Un médecin saisi les données personnelle du patient sur son ordinateur ? MACSF

RGPD et professionnel de santé libéral : quelles obligations ?

Equipe conformité/qualité

Le 16.06.2023
À 16:00

2 min

Le professionnel de santé traite, pour les besoins de son activité professionnelle (exemples : pour la prise en charge de ses patients et la gestion de son personnel), des données personnelles dont des données de santé dites sensibles. Il est, au sens de la réglementation européenne et française, un responsable de traitement. Quelles obligations le statut de responsable de traitement implique-t-il ? Quel est l’impact sur votre activité professionnelle ?

La mise en place d'une gouvernance de traitement des données

Afin de répondre au principe de responsabilité ou d’accountability, vous devez mettre en place une gouvernance de traitement des données au sein de votre cabinet.

Il s’agira de définir les mesures, règles et bonnes pratiques que vous souhaitez voir adoptées et respectées pour assurer la sécurité des données.

Cette gouvernance aura pour objectifs opérationnels la mise en place :

d’une organisation interne dédiée (permettant notamment de mettre en place et d’assurer le suivi des mesures de sécurité des données, de répondre aux demandes des personnes concernées relatives à l’exercice de leurs droits…) ;
d’un système d’évaluation des risques encourus du fait du traitement de données personnelles.

La désignation d'un délégué à la protection des données

Le délégué à la protection des données (ou DPO d’après l’acronyme anglais) est la pierre angulaire du respect du règlement européen. Il a pour missions d’assurer la mise en conformité de l’entreprise au RGPD et son suivi à long terme. Il doit donc contrôler le respect du règlement européen par la structure, alerter le responsable de traitement en cas de non-respect, le conseiller et lui proposer des mesures correctrices le cas échéant, et assurer le relai avec la CNIL.

En tant que professionnel de santé, vous pouvez être tenu de désigner un DPO notamment lorsque vous traitez des données de santé à grande échelle. Dans un guide pratique de la CNIL et du CNOM recommandent la désignation d’un DPO à titre d’exemple par les professionnels de santé exerçant au sein d’un réseau de professionnels, de maisons de santé…

Pour davantage de détails sur les modalités de désignation du DPO, les compétences requises et ses missions, nous vous invitons à consulter la fiche pratique de la CNIL.

La mise en place d'outils de travail

Le registre des activités de traitement

Un registre des activités de traitement doit être mis en place pour les entreprises de plus de 250 salariés et les structures dans lesquelles le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées.

C’est notamment le cas pour les données sensibles telles que les données de santé que vous collectez et traitez au cours de votre activité professionnelle.

Au-delà de son aspect réglementaire, ce registre est un véritable outil de pilotage de vos traitements de données qu’il recense de manière exhaustive.

Il doit être écrit mais la forme reste libre.

Quant au contenu, ce registre doit détailler notamment :

l’identité du responsable de traitement,
les finalités du traitement,
les délais prévus pour l'effacement des différentes catégories de données,
une description générale des mesures de sécurité techniques et organisationnelles mises en place,
une description spécifique des catégories :

de personnes concernées,
de données à caractère personnel visées,
de destinataires auxquels les données ont été ou seront communiquées.

Pour un modèle de registre des traitements, nous vous invitons à consulter ce lien.

La mise en conformité du cabinet avec le RGPD

Vous devez également être en mesure, en cas de contrôle de la CNIL, d’apporter la preuve de la mise en conformité de votre cabinet avec le RGPD.

Pour ce faire, il vous faut constituer et regrouper ces éléments dans un système de documentation écrite qui devra être mis à jour si besoin (exemple : un dossier informatique protégé dans lequel vous stockez vos documents).

Cette documentation doit notamment comporter :

votre registre des traitements,
le document d’information remis à vos patients et votre personnel,
les procédures mises en place telles que la procédure pour l’exercice de leurs droits par les personnes concernées,
les contrats passés avec vos prestataires sous-traitants,
les réponses apportées aux personnes ayant exercé un de leurs droits,
les éventuelles mesures correctrices réalisées en cas de violation de données personnelles...).

Le respect des droits des personnes concernées

Vous devez assurer le respect des droits des personnes concernées et mettre en place les mesures leur permettant d’être informées des données collectées et de leur traitement au titre du droit à l’information.
Vous devez également leur communiquer, par écrit et d’une façon concise, transparente, compréhensible, accessible, en des termes clairs et simples : les éléments au titre des droits d’accès, de rectification et d’effacement, de limitation du traitement, de portabilité des données et d’opposition.

La notification en cas de violation de données personnelles

Il est question de violation des données personnelles en cas de "violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données".

Une notification doit être faite :

à la CNIL dans les meilleurs délais et si possible dans les 72H après avoir pris connaissance de l’évènement ;
à la personne concernée dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour ses droits et libertés. Si, au contraire, des mesures de protection préalables rendent les données incompréhensibles (données chiffrées) ou si des mesures a posteriori garantissent la protection des droits et libertés de la personne concernée, la notification n’est pas obligatoire.

Enfin, si cette notification individuelle est rendue difficile en ce qu’elle exigerait des "efforts disproportionnés", une communication publique est envisageable.

Professionnels de santé, protégez-vous !

Demandez un devis dès maintenant pour bénéficier d'une assurance RCP-PJ de la MACSF !

J'obtiens un tarif

Sources

Règlementation européenne : Règlement 2016/679 du Parlement européen et du Conseil de l’Union européenne du 27/04/2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Règlementation française : Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée.