RGPD : Quel cadre appliquer aux dossiers des patients ?

A lire aussi sur DPO PARTAGE

108 extensions Chrome malveillantes : une campagne russe vole jetons Google et sessions Telegram

ReCyF : l’ANSSI publie son référentiel de cybersécurité pour anticiper la transposition de NIS 2 en France

Comment le vol de ces donnees permet d’acceder a n’importe quel compte sans jamais taper un seul mot de passe

Sommaire

En tant que médecin, responsable de traitement de données personnelles, vous êtes tenu de respecter les règles édictées par le règlement général sur la protection des données (RGPD) en matière de protection des données personnelles pour les dossiers des patients.

Cela signifie que vous devez veiller à ce que les dossiers de vos patients soient tenus de manière sécurisée et confidentielle, et que les données personnelles qu’ils contiennent ne soient utilisées que dans les limites prévues par la réglementation.

Si vous utilisez un logiciel de gestion de dossiers patients fourni par un prestataire informatique, vous devez vous assurer que ce dernier respecte les exigences du RGPD en matière de protection des données personnelles. Cela inclut notamment la sécurisation des données stockées dans le logiciel et la mise en place de mesures de protection contre les fuites ou les pertes de données.

Si vous utilisez des dossiers patients sous format papier, vous devez également prendre des mesures pour protéger les données qu’ils contiennent. Cela peut inclure la mise en place de systèmes de verrouillage pour les dossiers, la destruction sécurisée des documents lorsqu’ils ne sont plus nécessaires, et la mise en place de procédures pour gérer les accès aux dossiers.

En tant que responsable de traitement, vous devez également informer vos patients de la manière dont vous utilisez leurs données personnelles et de leurs droits en matière de protection des données, tels que le droit d’accéder à leurs données, de les rectifier ou de les effacer.

Vous devez également être en mesure de justifier de la légalité de votre traitement des données personnelles de vos patients, et veiller à ce que vous respectiez les obligations qui vous incombent en tant que responsable de traitement en matière de protection des données personnelles.

Quelles sont vos obligations ?

Toujours en tant que responsable de traitement, vous devez vous assurer que l’utilisation des dossiers « patients » respecte les principes fondamentaux de la protection des données personnelles.

Ces principes comprennent notamment :

la licéité, la loyauté et la transparence,
la minimisation des données,
l’exactitude, la limitation de la conservation,
l’intégrité et la confidentialité, ainsi que l’accountability (responsabilisation).

Vous devez vous assurer que les données personnelles contenues dans ces dossiers soient collectées pour des finalités précises, légitimes et explicites, et qu’elles ne sont pas traitées de manière incompatible avec ces finalités.

Vous devez également prendre les mesures techniques et organisationnelles appropriées pour protéger ces données contre toute perte, toute destruction, tout accès non autorisé ou toute divulgation non autorisée.ous devez vous assurer que l’utilisation des dossiers « patients » respecte les principes fondamentaux de la protection des données personnelles.

Vos dossiers papiers ou votre logiciel médico-administratif doit répondre à des finalités déterminées, explicites et légitimes.

Ainsi, les informations que vous collectez dans les dossiers « patients » sont utilisées pour exercer votre activité de prévention, de diagnostic et de soins et servent à gérer votre cabinet. Elles répondent aux besoins de la prise en charge de vos patients. Il s’agit notamment de permettre :
• la gestion des rendez-vous ;
• la gestion des dossiers médicaux ;
• l’édition des ordonnances ;
• l’envoi de courriers aux confrères ;
• l’établissement et la télétransmission des feuilles de soins.

Toute autre utilisation des informations que vous collectez à l’occasion de la prise en charge doit être réalisée avec précaution.

En particulier, toute utilisation personnelle ou commerciale des dossiers de vos patients est naturellement prohibée.

Les données que vous collectez et que vous reportez, dans les dossiers de vos patients, doivent être adéquates, pertinentes et limitées à ce qui est nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

Toutes les informations que votre patient a pu vous révéler, dans le cadre de vos échanges, ne doivent pas nécessairement intégrer son dossier. Seules celles qui sont utiles au suivi de votre patient peuvent être enregistrées et conservées.

