Les obligations des médecins sur la protection des données personnelles

Les obligations des médecins sur la protection des données personnelles
05 mars 2021
Publié par Équipe NetExplorer

Face aux nombreux dossiers de violation de vie privée enregistrés un peu partout en Europe dans les années 2010, l'Union européenne, à travers le Règlement Général sur la Protection des Données (RGPD), a décidé d'encadrer l'exploitation des informations personnelles. Votée en 2018, cette loi ne concerne cependant pas que les données publiées sur internet. Elle prend également en compte les informations relatives à la santé. Avec ce règlement, les spécialistes du domaine déjà soumis au secret professionnel ont en plus des obligations quant à la gestion qu'ils font des informations de leurs patients. Nous vous en disons davantage sur le sujet.

Qu'est-ce qu'une donnée personnelle médicale ?

Selon le Règlement Général sur la Protection des données (RGPD), une donnée privée correspond à toute information permettant d'identifier directement ou indirectement un individu. Dans le domaine médical, la notion de données privées concerne toutes les informations données par un malade et celles qui découlent des examens et traitements qu'il a subis. Voilà pourquoi le médecin qui consulte a l'obligation de les protéger.

Sont considérées comme données privées des informations comme :

  • Les noms et prénoms, adresses, numéros de téléphone ;
  • Nombre d'enfants, assurance maladie ;
  • Pathologies, prescriptions, soins ;
  • Numéro de sécurité sociale.

NetExplorer, à travers sa certification HDS, a les habilitations nécessaires pour le traitement et le stockage des informations personnelles de santé.

Obligations des professionnels de santé concernant les données personnelles

Quelles sont les obligations des professionnels de santé vis-à-vis des données des patients ?

Selon le RGPD, le patient est au cœur de la gestion de ses données par le médecin. Voilà pourquoi la loi exige que ce dernier informe son client de l'existence de ces dossiers. La notification peut se faire par affichage, sous la forme d'un dépliant ou tout autre canal légal. Ce document doit préciser l'identité du professionnel de santé et les droits du patient par rapport à ses données. Il doit également l'informer de l'utilisation qui sera faite des informations prélevées ainsi que de la durée de leur conservation.

De façon standard, les médecins libéraux peuvent garder pendant 20 ans à compter de la dernière consultation, des données recueillies chez leurs patients. Il existe toutefois quelques dérogations en la matière. Le délai de conservation des documents est en effet prolongé pour les mineurs qui malgré les 20 ans prescrits ne sont pas encore âgés de 28 ans. Les dossiers d'un client qui décède moins de 10 ans après la dernière consultation sont maintenus durant une décennie supplémentaire.

Depuis l'application du RGPD, les praticiens libéraux de la santé ne sont plus obligés de faire des engagements de conformité auprès de la CNIL. Ils doivent cependant garder les traces de toutes les activités qu'ils mènent dans l'exercice de leur métier dans un registre.

Quelles dispositions pour quels canaux ?

Il existe plusieurs moyens de communication entre le médecin et ses patients. Voici ce que prévoit le RGPD dans chacun des cas suivants.

Emails/courriels

Selon le contexte, un médecin peut discuter par messagerie électronique avec ses clients. Si cela arrive, il doit s'assurer que leurs échanges sont parfaitement sécurisés. Les applications personnalisées de santé sont conseillées dans ce cas. À défaut, nous vous recommandons d'utiliser une messagerie sécurisée. Assurez-vous surtout que les pièces jointes de vos patients que vous partagez sont chiffrées.

Les terminaux mobiles

Le nombre de mobinautes ne cesse d'augmenter avec l'évolution technologique. Pour se rapprocher de leurs patients, les professionnels de santé se servent des terminaux mobiles (smartphones ou tablettes) pour discuter. Si cela arrive, vous devez vous assurer que le terminal que vous utilisez avec votre patient est sécurisé par un mot de passe. De plus, évitez de garder sur votre appareil mobile les informations médicales des personnes que vous traitez.

La télémédecine

Il s'agit d'une situation particulière de pratique de la médecine. Elle exige le partage du dossier médical du patient avec le spécialiste qui doit le traiter à distance. La télémédecine entraîne donc une forme autorisée de violation des données utilisateurs. Voilà pourquoi le RGPD l'encadre. Il vous oblige en tant qu'initiateur de l'opération à vous assurer de l'intégrité du prestataire retenu. Il faut au préalable informer et avoir l'accord de votre patient.

Les recherches

Pour une raison ou une autre, vous pouvez décider de faire des études statistiques sur les dossiers de vos patients. Il s'agit d'une opération qui, lorsqu'elle n'est pas encadrée, peut entraîner une atteinte à leur vie privée. Voilà pourquoi le règlement de protection des données personnelles vous oblige à travailler selon une méthodologie claire et responsable.

Vous devez au premier abord tenir vos clients informés. Il faudra ensuite les convaincre du traitement objectif de leurs données. Vous devez ensuite estimer et analyser l'impact de ces travaux de recherche ou d'étude sur la violation de leur vie privée. Les mêmes dispositions sont à prendre dans le cas où vous confiez ces travaux à un tiers.

Obligations des médecins concernant les données de santé

Quelles sont les sanctions prévues par la loi ?

En France, la CNIL a le pouvoir de sanctionner les médecins libéraux qui ne respectent pas la déontologie prescrite par le RGPD, dans le secteur médical. En fonction de la gravité du délit, les sanctions vont de la mise en demeure au paiement d'une somme pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel du médecin fautif.

Le non-respect du RGPD dans le domaine de la santé peut entraîner de surcroît des répercussions judiciaires. Les personnes physiques encourent 5 ans de prison et 500 000 euros d'amendes tandis que les personnes morales peuvent payer jusqu'à 1,5 million d'euros de pénalités.

Pour des services conformes au RGPD : faites confiance à NetExplorer

Le respect des procédures et la sécurisation des données sont les clés de voûte du RGPD en matière de santé. Vous conserver et traiter les données de santé de vos patients de matière sécurisée, vous pouvez solliciter les prestations d'un hébergeur de santé agréé comme NetExplorer. Notre outil « privacy by design » par exemple renforce la sécurité de vos données selon les bonnes pratiques de la CNIL. Nous vous proposons une plateforme bénéficiant de la certification HDS pour les données de santé, ce qui nous permet de mettre à votre disposition un espace de stockage et de traitement de ces données dans le cadre d'activités de diagnostic, de soin et de suivi médico-social.

Le respect des données utilisateurs est primordial dans le secteur de la santé. Vous devez donc pour cela mettre en place les mesures sécuritaires adéquates pour protéger les informations de vos patients dans l'exercice de votre fonction. NetExplorer vous accompagne avec un hébergement certifié HDS et ISO ISO 27001.

Partager cet article :