Conduite à tenir face au RGPD

  1. Vous êtes ici :
  2. Accueil
  3. Articles du SML
27 Juillet 2018: Conduite à tenir face au RGPD

(Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données personnelles)

Comme son nom l’indique, le RGPD a pour objectif de protéger les individus (mais pas les personnes morales) à l’égard du traitement de leurs données personnelles et à la libre circulation de ces données.

On appelle « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable. Parmi elles, les données de santé sont particulièrement sensibles.

On appelle « traitement », toute opération effectuée sur des données à caractère personnel (collecte, enregistrement, structuration, consultation, conservation, communication, effacement, etc.).

Ce traitement de données peut être informatique ou pas. Les documents papiers sont concernés, par exemple les dossiers papiers de vos patients, les fiches de salaires de vos salariés ou tout autre document traités par vos sous-traitants (agenda en ligne, messagerie, etc.).

Le RGPD a pour objet de protéger les personnes physiques résidents de l’UE et imposent pour cela des contraintes à toutes les entreprises établies sur le territoire de l’UE, en particulier aux cabinets médicaux. Le responsable de traitement (= le médecin) sera tenu de pouvoir démontrer qu’il respecte ce règlement.

Un médecin est concerné par le RGPD, s’il exerce son activité à titre libéral. L’application du RGPD est effective depuis mai 2018. Un faisceau de risque pèse sur lui en cas de défaillance (risques disciplinaires, d’image, Commission Nationale Informatiques et Libertés (CNIL), judiciaire).

Les données personnelles traitées par un médecin et qui sont concernées par le RGPD sont bien sûr les données médicales de ses patients mais aussi de ses salariés et de ses sous-traitants, bref de tout l’environnement de son cabinet libéral.

Le médecin doit donc informer les personnes auprès de qui il collecte les données des raisons pour lesquelles il collecte et traite leurs données et limiter les données personnelles collectées à ce qui est nécessaire.

Il doit mettre en place des mesures appropriées de sécurité afin de sécuriser et protéger les données personnelles (installation d’un pare-feu, d’un antivirus, d’un verrouillage automatique en d’inactivité utilisation d’un mot de passe conforme aux recommandations de la CNIL, sauvegarde régulière des données, conservation des sauvegardes dans un lieu sûr, chiffrement des données, conservation des dossiers patients papiers dans un lieu sécurisé, utilisation de messagerie sécurisées, etc.).

Ces mesures s’appliquent également aux salariés du cabinet dont c’est parfois toute l’organisation pratique qu’il faudra revoir.

S’il exerce à titre individuel, le médecin ne sera pas contraint de désigner un délégué à la protection des données (DPD), c’est-à-dire une personne chargée de mettre en œuvre la conformité du RGPD au sein du cabinet médical et nommément désignée auprès de la CNIL, sauf s’il traite des données de santé à grande échelle, sans qu’aucune définition précise de ce terme n’existe.

Sur le modèle de l’expert-comptable, le principe de précaution fait qu’il est prudent de désigner un DPD, un peu comme on désigne un expert-comptable en fonction du risque qu’on souhaite prendre vis-à-vis du fisc, de ses compétences et du temps qu’on souhaite y consacrer.

Pour en savoir plus :

  1. https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux-ce-que-vous-devez-savoir
  2. https://www.conseil-national.medecin.fr/node/2842

  

Retourner en haut