Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

GUIDE PRATIQUE SUR LA PROTECTION DES DONNÉES PERSONNELLES ÉDITION JUIN 2018 1 T

GUIDE PRATIQUE SUR LA PROTECTION DES DONNÉES PERSONNELLES ÉDITION JUIN 2018 1 TABLE DES MATIÈRES Pourquoi un guide pratique sur la protection des données personnelles ? 2 Pourquoi êtes-vous concerné par le RGPD ? 3 Fiche 1 Quel cadre appliquer aux dossiers des patients ? 5 Quelles sont vos obligations ? 5 Devez-vous accomplir une formalité particulière auprès de la CNIL ? 11 Devez-vous désigner un délégué à la protection des données (DPO) ? 12 Pouvez-vous être sanctionné ? 12 Fiche 2 Quel cadre appliquer à la prise de rendez-vous ? 13 Quelles sont vos obligations ? 13 Quelles sont les obligations du prestataire tiers gérant la prise de rendez-vous ? 14 Pouvez-vous être sanctionné ? 15 Fiche 3 Quel cadre appliquer à l’utilisation de la messagerie électronique ? 16 Qu’est-ce que le système de messagerie sécurisée de santé ? 17 Pouvez-vous utiliser des services de messagerie électronique standard ? 18 2 Fiche 4 Quel cadre appliquer aux téléphones portables et tablettes ? 19 Pouvez-vous utiliser votre téléphone portable ou votre tablette pour accéder à vos dossiers patients ? 19 Comment pouvez-vous utiliser votre téléphone portable ou votre tablette comme moyen de communication ? 20 Fiche 5 Quel cadre appliquer aux recherches ? 21 Quelles sont vos obligations dans le cadre d’études internes ? 21 Quelles sont vos obligations lors de recherches médicales en partenariat avec un tiers (recherche dite multicentrique) ou nécessitant un recueil de données supplémentaires ? 22 Fiche 6 Quel cadre appliquer à la télémédecine ? 25 Vos obligations changent-elles dans le cadre de la télémédecine ? 25 Quelles sont les obligations de la plateforme de télémédecine ? 26 Annexe n° 1 : exemple de notice d’information pour la gestion d’un cabinet médical 27 Annexe n° 2 : registre des activités de traitement 28 Lexique 35 3 Pourquoi un guide pratique sur la protection des données personnelles ? Le Règlement Général sur la Protection des Données (RGPD)1 est entré en application le 25 mai 2018. La loi française Informatique et Libertés2 a été adaptée en conséquence par la loi sur la protection des données personnelles en cours de promulgation. Ces deux textes constituent désormais le socle de la nouvelle réglementation sur la protection des données personnelles. Le présent guide pratique a pour ambition d’orienter les médecins, en exercice libéral, dans la mise en œuvre des obligations prévues par la nouvelle réglementation sur la protection des données personnelles. En complément de ce guide, la CNIL vient de mettre en ligne une fiche thématique : « RGPD et professionnels de santé libéraux : ce que vous devez savoir » (https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux- ce-que-vous-devez-savoir). Elle propose d’autres fiches thématiques dédiées aux problématiques de santé (télémédecine, application mobile, etc.) que vous pouvez consulter sur : https://www.cnil.fr/fr/sante. Si vous exercez au sein d’un établissement de santé, d’un EHPAD, ou encore d’un centre de santé, vous pouvez vous rapprocher de la direction, ou de toute personne susceptible de gérer la question des données personnelles. Si votre structure a désigné un délégué à la protection des données (DPO), ce dernier est l’interlocuteur privilégié pour vous renseigner sur l’état de conformité de votre structure au RGPD ou répondre à toutes vos questions. Pourquoi êtes-vous concerné par le RGPD ? En tant que médecin en exercice libéral, vous êtes amené à recevoir ou à émettre des informations sur vos patients pour assurer leur suivi que ce soit dans le dossier « patient » (papier ou informatique), dans le cadre de l’utilisation d’une plateforme en ligne de gestion des rendez-vous ou encore de la réalisation d’actes de télémédecine. De manière plus globale, vous collectez également des informations pour gérer votre cabinet (ex : gestion des fournisseurs, des personnels que vous employez, etc.). Ces informations que vous recevez et / ou émettez, à l’occasion de votre activité professionnelle, sont considérées comme des données personnelles. Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable » c’est-à-dire une personne physique qui peut être identifiée, directement ou indirectement3. 1 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). 