En France, seuls les professionnels de santé sont autorisés à numériser des dossiers médicaux et à traiter les données médicales de leurs patients. Ils sont tenus de respecter le RGPD et le secret médical en matière de protection des données personnelles.
Voici quelques éléments à prendre en compte si vous souhaitez numériser vos dossiers médicaux et respecter les règles de protection de la vie privée et de confidentialité en vigueur :
- Évaluez les risques pour la vie privée de vos patients : il est essentiel de évaluer les risques pour la vie privée de vos patients avant de numériser vos dossiers médicaux. Cette évaluation vous permettra de déterminer les mesures de protection à mettre en place pour garantir la sécurité de ces données.
- Mettre en place les mesures de protection adéquates : en fonction des risques identifiés, il est important de mettre en place les mesures de protection adéquates pour garantir la sécurité des données médicales collectées et traitées.
- Documentez vos activités de traitement : il est obligatoire de documenter vos activités de traitement de données médicales, afin de pouvoir justifier de votre conformité au RGPD et au secret médical.
- Communiquez avec vos patients : il est important de informer vos patients sur la numérisation et le traitement de leurs données médicales, et de leur fournir toutes les informations nécessaires sur leurs droits en matière de protection de la vie privée.
- Respectez les droits de vos patients : il est essentiel de respecter les droits de vos patients en matière de protection de la vie privée, tels que le droit d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité des données, et d’opposition au traitement de leurs données médicales.
- Mettre en place des procédures de gestion des incidents de sécurité : il est important de mettre en place des procédures de gestion des incidents de sécurité pour gérer efficacement les éventuels problèmes de sécurité de vos données médicales.
Si vous souhaitez confier la numérisation de vos dossiers médicaux à une société externe, il est recommandé de souscrire un contrat de sous-traitance.
Stockage des données en cour de numérisation sur serveur HDS ?
Service médical / SPST
Il n’est pas obligatoire pour un service medical ou un service de santé au travail d’avoir des serveurs HDS (serveurs de stockage de données à haute disponibilité) durant la numérisation. Cependant, il est recommandé de mettre en place des mesures de sécurité et de sauvegarde adéquates pour protéger les données médicales de vos patients et garantir la continuité de vos activités.
Le choix des moyens de stockage et de sauvegarde dépend de plusieurs facteurs, tels que la nature et la quantité de données à stocker, les exigences de sécurité et de confidentialité, les besoins en matière de disponibilité et de performance, etc.
Société extérieure – sous-traitant
En ce qui concerne un sous-traitant qui stocke des données médicales, il est recommandé qu’il mette en place des mesures de sécurité et de sauvegarde adéquates pour protéger les données confiées. Le choix des moyens de stockage et de sauvegarde dépendra des mêmes facteurs que pour un service médical. Cependant, si vous confiez la numérisation à une société extérieur, il convient d’exiger que vos données soient stockées en HDS avant la restitution.
Il est également recommandé de prévoir des dispositions spécifiques dans le contrat de sous-traitance en matière de sécurité et de sauvegarde des données, afin de garantir la protection de ces données et de respecter les obligations du RGPD et du secret médical.
Qu’est ce qu’un contrat de sous-traitance ?
Un contrat de sous-traitance est un contrat par lequel un responsable de traitement (c’est-à-dire une entreprise ou une organisation qui traite des données personnelles) confie le traitement de données personnelles à un sous-traitant (c’est-à-dire une entreprise ou une organisation qui effectue le traitement de données pour le compte du responsable de traitement).
Le contrat de sous-traitance doit être écrit et doit préciser les modalités du traitement de données confié au sous-traitant, ainsi que les obligations du sous-traitant en matière de protection de données.
Selon le RGPD, le contrat de sous-traitance doit prévoir au moins les éléments suivants :
- La définition des objectifs du traitement de données confié au sous-traitant, ainsi que les données à traiter et les finalités du traitement.
- mise en place de mesures de sécurité adéquates pour protéger les données contre toute perte, tout accès non autorisé ou toute utilisation illégale, ainsi que l’obligation de respecter les instructions du responsable de traitement en matière de traitement de données.
