L’IMPACT DU RGPD SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL POUR LES PRATICIENS OPHTALMOLOGUES

Par Maxime SALAUN
Juriste Consultant RGPD

 

 

Applicable depuis le 25 mai 2018, le RGPD est un texte de loi à vocation structurante visant toute administration, entreprise ou encore les professionnels de santé. Chaque praticien devra donc mettre en oeuvre les moyens nécessaires en vue de se conformer aux nouvelles obligations.

 

L’essence de cette réglementation reste la protection des données à caractère personnel et la reprise de contrôle sur son patrimoine informationnel par chaque individu. Pour ce faire, l’ensemble des professionnels devront se doter d’un arsenal de mesures visant à garantir une gestion licite des données patients, qu’elles soient sensibles (données de santé) ou non (données de gestion de la patientèle). Dans un esprit plus global, il est désormais nécessaire de contrôler, de maîtriser mais aussi de sécuriser et de rationaliser l’ensemble des données dont vous avez la responsabilité et d’en assurer la traçabilité. Il conviendra de détailler globalement les obligations qui vous incombent ainsi que les éléments nécessaires à mettre en oeuvre au sein de vos cabinets.

Les ophtalmologues face à l’obligation d’information

Comme tout collecteur de données personnelles, il est nécessaire de prévenir le patient de l’objet de la collecte de ses données ainsi que des droits dont il est titulaire à l’égard de ses propres données. Le RGPD, nous fournit le canevas précis des différentes informations devant obligatoirement figurer dans ces mentions ; de son côté la CNIL offre des modèles à compléter.

La gestion des traitements de données à caractère personnel

Comme tout organisme, vous devrez créer votre registre de traitements ; ce document vise à cartographier l’ensemble des données à caractère personnel que vous collectez et à les regrouper par finalité (gestion du dossier patient, gestion de la facturation…). Un tel document vous permettra de prouver votre conformité en cas de contrôle par la CNIL (Accountability).

La durée de vie des données ainsi que sa destruction

Il n’est pas possible de conserver une donnée à caractère personnel ad vitam eternam. En effet, chaque donnée possède une durée de vie définie soit par la loi elle-même, soit par la CNIL ou encore selon l’intérêt légitime de la personne la collectant. Dans le cadre des professions de santé, il est nécessaire de différencier les données de santé qui se conservent selon la durée légale prescrite par le Code de Santé publique. (La CNIL ou le CNOM proposent des référentiels standards rappelant ces durées). De leur côté, les données propres à la facturation, la gestion des équipements et des achats obéissent aussi aux règles imposées par le RGPD. En effet, selon la nature des données et documents en question, les durées de conservation varient. Il est nécessaire de préciser que ces durées démarrent à partir d’un moment précis comme par exemple la fin d’une relation contractuelle ou encore la survenance d’un événement médical. Une fois la durée de conservation échue, l’ensemble des données à caractère personnel collectées par le praticien doit être supprimé. La suppression s’applique tant pour les archives numériques que les archives papier. En vue d’effectuer cette opération, il est nécessaire de mettre en place des procédures de destruction (utiliser un broyeur ou une société de destruction) ou utiliser des logiciels prévoyant la purge automatique et régulière. L’anonymisation des documents (sans retour possible) est aussi un moyen efficace de se conformer à la loi.

Un niveau de sécurité adéquat

Enfin, le RGPD pose le cadre d’une doctrine sécuritaire en matière de données personnelles. Il obligera les praticiens à se doter et à formaliser l’ensemble des mesures de sécurité nécessaires et proportionnées aux traitements de données qu’ils effectuent ainsi qu’à la sensibilité de ces dernières. En vue de connaître le niveau de sécurité requis, il existe différents outils : des études d’impact sur la vie privée pour les traitements de données sensibles (comme les données médicales) ou encore des analyses de risques dans des cas spécifiques. Concernant les analyses d’impact sur la vie privée, la CNIL a mis au point un outil (PIA) permettant d’effectuer simplement ces études et de générer le document probatoire de rigueur. Les différents standards de sécurité se composent d’un volet physique qui comprend par exemple la fermeture des armoires à clé, l’utilisation de système de protection des locaux. Le second volet, plus technique, comprend la sécurité du système d’information logique. Ce dernier devra être protégé par un mot de passe fort et comporter un firewall ou des systèmes de cryptage de la donnée. L’ANSSI, fournit sur son site internet, différentes lignes directrices sur la sécurité applicables facilement. En somme, tout praticien devra se doter d’un panel d’outils permettant de prouver sa conformité. Malgré la lourdeur que cela semble présenter – il est intéressant d’envisager le verre à moitié plein plutôt qu’à moitié vide – de nombreuses règles ici présentées font partie intégrante du sens commun ou relèvent de standards classiques permettant de tracer l’ensemble des utilisations du patrimoine informationnel du praticien tout en établissant une cartographie essentielle du système d’information du cabinet ou de la structure. Dans ce cadre, notre RGPD peut donc être envisagé comme une démarche structurante et non comme un frein à l’activité.


accueil Blog Actu-CIL