ces frais le cas échéant. Souvent, ces assurances ne couvrent pas seulement en cas d’attaque mais également en cas de mauvaise manipulation ou même acte malveillant et donnent accès à des hotline 24/7.

Merci aux 52 lecteurs de cet article !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.