Le RGPD ou Règlement Général sur la Protection des Données (CNIL) résumé et documenté pour les professionnels exerçant dans le domaine médical, paramédical et médico-social.
Nous verrons ensemble en quoi consiste le RGPD, pourquoi vous êtes concerné.es et quelles sont vos obligations.
Simplifiez-vous le travail en utilisant les modèles à télécharger sur lesquels vous pourrez vous appuyer pour être conforme au regard de la CNIL.
Le RGPD c'est quoi ?
« Le Règlement Général sur la Protection des Données (RGPD) responsabilise les organismes publics et privés qui traitent leurs données. Vous collectez ou traitez des données personnelles ? Adoptez les bons réflexes ! » (CNIL).
Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Exemple : nom, prénom, adresse, téléphone, statut familial, couverture sociale, information médicale, numéro de Sécurité Sociale…
Êtes-vous concerné.es par le RGPD ?
Si vous exercez une profession dans le domaine médical, paramédical ou médico-social alors le RGPD vous concerne car vous répondez « OUI » à au moins deux questions ci-dessous !
- Vous traitez des données médicales ?
- Vous utilisez un logiciel « patients » et/ou des dossiers matérialisés ?
- Vous faites appel à des prestataires pour la prise de rendez-vous ?
- Vous pratiquez la télémédecine ?
- Vous utilisez une messagerie pour échanger avec vos confrères et vos patients ?
- Avez-vous réalisé l’analyse d’impact relative à la protection des données (AIPD)?
- Avez-vous mis en place un registre de traitement de données ?
- Avez-vous informé vos patients du traitement des données personnelles collectées ?
Savez-vous que le non-respect de la réglementation concernant la protection des données personnelles peut entraîner des sanctions administratives de la CNIL voire des sanctions pénales ?
Vos obligations envers la CNIL
Il est impératif de vous mettre en conformité avec la réglementation et de documenter cette conformité en respectant certaines obligations :
L’analyse d’impact relative à la protection des données (AIPD) est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée. Elle concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Le responsable de traitement avec l’aide d’un délégué si désigné et les sous-traitants est tenu de réaliser cette analyse d’impact car il traite des données dites « sensibles »puisqu’il s’agit de données de santé et/ou de mineur.es
Lien pour se faire aider : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Contre la perte, la destruction ou les dégâts d’origine accidentelle ou la divulgation non autorisée plusieurs actions sont à mener :
- Mise à jour de l’antivirus de vos différents logiciels ainsi que du pare-feu
- Etablir un contrat de sous-traitance avec vos prestataires
- Sauvegarder vos fichiers et conservez-les dans un lieu différent que le cabinet médical
- L’accès aux locaux et aux supports sur lesquels sont contenues les données personnelles doit être limité aux personnes habilitées
- Changer les mots de passe régulièrement
- Utiliser un système de chiffrement avec un logiciel adapté
- Programmer un verrouillage de votre session informatique automatique au bout de 30 minutes d’inactivité
- Proscrire toute connexion d’appareil non professionnel sur le réseau
- Utiliser CPS, CPE
- Limiter la transmission des données sensibles de vos patients.
Cf fiche pratique du CNOM : « échange et partage d’info »
La CNIL est en mesure de demander l’accès au registre de vos activités de traitement de données personnelles.
Ce registre doit être conservé en interne de façon matérialisé ou non.
Modèle de registre de traitement de données personnelles (à télécharger)
Votre patientèle est en droit de connaître les conditions dans lesquelles vous traitez leurs données.
Un document doit être affiché dans la salle d’attente ou au secrétariat.
Dans le cas d’une étude ou de recherche médicale, un document personnel doit être remis au patient.
Modèle d’affiche pour votre patientèle (à télécharger)
Si une violation de données est constatée, il est obligatoire de la signaler, dans les 72h, sur le site de la CNIL.
Pour plus d’informations : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
La confidentialité se définit comme « le fait de s’assurer que l’information n’est seulement accessible qu’à ceux dont l’accès est autorisé ». (Définition de l’Organisation internationale de normalisation – norme ISO).
Pour le patient, la confidentialité est un pacte de confiance et de sécurité établi avec les professionnels de santé.
Le secret professionnel se définit comme l’interdiction de divulguer à des tiers une information dont un employé a eu connaissance dans l’exercice de sa profession.
Le secret médical est la composante du secret professionnel qui concerne les professionnel.les de santé.
La clause de confidentialité doit être incluse dans tous les contrats.
Le mot de GREEN Secrétariat
La mise en conformité relève parfois du parcours du combattant !
Vous trouverez dans cet article deux documents à télécharger et à remplir selon votre structure et vos activités.
Vous pouvez m’écrire via le formulaire contact si vous avez une question, besoin d’aide ou des remarques sur le contenu de cet article.