Dans ce cadre, la CNIL estime légitime de collecter certaines catégories de données personnelles, notamment :

• les données d’identification : nom, prénom, date de naissance, adresse, numéro de téléphone ;
• le numéro de sécurité sociale : uniquement pour l’édition des feuilles de soins et la télétransmission aux caisses d’assurance maladie ;
• selon les contextes, la situation familiale: situation matrimoniale, nombre d’enfants ;
• selon les contextes, la vie professionnelle : profession, conditions de travail ;
• la santé: historique médical, historique des soins, diagnostics médicaux, traitements prescrits, nature des actes effectués, résultats d’examens de biologie médicale et tout élément de nature à caractériser la santé du patient et considéré comme pertinent par le médecin;
• informations relatives aux habitudes de vie : si collectées avec l’accord du patient et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins.

En revanche, toute information qui serait sans lien avec l’objet de la consultation du patient ou qui ne serait pas indispensable au diagnostic ou à la délivrance des soins doit être exclue. Par exemple, vous ne devez pas inscrire des informations sur la vie privée du patient qui ne sont pas médicalement nécessaires (ex : religion du patient, orientation sexuelle, etc.).

Durée de conservation

Les professionnels de santé exerçant en libéral doivent conserver les dossiers de leurs patients pendant une période de 20 ans à compter de la date de la dernière consultation, ou jusqu’à ce que le patient ait 28 ans s’il est mineur. Dans le cas où le patient décède moins de 10 ans après sa dernière consultation, les informations le concernant doivent être conservées pendant 10 ans à compter de la date du décès. Ces délais peuvent être suspendus en cas d’action en responsabilité visant le professionnel de santé. Les doubles des feuilles de soins doivent être conservés pendant une période de 3 mois.

Informations obligatoires

Vous devez donner des informations obligatoires à vos patients :

Nom et coordonnées du professionnel de santé :
Finalités et base juridique du traitement des données :
Destinataires des données :
Durée de conservation des données :
Droits de la personne : accès, rectification, effacement, limitation, opposition, introduction d’une réclamation auprès de la CNIL
Caractère obligatoire des données fournies et conséquences éventuelles d’un défaut de réponse :
Utilisation ultérieure des données pour une finalité autre que celle pour laquelle elles ont été collectées (si applicable) :

Les patients disposent des droits suivants :

Accéder aux données les concernant
Rectifier ces données en cas d’erreur
S’opposer au traitement pour des raisons tenant à leur situation particulière
Effacer les données dans certaines situations particulières (dossier patient conservé trop longtemps, données non adéquates, etc.)

Toute demande portant sur ces droits doit être examinée dans un délai raisonnable. Le délai pour accéder au dossier « patient » est de 8 jours, et peut être porté à 2 mois lorsque les informations datent de plus de 5 ans.

Pour tout savoir sur l’exercice des droits des patients, vous pouvez consulter la fiche thématique « Les droits pour maîtriser vos données personnels » (https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles).

Eviter les violations de données sur les dossiers des patients

Une violation de données est un incident qui implique la perte, le vol ou la fuite non autorisée de données personnelles sensibles. Ces violations peuvent avoir de nombreuses causes, comme une faille de sécurité dans un système informatique, un piratage, une erreur humaine, ou encore un vol physique de supports de données. Les violations de données peuvent avoir des conséquences graves pour les personnes dont les données ont été compromise, telles que des pertes financières, des atteintes à leur vie privée, ou encore des problèmes de santé si les données concernent des informations médicales sensibles.

En effet, seules certaines personnes sont autorisées, au regard de leurs missions et en vertu de dispositions législatives les y habilitant, à accéder aux données de santé des patients (ex : équipe de soins d’un établissement de santé intervenant dans la prise en charge sanitaire du patient, etc.).

En pratique, il sera important de veiller au respect des règles relatives à l’échange et au partage de données entre professionnels (sur ce point, voir la fiche pratique du CNOM « Echange et partage d’informations », déc. 2016)

Recours à des prestataires y compris archivistes

En cas de recours à un prestataire de service pour assurer la maintenance du logiciel gérant les dossiers de vos patients, celui-ci n’est pas censé accéder aux données de santé à caractère personnel. Il a un rôle purement technique. En principe, les données doivent être chiffrées afin de permettre au technicien d’assurer ses missions sans pouvoir lire ces données.

Si vous confiez le stockage des dossiers « patients » à un prestataire chargé d’en assurer la conservation, dans des serveurs à distance, celui-ci doit être hébergeur agréé ou certifié pour l’hébergement, le stockage, la conservation de données de santé conformément aux dispositions de l’article L. 1111-8 du code de la santé publique.

