RGPD – Protection des données : les règles qui s’appliquent aux professionnels libéraux
Le législateur européen a souhaité renforcer et uniformiser la réglementation des États membres relative à la protection des données à caractère personnel en responsabilisant les responsables de traitement et les sous-traitants. Dans le cadre de la loi Informatique et Libertés, un système de formalités préalables devait être réalisé auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité de contrôle. Avec l’entrée en application du RGPD, c’est le principe « d’accountability » qui s’applique.
Le principe « d’accountability » c’est le principe de « responsabilité ». Le responsable de traitement est tenu de garantir la sécurité des données personnelles en mettant en œuvre des mesures techniques et organisationnelles permettant de démontrer et de justifier, en cas de contrôle de la CNIL, que le traitement est réalisé conformément aux règles de protection des données définies par le RGPD.
L’objectif derrière ce système d’autorégulation est de responsabiliser les acteurs et de renforcer le droit des personnes. Le secteur de la santé est directement concerné par ce texte car les données de santé, considérées comme des données sensibles, bénéficient d’un régime de protection renforcé.
Les professionnels de santé libéraux, qui doivent veiller à ce renforcement de la protection des données, ont l’obligation de sécuriser celles de leurs patients qu’elles soient traitées de manière informatique ou papier :
- verrouillage de l’ordinateur de travail et mot de passe,
- armoire qui ferme à clé pour les dossiers papiers,
- envoi d’informations médicales exclusivement par messagerie cryptée et sécurisée.
Vous pouvez positionner une affiche dans votre salle d’attente leurs précisant notamment les traitements réalisés, leurs droits…
Actuellement, la CNIL collabore avec le CNOM (Conseil National de l’Ordre des Médecins) pour l’écriture d’un guide dans le but d’accompagner les médecins dans leur travail de mise en conformité avec le règlement européen. Son édition est prévue pour fin juin 2018.
Quelques définitions :
Une donnée à caractère personnel est une information permettant d’identifier directement ou indirectement une personne. Il s’agit d’une donnée de santé lorsqu’elle révèle des informations sur l’état de santé de la personne.
Le traitement concerne toute opération appliquée à des données à caractère personnel (collecte, enregistrement, conservation, utilisation, communication, etc.).
Le responsable de traitement = RT est la personne physique ou morale ou toute structure privée ou publique qui détermine les finalités et les moyens du traitement des données.