Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis le 25 mai 2018.
Les médecins sont concernés comme tout un chacun par cette réglementation, et doivent donc y être particulèrement attentifs, et ce d’autant plus que les données de santé sont considérées comme particulièrement sensibles.
En pratique, le RGPD dans la pratique quotidienne des cabinets médicaux ne change pas fondamentalement les choses, et des mesures de bon sens suffisent le plus souvent à sécuriser les choses.
Cependant même de bonne foi, des erreurs parfois graves peuvent être commises. La CNIL vient ainsi de sanctionner le 17 décembre 2020 deux radiologues qui avaient laissé en libre accès des archives radiologiques non chiffrées, sans protéger cet accès. Si les sanctions sont relativement légères (3000 et 6000 € d’amende) par rapport au maximum théorique (2% du chiffre d’affaire annuel avec un plafond de10 millions d’euros !!), elles sont toutefois un signal fort que le RGPD n’est pas à prendre à la légère.
Il est vrai que dans cette affaire les erreurs se sont accumulées, mais il est est assez facile de se faire prendre au piège.
Nous ne saurions trop vous recommander de lire attentivement le guide conjoint édité par la CNIL et le CNOM pour vérifier votre situation.
Il y a évidemment en tout premier lieu les mesures de bon sens :
- verrouillage de l’ordinateur de travail et mot de passe ;
- armoire à clé pour les dossiers papiers ;
- verrouillage des bureaux en l’absence de leur occupant ;
- ne pas laisser les CPS dans les lecteurs et encore moins les codes accessibles ;
- clause de confidentialité pour le personnel non médical et limitation des accès ;
- envoi d’informations médicales exclusivement par messagerie cryptée et sécurisée ;
- parefeu sur les serveurs, les ordinateurs et les routeurs internet ;
- chiffrage des données médicales.
Mais il faut aussi se poser la question :
- de laisser ou non un libre accès aux visiteurs au Wifi du cabinet ;
- de faire des sauvegardes délocalisées sur un serveur à son domicile ;
- de faire des sauvegardes sur un cloud ;
- des logiciels pour lesquels les données médicales sont hébergées sur les serveurs de l’éditeur ; ces logiciels ont actuellement le vent en poupe car cela facilite beaucoup la maintenance, les mises à jour et les sauvegardes, mais il faut s’assurer du sérieux du partenaire ;
- des services de prises de rendez-vous par internet, d’autant plus s’ils ont accès à l’agenda ou à la machine du médecins, certains services étant directement interfacés avec les logiciels médicaux ;
- de l’utilisation des messageries instantanées internes ;
- de la configuration des réseaux et du partage d’information, ce point étant d’autant plus délicat que le partage d’information fait partie du socle de base de l’ACI des MSP.
La gestion des réseaux est parfois particulièrement compliquée. Il est donc préférable, si on n’est pas parfaitement à l’aise dans ce domaine, de faire appel à un professionnel.
La CNIL estime que la réalisation d’une Analyse d’Impact de la Protection des Données (AIPD) et la désignation d’un délégué à la protection des données (DPO) devraient être nécessaires pour les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir d’un seuil annuel de 10 000 patients. Ce qui concerne finalement la plupart des MSP et évidemment les futures CPTS qui, elles aussi, auront à gérer des informations médicales, ne seraient-ce que si elles prennent en charge les soins non programmés (comme c’est prévu aussi dans leur missions socle) et les agendas partagés pour le faire.
Une dépense supplémentaire à prévoir au budget des ses structures et un point auquel elles n’ont peut-être pas été suffisamment sensibilisées.