En toute hypothèse, dès que vous sollicitez les services d’un prestataire (société de maintenance, hébergeur de données de santé agréé ou certifié), celui-ci agit pour votre compte. Vous devez donc formaliser la relation que vous entretenez avec lui en passant un contrat de sous-traitance. Ce contrat mentionne que le prestataire en tant que sous-traitant10 :

ne traite les données à caractère personnel que sur votre instruction ;
veille à la signature d’engagements de confidentialité par le personnel ;
prend toutes les mesures de sécurité requises ;
ne recrute pas de sous-traitant sans votre autorisation écrite préalable ;
coopère avec vous pour le respect de vos obligations en tant que responsable de traitement notamment lorsque des patients ont des demandes concernant leurs données (l’archiviste ne peut avoir accès aux données de santé );
supprime ou vous renvoie l’ensemble des données à caractère personnel à l’issuedes prestations ;
collabore dans le cadre d’audits.

Sécurisation de l’outil informatique et des dossiers des patients

Vous devez respecter les mesures prévues par les référentiels de sécurité et d’interopérabilité des données de santé (art. L. 1110-4-1 du code de la santé publique).

Pour une information détaillée, vous pouvez consulter le guide de la sécurité des données personnelles publié par la CNIL et le mémento relatif à la sécurité informatique pour les professionnels de santé en exercice libéral publié par l’Agence des systèmes d’information partagés de santé (ASIP Santé).

En ce qui concerne la sécurisation du système informatique, vous devez respecter les grands principes suivants :

utilisation d’un mot de passe conforme aux recommandations de la CNIL, 12 caractères (chiffres, lettres majuscules et minuscules, caractères spéciaux), renouvelé régulièrement ;
verrouillage de votre session informatique automatiquement après maximum 30 minutes d’inactivité ;
antivirus à jour, pare-feu, application systématique des correctifs de sécurité du système informatique et des logiciels ;
sauvegardes régulières des données (sauvegarde au minimum hebdomadaire, avec conservation des sauvegardes mensuelles sur 12 mois glissants) et leur conservation dans un lieu différent que votre cabinet ;
chiffrement des données avec un logiciel adapté ;
absence ou minimisation des connexions d’appareils non professionnels sur leréseau ;
authentification via votre Carte de professionnel de santé (CPS) ou tout moyenalternatif d’authentification forte.

La CPS doit rester strictement personnelle. En aucun cas, vous ne pouvez communiquer vos codes secrets à votre personnel (ex : secrétaire médicale).

Vous pouvez mettre en place une authentification forte pour votre personnel au moyen d’un mot de passe à usage unique par exemple (identifiant, mot de passe et envoi d’un code à chaque connexion) ou au moyen d’une Carte de personnel d’établissement (CPE) à demander à votre Caisse primaire d’assurance maladie.

Si votre logiciel gérant vos dossiers « patients » est accessible à distance et est hébergé par un prestataire (votre éditeur de logiciel en général), vous devez vous assurer que ce tiers ou son sous-traitant est agréé ou certifié pour l’hébergement des données de santé conformément à l’article L. 1111-8 du code de la santé publique.

Si vous conservez vos dossiers sous format papier, vous devez également vous assurer de leur sécurité (locaux sécurisés, armoire contenant les dossiers fermée à clé).

En cas de violation de données (destruction, perte, altération, divulgation non autorisée de données à caractère personnel, accès non autorisée à de telles données), vous devez avoir les bons réflexes.

Il est important d’agir rapidement pour limiter les dommages causés par la fuite de données. Tout d’abord, il est important de déterminer la nature et l’étendue de la violation de données. Cela peut impliquer de collecter des informations sur les données qui ont été exposées, ainsi que sur les personnes qui pourraient avoir accès à ces données.

Une fois cette information recueillie,

contacter les autorités compétentes, telles que la Commission nationale de l’informatique et des libertés (CNIL) en France, pour les informer de la violation de données.
contacter les personnes dont les données ont été exposées pour les informer de la situation et les aider à prendre les mesures nécessaires pour protéger leurs données personnelles.

Mettre en place des mesures pour empêcher de telles violations de données à l’avenir. Cela peut inclure la mise en place de politiques et de procédures de sécurité des données plus strictes, ainsi que l’utilisation de technologies de sécurité avancées pour protéger les données.
suivre les recommandations des autorités compétentes pour gérer la situation et prévenir de futures violations de données.