Respect du RGPD : les règles à suivre pour les médecins
Les médecins sont concernés par le respect du Règlement général sur la protection des données à caractère personnel (RGPD) et de la loi française "informatique et libertés". Quels sont les réflexes à adopter pour être conforme aux règles qu'ils imposent ? On fait le point.
Que l’on exerce à titre individuel, en cabinet groupé ou en maison de santé, tout médecin est concerné par le respect du Règlement général sur la protection des données à caractère personnel (RGPD), ainsi que la loi française "informatique et libertés".
Les données de santé traitées quotidiennement sont considérées comme étant "sensibles" par le RGPD, en vertu de son article 9. Leur traitement est en principe interdit, mais le RGPD et la loi "informatique et libertés" prévoient des exceptions strictement encadrées. Elles nécessitent une vigilance accrue du fait de leur lien avec la vie privée et intime des patients. L’autorité française de contrôle du respect du RGPD, la Commission nationale de l’informatique et des libertés (CNIL), a déjà eu l’occasion de condamner le non-respect de l’obligation de sécurité et de confidentialité des données traitées par un médecin libéral.
Entre questionnaire de santé à remplir par le patient préalablement au rendez-vous médical, communication des informations de santé sur un patient à des confrères, ou encore réalisation de statistiques, quels sont les réflexes à adopter pour être conforme au RGPD et surtout, manier les informations personnelles des patients avec précaution ? On fait le point.
1 - Quelles informations peut-on collecter dans un questionnaire de santé ?
Conformément au principe de minimisation des données, il n’est possible de collecter des données personnelles qu’à la condition qu’elles soient pertinentes et nécessaires aux besoins du praticien de santé.
A ce titre, sont généralement considérées comme répondant à ces critères les informations liées :
À l’état de santé du patient : poids, taille, antécédents médicaux, résultats d’examens, etc.
Aux habitudes de vie du patient : exercice physique, régime alimentaire, etc.
Il est rappelé que seules les données nécessaires au diagnostic et aux soins du patient peuvent être collectées et traitées. A défaut, les informations collectées sont considérées comme dénuées de base légale et, par conséquent, recueillies de façon illicite. Dès lors, cela constitue un manquement aux obligations du RGPD qui peut être sanctionné.
A titre d’exemple, pour un premier rendez-vous avec un patient, il apparaît disproportionné de lui demander l’ensemble de ses antécédents et traitements médicaux, surtout si le motif de consultation est inconnu.
Il convient d’éviter les questionnaires de santé généralistes ayant vocation à recueillir l’ensemble de l’historique médical du patient. Dans un tel cas, le médecin s’expose à une plainte, laquelle peut déboucher sur un contrôle de la part de la CNIL, ainsi qu'à des sanctions éventuelles (en plus du risque réputationnel).
Rappelons qu’au titre du RGPD, le patient dispose de droits lui permettant notamment d’accéder à son dossier médical. A la demande du patient, le médecin est tenu de lui adresser une copie des informations personnelles dont il dispose sur lui.
2 - Peut-on communiquer des données de santé à des confrères ?
Dans la profession, il est d’usage de rédiger et d’adresser des courriers à un confrère afin de permettre au patient de bénéficier d’une continuité de soins.
Dans le même temps, la facilité d’usage de messageries instantanées telles que WhatsApp, qui permet d’envoyer des notes vocales notamment, peut tenter certains praticiens pour faire le point sur la situation d’un patient, à destination d’un confrère à qui l’on a l’habitude d’adresser ses patients. Or, une telle pratique n’apparaît ni conforme au RGPD (au regard du principe de sécurité et de confidentialité des données), ni aux dispositions du code de la santé publique qui requiert l’utilisation d’un hébergeur de données de santé certifié pour transférer ce type d’informations personnelles.
3 - Comment sécuriser les données des patients ?
Au regard du RGPD, le professionnel de santé est considéré comme étant responsable de traitement dans la mesure où il définit les objectifs et les moyens du traitement de données. Il lui incombe donc de veiller à ce que les informations de santé recueillies restent confidentielles et soient traitées dans le respect de leur sécurité.
A ce titre, tout prestataire de services et tout logiciel utilisé auxquels le médecin fait appel doit également être conforme au RGPD. Il appartient au praticien de s’en assurer, notamment en inspectant les clauses contractuelles pour qu’elles soient conformes aux dispositions du RGPD.
4 - Comment respecter les droits des patients ?
Les patients disposent des droits d’accès, de rectification, de portabilité, d’opposition, d’effacement, de limitation et de retrait de leur consentement, outre les droits liés aux consignes qu’ils peuvent donner sur le sort de leurs données à leur décès.
Lorsqu’un patient demande l’accès à son dossier médical, le professionnel de santé est tenu de lui répondre sous un délai strict d’un mois. La CNIL a déjà eu l’occasion de sanctionner un praticien n’ayant pas donné suite à une demande d’accès au dossier médical. Les droits susmentionnés sont en effet considérés comme essentiels par la CNIL.
5 - Dans quel cas la désignation d’un(e) délégué(e) à la protection des données est-il obligatoire ?
Le ou la délégué(e) à la protection des données est notamment chargé(e) de conseiller et d’informer les responsables de traitement de données sur les opérations menées au sein du cabinet médical. Il est obligatoire de désigner un(e) délégué(e) à la protection des données lorsqu’un nombre important de données de santé sensibles sont traitées.
La CNIL estime que les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir de 10 000 patients par an, sont concernés par l’obligation de désigner un(e) délégué(e) à la protection des données (outre l’obligation de mener une analyse d’impact sur la vie privée des personnes).
6 - Quelles sont les sanctions prévues par le RGPD en cas de manquement ?
A la suite d’un contrôle, qui peut être initié à l’issue du signalement d’un patient par exemple, la CNIL est susceptible d'initier une procédure de sanction et de prononcer, en fonction de l'importance des manquements :
Un rappel à l’ordre ;
Une mise en demeure – rendue publique ou non - de se mettre en conformité dans un certain délai ;
Une injonction de se mettre en conformité ;
Une suspension du traitement de données ou son interdiction ;
Une amende administrative dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Avant toute démarche visant à collecter des informations personnelles (par exemple, un questionnaire de santé, recueil d’avis, téléconsultation, développement d’application logicielle ou web, site internet, solution innovante, etc.), il est recommandé de prendre attache avec votre délégué(e) à la protection des données ou conseil afin qu’il puisse vérifier la conformité de celle-ci, vous guider et ainsi, vous éviter de vous exposer à un risque juridique.
Enfin, il est à noter que la CNIL a établi un référentiel destiné à la gestion des cabinets médicaux et paramédicaux mis en œuvre à des fins de prévention, de diagnostic ou de gestion administrative dans sa délibération n°2020-081 du 18 juin 2020.
Articles associés
La sélection de la rédaction