- Les obligations du sous-traitant en cas de demande d’exercice des droits des personnes concernées (par exemple, le droit d’accès, de rectification ou d’effacement de leurs données).
- Les obligations du sous-traitant en cas de notification d’une violation de données à caractère personnel au responsable de traitement ou à l’autorité de protection de données compétente.
- Les obligations du sous-traitant en matière de confidentialité et de sécurité des données, notamment l’obligation de ne pas divulguer les données à des tiers non autorisés et l’obligation de mettre en place des mesures de sécurité adéquates pour protéger les données contre toute perte, tout accès non autorisé ou toute utilisation illégale.
- La durée du contrat et les modalités de résiliation.
- Les modalités de contrôle du respect des obligations du sous-traitant par le responsable de traitement.
- Les obligations du sous-traitant en matière de transmission des données à la fin du contrat.
- Les obligations du sous-traitant en matière de destruction des données à la fin du contrat.
Il est important de souligner que le contrat de sous-traitance doit être conclu en écrit et que le responsable de traitement doit conserver une copie de ce contrat. Le contrat de sous-traitance doit également être mis à jour en cas de modification des modalités de traitement de données.
Numérisation dossiers médicaux : Dois-je demander l’autorisation à mes patients/salariés suivis pour numériser leurs dossiers ?
Oui, vous devez obtenir l’autorisation du patient avant de numériser son dossier médical, même si le dossier est déjà en partie sous forme numérique.
Selon le RGPD, vous êtes tenu de respecter le principe de licéité, de transparence et de proportionnalité lorsque vous traitez les données personnelles de vos patients. Cela signifie que vous devez obtenir leur consentement préalable avant de traiter leurs données médicales, et que vous devez leur fournir toutes les informations nécessaires sur le traitement de leurs données.
Il est donc important de demander l’autorisation du patient avant de numériser son dossier médical, et de lui fournir toutes les informations nécessaires sur le traitement de ses données médicales, comme la finalité du traitement, la durée de conservation des données, les destinataires des données, etc.
Il est également recommandé de mettre en place un système de gestion des autorisations de traitement des données médicales, afin de pouvoir justifier de votre conformité au RGPD et au secret médical.
Même dans service de prévention en santé au travail (SPST) ?
En tant que professionnel de santé exerçant dans un service de santé au travail, vous êtes tenu de respecter les règles de protection de la vie privée et de confidentialité en vigueur, notamment le RGPD et le secret médical.
Même si vous êtes obligé de collecter des données sensibles dans le cadre de votre activité de santé au travail, il est recommandé de demander l’autorisation de vos salariés suivis avant de numériser leurs dossiers médicales.
Le RGPD prévoit que le traitement de données sensibles doit être fondé sur un fondement juridique précis, comme le consentement du patient, la nécessité pour l’exécution d’un contrat, la nécessité pour la protection de l’intérêt vital de la personne concernée, etc.
Dans le cas d’un service de santé au travail, le fondement juridique du traitement de données sensibles peut être la nécessité pour la protection de l’intérêt vital de la personne concernée, c’est-à-dire la nécessité de collecter ces données pour protéger la santé et la sécurité de vos salariés suivis au travail.
Cependant, il est recommandé de demander l’autorisation de vos salariés suivis avant de numériser leurs dossiers médicales, afin de respecter le principe de licéité, de transparence et de proportionnalité qui s’applique au traitement de données personnelles, et de garantir la protection de la vie privée de vos salariés suivis.
Il est également recommandé de mettre en place un système de gestion des autorisations de traitement des données médicales, afin de pouvoir justifier de votre conformité au RGPD et au secret médical, et de pouvoir prendre en compte les éventuelles refus de vos patients de numériser leurs dossiers médicales.
Enfin, il est important de s’assurer que vous traitez les données de vos salariés suivis de manière confidentielle et sécurisée, et de mettre en place des mesures de sécurité adéquates pour protéger vos données médicales contre toute perte, tout accès non autorisé ou toute utilisation illégale.