En votre qualité de professionnel de santé, vous êtes amené à recueillir ou à émettre des informations sur vos patients. De manière plus globale, vous collectez également des informations pour gérer votre cabinet (ex : gestion des fournisseurs, des personnels que vous employez, etc.).
Ce sont des données à caractère personnel car elles se rapportent à une personne physique identifiée ou identifiable (article 4 1 du RGPD).
Certaines sont d’ordre général comme le nom, le prénom, la date de naissance, l’adresse, le numéro de téléphone, des informations sur la vie personnelle du patient (ex : nombre d’enfants), sa couverture sociale…
D’autres, relatives à la santé du patient (pathologie, diagnostic, prescriptions, soins, etc…), sont considérées comme des données sensibles qui interviendront dans la prise en charge par les professionnels.
« Même si vous utilisez un logiciel de gestion de vos dossiers de patientèle, vous êtes responsable de traitement !»
En effet, que vous soyez médecin, chirurgien-dentiste, infirmier, kinésithérapeute, pharmacien, ostéopathe… pour toutes ces situations où vous traitez les données personnelles de vos patients, couvertes ou pas par le secret médical, vous êtes concernés par le RGPD car vous êtes le responsable des traitements de données de vos patients.
Les logiciels que vous employez, les hébergeurs de vos données, les plateformes que vous utilisez pour réaliser de la télémédecine ainsi que les services informatiques ont aussi des responsabilités mais ne sont seulement que des co-responsables ou des sous-traitants.
Vous restez responsable des données qui vous ont été confiées et à ce titre, vous devez vous assurer qu’ils présentent les garanties suffisantes pour assurer la protection de vos données à caractère personnel.
CONFORMIA est en mesure de vous apporter son expertise et ses conseils pour vous accompagner dans votre mise en conformité RGPD et assurer la protection adaptée de vos données de santé : contactez-nous !
Lorsque vous exercez seul à titre libéral, vous êtes le responsable de vos traitements.
Si vous exercez en cabinet médical, vous êtes responsables de vos traitements liés au suivi médical de vos patients et le cabinet médical est responsable des traitements liés à la gestion administrative de votre patientèle (secrétariat, prise de rendez-vous…).
De plus, si vous traitez des données de santé « à grande échelle » (ex : exercice au sein d’un réseau de professionnels, maison de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc), vous devez désigner un Délégué à la protection des données (DPO – Data Protection Officer).
CONFORMIA peut être votre DPO externe : contactez-nous !
La CNIL a axé son action de contrôle sur 3 thématiques prioritaires en lien avec les préoccupations quotidiennes des Français. L’une de ces priorités est relative à la protection des données de santé.
L’actualité récente en matière de santé (télémédecine, objets de santé connectés, violations de données personnelles au sein d’établissements publics…) démontre l’attention qui doit être portée à la sécurité des traitements de santé.
Les données de santé sont des données sensibles, qui font l’objet d’une protection spécifique par les textes (RGPD, loi Informatique et libertés, Code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes.
La CNIL souhaite s’intéresser plus particulièrement aux mesures de sécurité mises en œuvre par les professionnels de santé ou pour leur compte, par leurs sous-traitants (extrait de la Stratégie de contrôle de la CNIL du 12 mars 2020).
Des exemples de conséquences de violations de données de santé et de sanctions :
En Finlande, des dossiers de patients de médecins psychiatres ont fait l’objet d’un piratage informatique : une rançon en bitcoin a été réclamée à des patients pour empêcher la diffusion de leur dossier.
En France, un chirurgien-dentiste avait refusé de remettre son dossier médical à son patient malgré une mise en demeure : le praticien a été condamné à une amende de 10 000 euros.
Au Portugal, un hôpital a été sanctionné d’une amende de 400 000 euros pour manquements au RGPD ; les accès aux données des patients étaient possibles par des insuffisances dans la gestion des comptes utilisateurs du réseau (habilitation, gestion des profils utilisateurs…).