2 Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 3 Art. 4 1) du RGPD. 4 En pratique, il peut s’agir de données d’identification comme les nom, prénom, adresse, ou numéro de téléphone, d’informations sur la vie personnelle du patient (ex : nombre d’enfants), sa couverture sociale (ex : assurance maladie obligatoire, assurance maladie complémentaire, etc.) et surtout d’informations relatives à sa santé (pathologie, diagnostic, prescriptions, soins, etc.), les éventuels professionnels qui interviennent dans sa prise en charge. Vous détenez également, dans le cadre de votre exercice, le numéro de sécurité sociale des patients (Numéro d’Inscription au Répertoire des Personnes Physiques - NIR) pour facturer les actes réalisés. Pour toutes ces situations où vous utilisez ces données personnelles, vous êtes concerné par le RGPD. 5 Fiche 1. Quel cadre appliquer aux dossiers des patients ? Check-list des bonnes pratiques à respecter : → Je limite les informations collectées au nécessaire et j’utilise les dossiers patients conformément aux finalités définies (suivi des patients) ; → Je tiens un registre à jour de mes « traitements » (voir annexe n° 2 « Registre des activités de traitement) ; → Je supprime les dossiers patients et de manière générale toute information ayant dépassé la durée de conservation préconisée ; → Je mets en place les mesures appropriées de sécurité de mes dossiers « patients » ; → J’informe mes patients et m’assure du respect de leurs droits (voir l’annexe n° 1 « Exemple de notice d’information »). Vous utilisez, dans votre exercice professionnel, un logiciel fourni par un prestataire informatique pour tenir vos dossiers « patients », ou vous tenez vos dossiers « patients » sous format papier. Ces dossiers contiennent nécessairement des données personnelles sur vos patients et les autres professionnels de santé intervenant dans leur suivi. Vous êtes donc considéré comme « responsable de traitement » au sens de la réglementation sur la protection des données personnelles. Vous devez vous assurer de la conformité des dossiers avec cette réglementation. Quelles sont vos obligations ? Vous devez vous assurer que l’usage des dossiers « patients » respecte les principes fondamentaux de la protection des données personnelles4. 4 Art. 5 RGPD et art. 6 loi Informatique et Libertés. 6 1. Vos dossiers papiers ou votre logiciel médico-administratif doit répondre à des finalités déterminées, explicites et légitimes. Ainsi, les informations que vous collectez dans les dossiers « patients » sont utilisées pour exercer votre activité de prévention, de diagnostic et de soins et servent à gérer votre cabinet. Elles répondent aux besoins de la prise en charge de vos patients. Il s’agit notamment de permettre : • la gestion des rendez-vous ; • la gestion des dossiers médicaux ; • l’édition des ordonnances ; • l’envoi de courriers aux confrères ; • l’établissement et la télétransmission des feuilles de soins. Toute autre utilisation des informations que vous collectez à l’occasion de la prise en charge doit être réalisée avec précaution. En particulier, toute utilisation personnelle ou commerciale des dossiers de vos patients est naturellement prohibée. 2. Les données que vous collectez et que vous reportez, dans les dossiers de vos patients, doivent être adéquates, pertinentes et limitées à ce qui est nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins. Toutes les informations que votre patient a pu vous révéler, dans le cadre de vos échanges, ne doivent pas nécessairement intégrer son dossier. Seules celles qui sont utiles au suivi de votre patient peuvent être enregistrées et conservées. Dans ce cadre, la CNIL estime légitime de collecter certaines catégories de données personnelles, notamment : • les données d’identification : nom, prénom, date de naissance, adresse, numéro de téléphone ; • le numéro de sécurité sociale : uniquement pour l’édition des feuilles de soins et la télétransmission aux caisses d’assurance maladie ; • selon les contextes, la situation familiale : situation matrimoniale, nombre d’enfants ; • selon les contextes, la vie professionnelle : profession, conditions de travail ; • la santé : historique médical, historique des soins, diagnostics médicaux, traitements prescrits, nature des actes effectués, résultats d’examens de biologie médicale et tout élément de nature à caractériser la santé du patient et considéré comme pertinent par le médecin; • informations relatives aux habitudes de vie : si collectées avec l’accord du patient et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins. Si d’autres informations vous paraissent pertinentes et nécessaires pour votre exercice professionnel, vous pouvez les collecter (ex : origine ethnique ayant une influence particulière sur une pathologie déterminée ou un traitement médical, habitudes alimentaires). Fiche 1 Quel cadre appliquer aux dossiers des patients ? 7 En revanche, toute uploads/Sante/ ghid-gdpr-medical-franta.pdf