Si vous souhaitez utiliser une plateforme de prise de rendez-vous en ligne ou un prestataire de permanence téléphonique dans le cadre de votre activité professionnelle, ce tiers sera susceptible de collecter des informations sur les patients qui prennent rendez-vous, y compris les éventuels motifs de consultation.
Il est important de vous assurer que ces tiers traitent les données de manière confidentielle et respectent les lois en vigueur sur la protection des données.
Vos obligations
Lorsque vos patients prennent rendez-vous, des données personnelles, telles que leur identité et leurs coordonnées, sont collectées, enregistrées et utilisées. Les motifs de consultation peuvent également être demandés avec un degré de précision variable selon les spécialités et les besoins de préparation à un examen particulier.
Ces informations peuvent renseigner sur l’état de santé des patients, et la simple connaissance d’une consultation chez un spécialiste peut également donner une indication sur leur état de santé.
Que la prise de rendez-vous soit assurée par votre cabinet, par un prestataire tiers de permanence téléphonique ou par une plateforme en ligne, vous êtes responsable du traitement des données d’identification et de santé collectées lors de la prise de rendez-vous.
En tant que responsable de traitement, vos obligations sont identiques à celles applicables pour les dossiers « patients » : enregistrement des données strictement nécessaires, utilisation légitime des informations obtenues dans le cadre de la prise de rendez-vous, inscription dans le registre des activités de traitement, limitation des accès, sécurisation du planning et de son contenu, notification à la CNIL en cas de violation des données, etc.
- Si la consultation ne nécessite pas de préparation ou de réservation d’outils spécifiques, les motifs de la consultation n’ont pas à être renseignés.
- Les données relatives à la prise de rendez-vous peuvent être supprimées lorsqu’elles ne sont plus nécessaires. Cette durée doit être déterminée en fonction de votre activité.
- Le prestataire de la prise de rendez-vous est également responsable du traitement des données relatives aux comptes créés par les patients et les professionnels de santé.
- Les droits des patients sont identiques à ceux précédemment évoqués pour les dossiers médicaux. Ils s’exercent auprès de vous de la même manière. Une information spécifique doit leur être délivrée.
Qu’elles sont les obligations du prestataire sous-traitant ?
Si vous faites appel à un prestataire tiers pour gérer les prises de rendez-vous de vos patients, que ce soit une plateforme en ligne ou un prestataire de permanence téléphonique, ce dernier agit en votre nom et est considéré comme un sous-traitant au regard de la réglementation en vigueur.
Il doit donc mettre en place des mesures techniques et organisationnelles pour assurer la sécurité et la confidentialité des données confiées, comme des accès sécurisés, une politique d’habilitation, un chiffrement des données et une protection contre les attaques informatiques. Le prestataire ne peut utiliser les informations sur vos patients que pour accomplir ses missions.
Vous l’avez compris, il doit être en conformité avec le RGPD.
Pouvez vous etre sanctionné ?
Les mêmes sanctions sont applicables en cas de non-respect de la réglementation dans le cadre de la prise de rendez-vous en ligne ainsi qu’en matière de gestion des dossiers « patients » voir notre article.
En cas de non-conformité au RGPD (Règlement général sur la protection des données), les sanctions peuvent être très lourdes. Elles peuvent aller jusqu’à une amende de 20 millions d’euros ou de 4% du chiffre d’affaires annuel mondial de l’entreprise, selon laquelle des sanctions plus lourdes seront imposées. D’autres sanctions, telles que des injonctions, des ordonnances de blocage, des obligations de notification, des obligations de rapport d’audit, des obligations de coopération et des obligations de mise en conformité peuvent également être imposées en cas de non-conformité.
