Avec un mois de retard par rapport à son entrée en vigueur, la CNIL met à disposition des médecins libéraux un guide de mise en conformité avec le RGPD. Un document qui détaille tout un éventail de nouvelles règles auxquels les professionnels de santé doivent se conformer.
Il est entré en vigueur le 25 mai dernier, avec un acronyme qui fait peur. Son arsenal de sanctions fait même trembler bon nombre d’entreprises. Le Règlement Général relatif à la Protection des Données, ou RGPD, est bien là !
Mais il ne concerne pas seulement les grandes entreprises. Les professionnels de santé doivent aussi s’y conformer sous peine de voir arriver des amendes plus que salées. Pour rappel, une entreprise contrevenante peut se voir ponctionner jusqu’à 10 000 000€ ou 2% du chiffre d’affaires annuel mondial pour les cas les moins graves, à 20 000 000€ ou 4% du chiffre d’affaires annuel mondial pour les cas les plus graves.
Médecins libéraux, gare à vous !
Le 19 juin dernier, la CNIL remettait au Conseil Nationale de l’Ordre des Médecins un guide pratique pour que les médecins libéraux se conforment au RGPD. Ce document d’une quarantaine de page revient largement sur les nouvelles pratiques que doivent adopter les praticiens libéraux pour protéger les données sensibles et identifiantes de leurs patients.
La première chose que l’on remarque, c’est que les médecins vont devoir prendre plus de temps pour expliquer ces démarches à leurs patients, et qu’ils vont devoir avoir affaire à un peu plus de « paperasse ». En clair, l’une des premières choses à faire est d’explicitement expliquer à chaque patient, lors de chaque consultation, que vous conservez des données personnelles qui le concerne. De plus, il faudra récupérer son consentement quant à la rétention de ces informations.
Un peu plus loin, le guide fait aussi la part belle aux « nouvelles bonnes pratiques » des libéraux. On apprend par exemple que la communication entre professionnels de santé risque d’être passablement affectée par le RGPD. Pour ce qui est du transfert de données entre professionnels, il est recommandé d’utiliser une messagerie sécurisée et non pas une messagerie classique.
Un dispositif qui montre déjà ses limites puisqu’il est pour l’instant, pratiquement impossible d’utiliser une messagerie sécurisée pour l’envoie de données entre un médecin dont la pratique est reconnue par l’Ordre et un second qui ne serait pas reconnu (un ostéopathe par exemple).
Une partie entière est aussi consacrée à la consultation de ces données par un praticien sur un téléphone ou sur une tablette. Le guide explique que ces dispositifs doivent être hypersécurisés avec « un mot de passe à douze caractères dont des majuscules, des minuscules, des caractères spéciaux et des chiffres. Il doit aussi avoir un verrouillage automatique après un court délais et un chiffrement des données, des patients. »
Bonne chance aux libéraux pour se confronter à toutes ses nouvelles règles…
Néanmoins, on regrettera juste que ce guide sorte un peu tard, le 19 juin 2018, alors que le RGPD est entré en vigueur un mois plus tôt. Pour une mise en conformité en temps et en heures, on repassera. De même, quid des médecins en structure public ? La nomination d’un DPO, pour Data Protection Officier, ne devrait pas dispenser les médecins exerçant dans le secteur public, de se conformer au RGPD. Mais ça, c’est un détail non ?
