Vous avez reçu, comme beaucoup d’entre nous, de multiples mails concernant le RGPD tout juste entré en vigueur hier.  De nombreux articles déjà présents sur la toile expliquent très bien le principe et les règles à respecter. Je vous propose plutôt de vous résumer ce que vous pouvez mettre en pratique pour être en conformité.

 

Un DPO, obligation ou non du RGPD pour votre cabinet ?

Du “N’ayez pas peur du RGPD” au “Êtes-vous en conformité” en passant par “Pour X€ par mois, prenez un DPO externalisé”, nous sommes sollicités de toutes parts sur le sujet depuis plusieurs mois.

Si vous n’êtes pas un gros cabinet, 

ne tombez pas dans le piège du DPO externalisé !

En effet, de gros moyens sont disponibles pour les grosses structures. Mais pour un cabinet de deux ou trois infirmiers par exemple, qui traite de données de santé – dites données sensibles – il n’est pas facile de faire le nécessaire sans en payer des sommes astronomiques. En un an, nous avons déjà remarqué une multiplication des solutions en e-santé et de fortes évolutions des logiciels médicaux. Nous espérons donc avoir, dans les prochaines années, des solutions enfin adaptées pour des petites structures à qui on impose des règles mais sans donner les moyens abordables pour les appliquer…

Et oui, je vous rappelle que les données de santé (ordonnances, compte-rendu médical, carte tiers payant, etc.) sont des données qu’il convient de partager de manière sécurisée. Vous devez vous assurer que vos éditeurs de logiciel de facturation soient en conformité pour le traitement des données que vous leur confiez. Ce qui implique l’utilisation d’un hébergeur agréé données de santé (HADS ou HDS) pour le stockage de vos données lorsque vous y avez accès à distance.

Le RGPD en pratique

Pour un cabinet de petite taille, voici ce que vous pouvez faire pour gérer la protection de vos données et de celles de vos patients :

Sécuriser les échanges électroniques

  • Utilisez une messagerie médicale sécurisée pour communiquer avec les professionnels de santé (MS-Santé, Apicrypt…). Les URPS et certaines régions mettent à disposition des solutions gratuites pour utiliser ce type de services. Je pense notamment à MonSisra qui est l’outil disponible en Rhône-Alpes.
  • Si vous souhaitez communiquer avec d’autres personnes qui ne sont pas des professionnels de santé, il vous reste la solution de la messagerie classique, mais veillez à ne pas utiliser celles qui sont connues comme n’étant pas le top du top niveau sécurité.
  • Si l’envoi de mail à destination de non-professionnel de santé n’est pas encore possible à travers MSsanté et Apycript, il est conseillé d’utiliser un cryptage du message, avec éventuellement une clé d’authentification ou encore un chiffrement. Plutôt laborieux au quotidien, j’en conviens. Mais vous devez être garant de la sécurité des données que vous envoyez.

Renforcer l’accès aux données.

  • Instaurez des mots de passe pour accéder à votre poste de travail, à votre logiciel métier et à tout autre support à partir duquel vous êtes amené à traiter des données de santé.
  • Modifiez vos mots de passe régulièrement.
  • Mettez à jour votre anti-virus.
  • Archivez vos dossiers dans une armoire fermée à clé.

Veillez au respect des droits de vos patients, le fondement du RGPD.

  • Vos patients ont des droits sur les données que vous récoltez et traitez qui sont renforcés par le RGPD : il s’agit de leur droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation de traitement.
  • Vous devez dans un premier temps les informer de ces droits par voie d’affichage dans la salle d’attente de votre cabinet par exemple. La CNIL indique que vous n’avez pas besoin de recueillir le consentement de vos patients pour le traitement de leurs données car celles-ci sont nécessaires à leur prise en charge et la mise en oeuvre de votre activité.

Tenir un registre des traitements des données, la base du RGPD.

Vous l’aurez compris, le tout est de sécuriser un maximum les données de vos patients.

Certaines sociétés n’hésitent pas à vous faire peur en vous informant des grosses sanctions en cas de non-respect du RGPD et par la suite, vous proposant leurs services : que cela soit une documentation à acheter ou un simple échange, la CNIL recommande de se renseigner d’abord au sujet de la société qui vous a contacté avant toute souscription. En cas de doute, n’hésitez pas à les appeler au 01.53.73.22.22.

Le RGPD chez WeBill

Chez WeBill Santé, en tant que prestataire de services, nous avons mis en place le nécessaire pour respecter le droit de vos patients. Après formations sur le sujet et renseignements pris auprès du juriste santé de la CNIL, nous pouvons vous assurer qu’en tant qu’infirmier libéral, kinésithérapeute ou médecin – exerçant à titre individuel – vous n’avez pas l’obligation de désigner un DPO externalisé – sauf si vous êtes un cabinet de 60 praticiens 😉 . 

En effet, il est bien notifié qu’il faut être dans le cas de traitement de données de santé à grande échelle. Le Règlement indique qu’il s’agit des traitements « qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées » (paragraphe 91 du préambule).

Évidemment, si vous souhaitez en désigner un tout de même, rien ne vous en empêche, mais pour les autres, ne vous faites pas avoir en payant pour avoir un DPO alors que vous n’y êtes pas contraint.

Une permanence téléphonique est disponible avec le juriste santé de la CNIL les lundis matin et jeudis après-midi. Alors n’hésitez pas à l’appeler si une question subsisterait ! (Tél : 01.53.73.22.22 choix 1 – puis choix 3).

En savoir plus sur le RGPD

Voici quelques liens qui vous seront utiles pour comprendre le RGPD et en connaître les grandes lignes :

GUIDE PRATIQUE DE SENSIBILISATION AU RGPD POUR LES PETITES ET MOYENNES ENTREPRISES

Fiche CNIL : Cabinets médicaux et paramédicaux à titre libéral : que faire ?

https://www.cnil.fr/fr/video-le-youtubeur-cookie-connecte-repond-vos-questions-sur-larrivee-du-rgpd
https://www.cnil.fr/fr/traitement-de-donnees-de-sante-comment-informer-les-personnes-concernees