Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en France le 25 mai 2018. Il remplace le système d'autorisation de traitement des données en vigueur jusque-là.
Grands principes du RGPD
Son principe de base : les données personnelles (c'est-à-dire rattachées à une personne physique identifiée) appartiennent au citoyen européen, et non à l'organisme qui reçoit les informations. Ce principe implique des règles précises en matière de recueil, stockage, traitement et protection des données personnelles, que les professionnels des regroupements en exercice coordonné pluriprofessionnel sont susceptibles de réaliser.
Ses objectifs sont les suivants :
- Renforcer les droits des personnes
- Responsabiliser les acteurs traitant des données
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données
Définition des données à caractère personnel
Selon la Commission européenne : "Les données à caractère personnel sont des informations se rapportant à une personne vivante identifiée ou identifiable. Différentes informations, dont le regroupement permet d’identifier une personne en particulier, constituent également des données à caractère personnel.
Des données à caractère personnel qui ont été rendues anonymes, chiffrées ou pseudonymisées, mais qui peuvent être utilisées pour identifier à nouveau une personne constituent toujours des données à caractère personnel et sont couvertes par le RGPD.
Les données à caractère personnel rendues anonymes de telle manière que la personne ne soit pas ou plus identifiable ne constituent plus des données à caractère personnel. Pour qu’une donnée soit véritablement rendue anonyme, le processus d’anonymisation doit être irréversible."
Des outils pour vous mettre en conformité
La CNIL (Commission nationale informatique et libertés) propose des outils à destination des professionnels de santé pour appliquer correctement le RGPD dans leur pratique.
Elle a publié début juin 2018 un article complet qui répond aux questions suivantes:
- Les dispositions du RGPD s’appliquent-ils uniquement à vos traitements informatiques (ex : logiciel utilisé pour le suivi de vos patients) et pas à vos dossiers papiers ?
- Quelles informations sur les patients pouvez-vous collecter ?
- Pouvez-vous transmettre les données de vos patients à tous les professionnels, organismes ou autorités qui vous les demandent ?
- Combien de temps pouvez-vous conserver les données que vous collectez sur vos patients ?
- Devez-vous informer les patients dont vous collectez et conservez les données de santé ?
- Devez-vous recueillir le consentement du patient pour collecter et conserver les données de santé que vous utilisez pour la mise en œuvre de votre activité ?
- Etes-vous responsable de la mise en place de mesures de sécurité pour garantir le respect de la confidentialité des données de santé de vos patients ?
- Devez-vous toujours déclarer les traitements de données personnelles auprès de la CNIL ?
- Etes-vous obligé de désigner un délégué à la protection des données (DPO) ?
- Devez-vous tenir un registre des activités de traitement ?
- Une fois renseigné, devez-vous transmettre votre registre des activités de traitement à la CNIL ?
- Devez-vous mener une analyse d’impact pour tous les traitements que vous mettez en place dans le cadre de votre activité (ex : gestion du suivi du patient, fournisseurs, salariés, etc.) ?
Lire l'article de la CNIL "RGPD et professionnels de santé libéraux : ce que vous devez savoir"
Elle a également mis à disposition des médecins libéraux, en partenariat avec le Conseil National de l’Ordre des Médecins, un guide pratique sur l'application du RGPD.
Il a pour objectif d'accompagner les médecins dans la mise en œuvre des obligations prévues par la nouvelle réglementation sur la protection des données personnelles. Il propose une approche pragmatique et des fiches thématiques, qui peuvent être consultées distinctement :
- Fiche 1 - Quel cadre appliquer aux dossiers patients ?
- Fiche 2 - Quel cadre appliquer à la prise de rendez-vous ?
- Fiche 3 - Quel cadre appliquer à l'utilisation de la messagerie électronique ?
- Fiche 4 - Quel cadre appliquer aux téléphones portables et tablettes ?
- Fiche 5 - Quel cadre appliquer aux recherches ?
- Fiche 6 - Quel cadre appliquer à la télémédecine ?
Guide pratique sur la protection des données personnelles (édition juin 2018)
En savoir plus
Si vous souhaitez en savoir plus sur le RGPD, la Commission européenne a mis en ligne toutes les informations concernant:
- les droits pour les citoyens
- les règles pour les entreprises et les organisations