Catherine Paley-Vincent, avocat associé et Nathalie Boudet-Gizardin, counsel
Article publié avec l’aimable autorisation du Conseil départemental de l’Ordre des Médecins des Hauts-de-Seine
Comme Monsieur JOURDAIN faisait de la prose sans le savoir, un médecin, dans son exercice quotidien, est appelé à manipuler, à tout moment, des données personnelles. Celles de ses patients bien sûr, celles de ses confrères amenés à intervenir dans la prise en charge, celles de ses prestataires de services, celles de ses salariés… Ainsi, tout un chacun est collecteur de données personnelles au sens du Règlement général sur la protection des données (RGPD) du 27 avril 2016, en vigueur depuis le 25 mai 2018, complété par la loi du 20 juin 2018.
Un ensemble de règles nouvelles qui ouvre tout un champ de devoirs et de responsabilités pour le médecin.
DES RESPONSABILITES ACCRUES
Ces nouveaux textes font du médecin un « responsable du traitement » des données personnelles qu’il collecte, utilise, conserve et même, transmet à des tiers. La protection de ces données va même jusqu’à concerner, ce que le RGPD appelle, les « sous-traitants », par exemple, les hébergeurs de données de santé, les prestataires informatiques, les plateformes de prise de rendez-vous, les plateformes de télémédecine, etc.
Les médecins, lors de leur installation en libéral, faisaient une déclaration à la CNIL, dans la mesure où ils recueillaient des données. Aujourd’hui, ils devront « tenir registre ». Pour comprendre comment, concrètement, traduire cette nouvelle obligation, il faut impérativement prendre connaissance du modèle de registre proposé par le CNOM et la CNIL, qui se sont associés pour éditer, en juin 2018, le « GUIDE PRATIQUE SUR LA PROTECTION DES DONNEES PERSONNELLES ». On y trouve le modèle d’un registre des « activités de traitement » pour un médecin exerçant en libéral. Bien sûr, il est à adapter en fonction de chaque situation liée à un exercice particulier mais il doit être rempli avec précision. Ce registre peut être tenu sous format papier ou informatique et l’aide de votre éditeur de logiciel ou de votre prestataire informatique vous sera précieuse….
Ce registre est une suite de fiches à établir pour chaque activité du médecin, lorsqu’il recueille des données personnelles : le suivi de ses patients, les contacts avec ses correspondants, les prises de rendez-vous, la gestion de ses salariés (paies, contrats de travail...), les contacts avec ses fournisseurs, la sécurisation de ses locaux, etc.
Si vous exercez au sein d’un établissement de santé, d’un EHPAD, d’une maison de santé ou d’un centre de soins, rapprochez-vous de la direction ou du délégué à la protection des données (DPO) s’il en a été désigné un. Chargé de vérifier la conformité à la réglementation du système de collecte des données utilisées et d’en estimer la sécurité, le DPO sera votre référent en la matière.
UNE COLLECTE DES DONNEES CIBLEE
Que la collecte de données personnelles soit réalisée sur un logiciel informatique ou sur un format papier, le médecin est tenu de :
- collecter et traiter les données « de manière loyale et licite », ce qui suppose que le patient concerné ait été informé du recueil de ses données personnelles (affichage dans la salle d’attente ou remise d’un document écrit tel que celui qu’on lui remet pour l’informer des soins qu’il reçoit).
- collecter des données pour des « finalités déterminées, explicites et légitimes » : le médecin ne peut collecter ces données personnelles que pour exercer son activité de prévention, de diagnostic et de soins. Tout usage à des fins personnelles et plus encore, tout usage commercial (comme dans une activité de coaching), est strictement prohibé.
- collecter des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » : Le suivi du patient est seul concerné. Peu importe que ce dernier soit adultère ou mauvais payeur, si cette donnée n’est pas utile à son suivi médical.
- collecter des données « exactes, complètes et si nécessaires, mises à jour » : Le patient doit pouvoir vous demander l’accès à ses données personnelles, les rectifier en cas d’erreur, et même vous demander de les effacer dans certains cas.
UNE CONSERVATION DES DONNEES LIMITEE
Les données personnelles doivent être conservées par le médecin pendant une durée qui n’excède pas celle nécessaire à l’usage qu’il en fait. Le CNOM préconise au médecin libéral de s’aligner sur les délais prévus pour la conservation des dossiers médicaux des établissements de santé, soit :
- 20 ans à compter de la date de la dernière consultation du patient, même si le patient demande à effacer ses données personelles ou à les récupérer en cas de changement de médecin ;
- si le patient est mineur et que ce délai de 20 ans expire avant son 28ème anniversaire, la conservation des informations le concernant doit être prolongée jusqu’à cette date ;
- si le patient décède moins de 10 ans après sa dernière consultation, les informations le concernant doivent être conservées pendant 10 ans à compter de la date du décès ;
- en cas d’action tendant à mettre en cause la responsabilité du médecin, il convient de suspendre ces délais de conservation ;
- les feuilles de soins qu’elles soient électroniques ou sur support papier doivent être conservées 3 mois.
UNE TRANSMISSION DES DONNEES CONTROLEE
Toutes ces obligations et interdictions cèdent parfois devant l’intérêt du patient quand il y a lieu de transmettre, à des tiers, les données qui le concernent. C’est alors sous une forme parfaitement réglementée et sécurisée.
Vous devrez vous assurer que votre plateforme de prise de rendez-vous, celle que vous utilisez éventuellement pour la télémédecine ou encore les logiciels de gestion de vos dossiers patients respectent également les obligations du RGPD. Cela apparaitra dans le contrat écrit signé avec vos prestataires, garantissant ainsi la sécurité et la confidentialité des données confiées.
Le médecin peut également être amené à transmettre les données de santé de ses patients à des « tiers autorisés » par la loi : l’administration fiscale, les organismes de sécurité sociale, la DGCCRF, un huissier de justice, etc. Il le fait alors dans des conditions strictes et encadrées.
Attention aux messageries standard ! Si vous adressez par mail des données de santé personnalisées, vous demanderez à votre prestataire informatique d’organiser la sécurité de vos transmissions (mots de passe, accusés de réception de lecture, chiffrage des données, etc.)
Ces prudences vont jusqu’à l’utilisation d’un téléphone portable ou d’une tablette quand il s’agit de communiquer avec d’autres professionnels de santé ou avec vos patients : utilisation de mots de passe conformes aux recommandations de la CNIL [i], verrouillage automatique après un court délai d’utilisation, chiffrement des données de santé. L’utilisation de supports mobiles (clé USB, disque dur externe) est fortement déconseillée dans le rapport du CNOM et de la CNIL.
UNE RESPONSABILITE PENALEMENT SANCTIONNEE
Un médecin peut être pénalement condamné pour avoir omis de respecter cette règlementation. Ainsi, avant même l’apparition du RGPD, un médecin hospitalier a été condamné pour avoir mis en œuvre un traitement des données de santé relatives à des bébés prématurés, sans l’autorisation préalable de la CNIL.
Avant même toute procédure pénale, la CNIL peut être amenée à sanctionner un comportement déviant : avertissement, rappel à l’ordre, injonction de mise en conformité assortie d’une astreinte dont le montant ne peut excéder 10.000 euros, amende administrative dont le montant ne peut excéder 10.000.000 d’euros. Quant à la sanction pénale, prononcée par une juridiction répressive, elle peut aller jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende.
Vous mettre en conformité avec ce nouveau RGPD est donc une démarche complexe, rébarbative et exigeante. Vous y êtes néanmoins tenu. Un accompagnement est sans doute nécessaire.
[i] 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux