J-1 avant l'entrée en vigueur du règlement général sur la protection des données personnelles (RGPD).
Franchement obscur pour les médecins, cet acronyme a obligé les syndicats de médecins libéraux (CSMF et FMF pour l'instant) à proposer à leurs adhérents un kit de survie pédagogique.
Le RGPD renforce à partir de demain les droits existants pour l'ensemble des citoyens européens. L'impact de cette nouvelle réglementation sur le quotidien des professionnels est bien réel, car le RGPD rend avant tout aux patients la maîtrise et l'accès à leurs données de santé. Par essence, le secteur de la santé brasse une masse immense de données sensibles. Les établissements sanitaires et les praticiens traitant des informations à caractère personnel, de manière automatisée, informatisée ou sur papier vont donc devoir se mettre au pas. La Commission nationale de l'informatique et des libertés (CNIL) accompagnera la mise en conformité via des outils et des fiches pratiques.
« Le RGPD ne constitue pas un bouleversement par rapport aux règles qui existent. En revanche, il en chamboule les modalités d'application, précise Me Benoît Louvet, spécialiste du cabinet Houdart au cours d'une session de formation avec le centre natioal de l'expertise hospitalière (CNEH) à Paris. » Ainsi, si un patient (depuis plus de cinq ans) réclame l'accès à ses informations médicales, les professionnels de santé doivent s'exécuter dans le mois, contre deux auparavant.
En ville, sécurisation des données pendant 20 ans
L'Ordre des médecins publiera en juin un guide rédigé avec la CNIL pour aider les praticiens à être dans les clous. Chaque médecin, maisons et pôles de santé traitant et sauvegardant des données personnelles (informatique ou papier) devra être en mesure de les sécuriser et de les conserver au minimum 20 ans (et 90 jours pour le double des feuilles de soins).
La tenue d'un registre est obligatoire. Pour l'établir, il est conseillé de recenser précisément les catégories de données (dossier médical, plateforme de rendez-vous en ligne), la pertinence des données et la finalité du traitement, soit les soins du patient.
Pour assurer la sécurité des données, il faut privilégier le verrouillage du clavier d'ordinateur et l'installation de pare-feu. L'Ordre recommande que l'accès aux dossiers s'effectue via la carte professionnelle de santé. Autre niveau de sécurité : les informations médicales devront être adressées par messagerie sécurisée et les données intégrées sur un hébergeur agréé de données de santé. Une sauvegarde externe est fortement conseillée.
Enfin, les médecins doivent informer leur patientèle qu'il existe un traitement informatisé des données en l'affichant dans leur cabinet.
À l'hôpital, data protection officer et double registre
Les établissements ont l'obligation de nommer un délégué à la protection des données (DPD) ou data protection officer (DPO) en interne ou de faire appel à un cabinet d'avocats ou de conseil informatique. « C'est le chef d'orchestre de la structure. Il a pour mission d'informer, conseiller et contrôler toute la mise en œuvre », explique le Dr Thierry Gaches, médecin DIM et DPO à l'hôpital de Quimper.
Les structures doivent dresser un panorama des données à protéger. Elles vont cartographier les activités liées à l'exploitation des données (entrepôt de données de santé, recherche, dossier médical, gestion de paie, etc.), préciser les catégories de data (identité, économique, sensible – santé, génétique, biométrie), la finalité de leur utilisation (diagnostics médicaux, prise en charge sanitaire, médecine du travail), les temps de conservation et l'identité des individus ayant accès aux données. La CNIL propose un modèle de registre en ligne. Pour une question de responsabilité, il est conseillé à l'hôpital de faire un sort particulier à ses sous-traitants (hébergeurs, prestataires et maintenance informatiques).
Si les hôpitaux possèdent déjà un régime de sécurité informatique très élevé, ils devront en plus tenir une documentation interne à jour décrivant par le menu leur usage des données et les mesures de mise en conformité. Nouveauté : ils ont aussi l'obligation de déclarer dans les 72 heures à la CNIL tout incident (perte, vol de données, etc.). Les événements indésirables significatifs (sécurité des soins, confidentialité) sont toujours à déclarer à aux ARS.
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes