RGPD : les pièges à éviter

Article Article

Rien de bien compliqué

RGPD : les pièges à éviter

Maître Maud Lambert revient sur les règles en vigueur depuis la mise en place du RGPD au printemps. Si vous n’êtes pas à jour, il serait temps de s’y mettre !

Comme tout le monde, vous avez reçu un bon millier de mails des entreprises auprès desquelles vous êtes enregistré, vous énonçant les nouvelles règles liées au RGPD et à la protection et l’accès aux données personnelles. C’était pour la partie utilisateur.

Mais en tant que professionnel de santé, vous êtes aussi exposé par l'utilisation que vous faites des données personnelles de vos patients, mais aussi éventuellement de vos salariés, si vous disposez d'un secrétariat ou d'un comptable, par exemple.

Pour faire un point sur les règles en vigueur et les points à surveiller, What’s up Doc a rencontré Me Maud Lambert, spécialiste des technologies de l’information.

What’s up Doc. Les règles ont changé en 2018. Pour des médecins qui ne se soucient pas forcément des détails règlementaires, que doivent-ils faire en priorité ?

Maud Lambert. S’ils utilisent des outils pour la prise de rendez-vous et la gestion des dossiers patients, ils doivent s’assurer que les prestataires avec lesquels ils travaillent utilisent des outils conformes au RGPD. S’ils ne le sont pas, il faut identifier des prestataires qui le sont. Mais pour la majorité d’entre eux, la mise à jour est faite, ou en cours.

WUD. Y a-t-il un problème à échanger avec ses patients par texto ?

ML. Le risque principal, c’est la fuite de données. Si le médecin perd son téléphone, toutes les données qui sont à l’intérieur sont accessibles à un tiers. Le principe n’est pas de dire que l’utilisation des SMS est interdite, mais il faut l’encadrer. Il n’est ainsi pas recommandé d’utiliser son téléphone personnel, mais des mécanismes de sécurité simples peuvent êtres mis en place.  Le plus important est simplement de définir un mot de passe suffisamment sérieux pour éviter que quelqu'un puisse y accéder en cas de perte du téléphone.

WUD. Idem pour la transmission de fichiers (résultats d’examens biologiques, imageries etc.) ?

ML. Pour envoyer des pièces jointes à quelqu’un, l’idéal reste l’utilisation d’une messagerie sécurisée. Mais à défaut, il est aussi possible d’utiliser le chiffrement de fichiers. Le dossier est crypté, protégé par un mot de passe. Et pour conserver la sécurité, il faut bien entendu éviter d'envoyer le mot de passe à son interlocuteur dans le même mail…

WUD. Il faut aussi appliquer au numérique les règles du monde de la médecine…

ML. Un dossier médical se conserve 20 ans. Cela fait partie du savoir des médecins, mais à l’issue de la dernière consultation, il faut fixer une date de destruction des données. Je ne suis pas sûr que les médecins, dans leur pratique, le font.

WUD. Y a-t-il d’autres point importants pour les libéraux ?

ML. La tenue du registre est importante. J’invite les médecins à se baser sur le modèle prérempli de la Cnil. Il aide à l’élaboration du document qui doit être tenu à jour.
Les données des salariés sont également concernées par le RGPD. Il faut éviter de récolter plus de données que ce qui est nécessaire. Par exemple, il n’est pas judicieux de leur demander s’ils sont locataires ou propriétaires. C’est excessif pour l’élaboration d’une rémunération.

WUD. Comment gérer l’accès aux données dans un cabinet de groupe ?

ML. Il faut absolument avoir des comptes personnels avec des logins uniques. C’est la base ! Il faut un niveau d’authentification assez fort, en évitant les mots de passe 1234. S’il recourt à de la téléexpertise, le médecin doit intégrer le recueil du consentement, et cette mention doit être visible dans le dossier médical avant la transmission à un autre praticien.

WUD. Sous quelles conditions les patients ont-ils un droit de regard sur leurs données ?

ML. Si un patient – ou un salarié – demande à avoir recours à ses données, le médecin doit être en mesure de lui transmettre toutes les données dont il dispose dans un fichier. La loi prévoit qu’il faut les transmettre dans les 8 jours – si le dossier est ancien, le délai peut être allongé.
Il ne faut pas hésiter à demander confirmation de l’identité du requérant. C’est un premier élément pour filtrer les demandes peu sérieuses. Ensuite, il faut s’assurer de la mise en oeuvre du droit d’accès dans le délai imposé par la loi.

WUD. À quelles sanctions un médecin s’expose-t-il s’il ne suit pas les recommandations ?

ML. Les sanctions varient. Cela peut être un simple rappel à la loi, la suspension d’un flux, la suppression d’un fichier, ou des sanctions financières calculées sur le chiffre d’affaires. Dans un exercice de groupe, c’est la personne morale qui est responsable, et dans un établissement de santé, c’est l’établissement. Même s’il utilise des outils tiers.

WUD. Les médecins salariés sont tranquilles ?

ML. Les médecins auront une responsabilité à titre disciplinaire à la condition que les règles soient mentionnées dans un document de type règlement intérieur. Sinon, on ne pourra rien leur dire. L’entreprise doit donc élaborer une charte, une politique interne pour fixer un cadre fidèle au RGPD, que cela concerne les médecins comme les autres salariés (comptables, administration etc.).

WUD. Un dernier conseil pour se mettre à jour ?

ML. Un guide a été élaboré par la Cnil avec le Cnom. J’invite vraiment à le lire parce qu’il est assez simple, court, et donne des recommandations pour un certain nombre de choses (utilisation du téléphone, de tablettes personnelles, sur le transfert de données de santé etc.).

Source:

Jonathan Herchkovitch

Les gros dossiers

+ De gros dossiers