RGPD au cabinet médical

En France, nous étions déjà soumis à la loi informatique et libertés (LIL) dont le règlement européen reprend les grands principes, les modernise et les généralise.
Contrairement à la LIL, le RGPD prévoit de fortes amendes (jusqu’à 4 % du chiffre d’affaires annuel) en cas de non-respect. Mais si les données que nous traitons sont indéniablement sensibles, nous ne sommes pas pour autant la cible première de ce règlement qui vise surtout à cadrer les démarches marketing et commerciales.

Tout d’abord, plus besoin de déclarer le fichier patient à la CNIL. En effet, l’autorité de régulation n’a plus ce rôle de centralisation des informations : chacun doit désormais faire un travail personnel pour recenser les divers traitements de données et les coucher sur le papier. C’est le registre des traitements de données à caractère personnel prévu par le règlement européen dont vous trouverez un exemple dans le guide du Conseil national de l’ordre des médecins (CNOM).

Quelles données je recueille et à quelles fins ? Pour combien de temps ? Qui y a accès ?
La première de ces questions impose de ne collecter que le minimum utile d’informations (adéquates, pertinentes et limitées à ce qui est nécessaire) en lien avec l’activité de soin. Bref, d’être capable d’expliquer que les notes sensibles concernant, par exemple, l’ethnie ou la sexualité y sont pour le suivi ou la prévention d’une pathologie particulière. Les opinions politiques n’y sont donc pas justifiables. Le recueil des données à des fins de recherche est également à préciser.
L’accès par des tiers dépend de la structure d’exercice : vous seul en cas d’exercice isolé, les autres médecins, paramédicaux et secrétaires en cas de pratique au sein d’une maison de santé pluriprofessionnelle. La transmission des données par messagerie sécurisée ou logiciel de télémédecine est à renseigner.
La durée recommandée de stockage (en l’absence de texte législatif spécifique à la médecine libérale) est de 20 ans après la dernière consultation du patient (jusqu’à son 28
anniversaire si ce dernier est mineur) ou 10 ans après son décès. Elle n’a pas changé avec ce nouveau texte.

Ce devoir d’affichage et d’information diffère peu de ce qui était imposé par le CNOM en matière d’usage d’un logiciel partagé au sein d’un cabinet.
Cette information aux patients, visible en salle d’attente, reprend principalement les éléments précédents et précise les possibilités d’accès, de refus ou de suppression par le patient (lui aussi a des droits).

Enfin, l’obligation qui nous incombait, au titre du secret médical, de préserver la confidentialité des traitements de données est généralisée par le texte. Il faut noter quand même l’obligation d’informer le patient et la CNIL (si fuite importante) en cas de compromission de données. S’y ajoute l’obligation de préserver l’intégrité et la pérennité des données… et donc de faire des sauvegardes !
Cela signifie aussi que vous devez étudier vos contrats avec vos prestataires informatiques (y compris pour l’agenda distant) et vérifier que les modalités d’accès aux données sont bien définies et exhaustives car l’accès aux informations par un technicien sur un serveur distant est de votre responsabilité. Il vaut mieux alors être certain que les données sont chiffrées (illisibles car cryptées par le logiciel) sur ledit serveur.
Le RGPD est surtout l’occasion de faire le point sur nos pratiques et d’informer correctement les patients pour qui nous travaillons. Pour vous faciliter la tâche, la CNIL et le CNOM ont rédigé un guide complet qui comprend des exemples à adapter à votre exercice.