Le guide pratique, élaboré et rédigé conjointement par le CNOM et la CNIL, accompagne les médecins dans la mise en œuvre des obligations prévues par la nouvelle réglementation sur la protection des données personnelles.
Ce guide contient plusieurs fiches sur les thèmes suivants :
- Dossiers patients
- Prise de rendez-vous
- Utilisation de la messagerie électronique
- Utilisation des téléphones portables et tablettes
- La recherche
- La télémédecine
Ce guide a pour objectif d’orienter les médecins, en exercice libéral, dans la mise en œuvre des obligations prévues par le RGPD. En effet, les médecins sont amenés à traiter des données à caractère personnel de leurs patients dans le cadre notamment du dossier patient et utilisent des plateformes en ligne de prise de rendez-vous ou encore peuvent réaliser des actes de télémédecine.
Parmi les points intéressants, nous avons relevé notamment que :
- La CNIL rappelle les obligations des médecins en tant que responsables de traitement, notamment l’obligation d’information des personnes concernées (notamment par voie d’affichage dans le cabinet ou fourniture d’un dépliant papier).
- Les patients disposent de droits, notamment d’un droit d’accès au dossier patient, pour lequel le délai est de 8 jours (porté à 2 mois lorsque les informations datent de plus de 5 ans selon le code de la santé publique).
- En cas de recours à un prestataire de service pour assurer la maintenance du logiciel gérant les dossiers des patients, celui-ci n’est pas censé accéder aux données de santé à caractère personnel (en raison de son rôle purement technique). En principe, les données doivent être chiffrées pour permettre l’exécution des prestations sans possibilité de lire les données.
- Si le médecin confie le stockage des dossiers à un hébergeur, celui-ci doit être agréé ou certifié conformément au code de la santé publique.
- Sur la qualification de responsable de traitement et sous-traitant, la CNIL rappelle qu’en toute hypothèse, dès lors que le médecin fait appel aux services d’un prestataire (société de maintenance, hébergeur, prestataire pour la prise de rendez-vous, plateforme de télémédecine…), celui-ci agit pour son compte en tant que sous-traitant, dès lors, un contrat de sous-traitance doit être prévu.
- S’agissant des obligations du prestataire tiers dans la prise de rendez-vous, la CNIL rappelle celui-ci agit pour le compte du médecin et doit mettre ne place les mesures techniques et organisationnelles pour assurer la sécurité et confidentialité des données.
- S’agissant de la messagerie, les échanges avec les patients ne peuvent être réalisés via des messageries de type messageries standard sur internet, ne chiffrant pas les données ou hébergeant les données dans un pays n’assurant pas un niveau de protection adéquat.
