Si vous êtes en profession libérale, le guide sur la protection des données personnelles publié le 20 juin dernier par la Commission nationale de l’informatique et des libertés (Cnil) et le Conseil national de l’ordre des médecins (Cnom) vous est destiné. Celui-ci s’adresse plus particulièrement aux médecins et aux obligations qui leur incombent en matière de protection des données personnelles. Au travers de six fiches thématiques, la Cnil et le Cnom abordent ainsi divers sujets : les dossiers de patients, la prise de rendez-vous, l’utilisation de la messagerie électronique et du téléphone portable, les recherches et enfin la télémédecine. Dans chacune d’elles, une checklist est insérée, comportant les bonnes pratiques à respecter.

Cette publication intervient d’ailleurs après la signature les 13 et 14 juin 2018 de l’avenant n°6 à la convention médicale par la Confédération des syndicats médicaux français (CSMF), MG France, Le Bloc et le Syndicat des médecins libéraux (SML). La Fédération des médecins de France (FMF) les a rejoints le 27 juin. Cet avenant est le résultat de l’accord entre l’Assurance Maladie, les mutuelles (organismes complémentaires) et ces 5 syndicats sur les conditions de déploiement de la télémédecine en France à compter du 15 septembre prochain. Avec cet avenant, deux catégories d’actes sont créées : la téléconsultation (consultation à distance par échange vidéo) et la télé-expertise (consultation d’un confrère sur le cas d’un patient).

Quid du dossier du patient ?

Tout médecin a une obligation de protection des informations qu’il collecte. En effet, chaque jour, les dossiers des patients, papiers ou non, la plateforme de rendez-vous en ligne ou encore les possibles actes de télétravail entraînent le traitement de données personnelles de santé. Ce sont « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (Article 4 al. 15 du RGPD).

En outre, la détention d’un dossier de patient doit répondre à une « finalité déterminée, explicite et légitime ». En d’autres termes, tout dossier n’étant pas constitué dans le but et dans l’activité de l’exercice doit être proscrit. Par exemple, l’utilisation personnelle ou commerciale des dossiers des patients est prohibée. De plus, toute information détenue doit être « utile et nécessaire » à l’activité de prévention, de diagnostic et de soins. De ce fait, toute information qui ne serait pas en lien avec l’objet de la consultation du patient ou bien pour la bonne exécution des soins, n’est pas autorisée : religion du patient, orientation sexuelle, etc. Ces dossiers doivent également, être conservés pour une « durée qui n’excède pas la durée nécessaire à l’utilisation que vous en faites ». Le Guide contient plusieurs exemples de durées de conservation, notamment un délai de 20 ans à compter de la date de la dernière consultation du patient. En outre, les patients devront être informés de l’existence de ce dossier mais aussi du fait qu’ils ont des droits d’accès. C’est pourquoi il est conseillé de les renseigner par voie d’affichage ou de remise de documents.

Par ailleurs, il incombe au médecin d’empêcher que des tiers non autorisés accèdent aux données de santé des patients. Pour cela, il faut être vigilant quant au choix des prestataires de service. Par exemple, un hébergeur agréé ou certifié (conformément aux dispositions de l’article L. 1111-8 du code de la santé publique), est nécessaire lorsque le médecin souhaite assurer la conservation des données dans des serveurs à distance.

Quid des échanges entre un professionnel et son patient ?

Dans le cadre de sa profession, tout médecin est amené à échanger des informations avec ses patients ou bien encore d’autres professionnels. C’est pour cela que la Cnil et le Cnom donnent également des conseils pour l’utilisation du téléphone et de toute communication.

En premier lieu, il est conseillé d’utiliser le système de messagerie sécurisé de santé pour un échange entre professionnels et de sécuriser ou de chiffrer les pièces sensibles lorsque le médecin s’adresse à des particuliers. Il est également rappelé que les messageries instantanées doivent être « utilisées avec la plus grande précaution », voire même « proscrites ». En effet, « seule une application présentant les garanties suffisantes de protection des données peut être utilisée dans le cadre de votre exercice professionnel. ».

En second lieu, si le médecin utilise son téléphone portable dans le cadre de sa profession, les règles de sécurité doivent être respectées : ne pas prêter son portable, ne pas garder sur la mémoire interne des informations médicales de ses patients, chiffrer les données, etc.

Quid des sanctions ?

En cas de violation de données personnelles (divulgation, perte, altération, etc.), le médecin doit prendre les mesures nécessaires afin de remédier à ce problème. Si cela impacte les droits et libertés des personnes, c’est au médecin de notifier la Cnil en remplissant le formulaire en ligne, puis en informant les personnes concernées.

Si le médecin ne respecte pas ses obligations et que la Cnil constate un défaut de conformité, même à son insu, elle peut prononcer une sanction administrative, voire pénale, en fonction de la gravité du non-respect de la réglementation. La première peut s’élever jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires annuel. Quant à la sanction pénale, elle peut s’élever jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende, pour une personne physique.

Mathias Avocats conseille régulièrement des organismes de santé et reste à votre disposition pour vous accompagner dans le cadre de vos démarches de mise en conformité.