RGPD et professionnels de santé libéraux : ce que vous devez savoir

RGPD et professionnels de santé libéraux : ce que vous devez savoir

Depuis l’entrée en application du règlement général sur la protection des données, la CNIL reçoit de nombreuses demandes de la part des professionnels de santé libéraux pour comprendre ce qui change ou non. La CNIL propose donc de répondre aux questions les plus fréquemment posées, en attendant la parution prochaine d’un guide pratique en partenariat avec le CNOM.

Les dispositions du RGPD s’appliquent-ils uniquement à vos traitements informatiques ?

Les dispositions du RGPD s’appliquent à tous les traitements de données personnelles (ex : nom, prénom, numéro de patient, etc.) que vous utilisez pour l’exercice de votre activité professionnelle, que ces traitements soient sous une forme informatique (ex : logiciel de gestion de votre cabinet médical, logiciel utilisé pour l’exploitation de votre pharmacie, de votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.) ou papier (ex : dossier patient papier).

Quelles informations sur les patients pouvez-vous collecter ?

Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

A titre d’exemple, la collecte d’informations sur la vie familiale d’un patient n’est en principe pas appropriée.

Pouvez-vous transmettre les données de vos patients à tous les professionnels, organismes ou autorités qui vous les demandent ?

Vous devez limiter l’accès aux données de santé de vos patients : seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci (ex : équipe de soins d’un établissement de santé intervenant dans la prise en charge sanitaire du patient, secrétaire médicale, organismes d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, etc.). Ces personnes n’accèdent qu’aux données nécessaires à l’exercice de leur mission (ex : le secrétaire médical accède aux données administratives permettant de gérer les prises de rendez-vous, mais n’accède pas à la totalité du dossier médical).

Par ailleurs, la loi peut autoriser certains tiers à avoir accès aux données de vos patients (ex : les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, etc.).

Combien de temps pouvez-vous conserver les données que vous collectez sur vos patients ?

Les données que vous collectez sur vos patients doivent être conservées pour une durée déterminée.

A titre d’exemple, les médecins libéraux conservent, conformément aux recommandations du Conseil national de l’Ordre des médecins, les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation.

Devez-vous informer les patients dont vous collectez et conservez les données de santé ?

Vous devez délivrer aux patients une information portant sur le traitement de données que vous effectuez pour leur prise en charge (soit dans votre logiciel de suivi, soit dans votre dossier papier). Cela peut être sous la forme d’une affiche, dans votre salle d’attente.

Devez-vous recueillir le consentement du patient pour collecter et conserver les données de santé que vous utilisez pour la mise en œuvre de votre activité ?

Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.

Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (ex : le code de la santé publique impose le recueil du consentement du patient pour la réalisation d’un examen des caractéristiques génétiques).

Etes-vous responsable de la mise en place de mesures de sécurité pour garantir le respect de la confidentialité des données de santé de vos patients ?

Vous devez respecter des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Pour ce faire vous devez mettre en place des mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données (ex : utilisation de la carte professionnel de santé, mot de passe personnel, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc.).

Si vous passez par un prestataire qui traite des données en votre nom et pour votre compte (ex : hébergement de données par un hébergeur de données de santé agréé ou certifié, etc.), celui-ci doit, en tant que sous-traitant, vous garantir un niveau de sécurité adapté au risque. Vous devez vérifier ce point et conclure un contrat avec votre prestataire.

Devez-vous toujours déclarer les traitements de données personnelles auprès de la CNIL ?

Avec l’entrée en application du RGPD, vous n’avez plus de formalité à accomplir auprès de la CNIL pour les traitements de données personnelles nécessaires à la gestion de votre activité (cabinet médical, d’infirmiers, d’orthophonistes, laboratoire de biologie médicale, officine pharmaceutique, opticien, etc.).

En revanche, vous devez être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD en traçant toutes les démarches entreprises : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc.

Etes-vous obligé de désigner un délégué à la protection des données (DPO) ?

Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de désigner un DPO. Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.).

Devez-vous tenir un registre des activités de traitement ?

La constitution et le maintien d’un registre est une obligation prévue par le RGPD. Elle s’applique à toutes les structures qui traitent des données personnelles de façon régulière dans le cadre de leurs activités.

Dans la mesure où vous mettez en œuvre des traitements pour l’exercice de votre activité professionnelle (ex : pour la gestion de votre cabinet, pour l’exploitation de votre pharmacie, pour votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.), vous devez tenir un registre des activités de traitement et le renseigner.

La tenue de ce registre est l’occasion de se poser les bonnes questions et de limiter les risques au regard des principes du RGPD.

Une fois renseigné, devez-vous transmettre votre registre des activités de traitement à la CNIL ?

Votre registre doit être conservé en interne : il vous permet de documenter votre conformité au RGPD.

Ainsi, la CNIL n’est pas destinataire des registres des activités de traitement des professionnels de santé. Néanmoins, si vous faites l’objet d’un contrôle de la CNIL, vous devez être en mesure de le mettre à disposition des agents de la CNIL effectuant le contrôle.

Devez-vous mener une analyse d’impact pour tous les traitements que vous mettez en place dans le cadre de votre activité (ex : gestion du suivi du patient, fournisseurs, salariés, etc.) ?

Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de mener une analyse d’impact pour les traitements que vous menez dans le cadre de votre activité.

Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez mener une analyse d’impact pour les traitements concernés.

  • Pour tout savoir sur les conditions de réalisation d’une AIPD (analyse d’impact relative à la protection des données) , vous pouvez consulter les guides PIA.

Source : RGPD et professionnels de santé libéraux : ce que vous devez savoir | CNIL


Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

Laisser un commentaire