logo
CROI Bretagne
photos d'infirmiers dans le header

Devant la multiplication des démarchages agressifs concernant le RGPD, nous vous délivrons ici quelques informations dans l'attente de l'édition du travail commun avec la CNIL.

Le "RGPD" --> qué sako?

Entré en vigueur le 25 mai 2018, il vient remplacer la loi "informatique et liberté". Plus souple dans sa mise en oeuvre mais plus exigeant dans ses attendus, il est important, pour tout dépositaire de données de patients, données classifiées "sensibles", d'avoir quelques bases et de ne pas répondre aux menaces de démarchages téléphoniques agressives. L'Ordre, la CPAM,... sont là pour vous accompagner.... gratuitement.

A retenir 

  1. Le RGPD s’applique aux traitements informatiques et aussi aux dossiers papier
  2. La transmission des données de santé de vos patients doit être limitée aux seules personnes qui sont autorisées à y accéder au regard de leurs missions
  3. Les données de vos patients ne peuvent être gardées indéfiniment
  4. Les patients doivent être informés du traitement de leurs données mais vous n’avez pas à recueillir leur consentement
  5. Il n’y a plus de déclaration à faire auprès de la CNIL mais vous devez tenir un registre des traitements

 

A noter : ces principes ne se limitent pas aux traitements de données de santé dans le cadre de la prise en charge de vos patients mais s’appliquent à l’ensemble de vos traitements (ex : gestion des rémunérations de vos collaborateurs, gestion des fournisseurs, etc.).

 

-          Les dispositions du RGPD s’appliquent à tous les traitements de données personnelles, quel qu’en soit le format (papier, numérique…) (ex : nom, prénom, numéro de patient, etc.) que vous utilisez pour l’exercice de votre activité professionnelle

-          Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

A titre d’exemple, la collecte d’informations sur la vie familiale d’un patient n’est en principe pas appropriée. 

-          Vous devez limiter l’accès aux données de santé de vos patients : seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci (ex : équipe de soins d’un établissement de santé intervenant dans la prise en charge sanitaire du patient, secrétaire médicale, organismes d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, etc.). Ces personnes n’accèdent qu’aux données nécessaires à l’exercice de leur mission (ex : le secrétaire médical accède aux données administratives permettant de gérer les prises de rendez-vous, mais n’accède pas à la totalité du dossier médical).

Par ailleurs, la loi peut autoriser certains tiers à avoir accès aux données de vos patients (ex : les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, etc.)

-          Les données que vous collectez sur vos patients doivent être conservées pour une durée déterminée. A titre d’exemple, en structure, la conservation des données de santé sont de 30 ans du vivant de la personne et de 10 ans après son décèsLes données que vous collectez sur vos patients doivent être conservées pour une durée déterminée.

A titre d’exemple, les médecins libéraux conservent, conformément aux recommandations du Conseil national de l’Ordre des médecins, les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation. 

-          Vous devez délivrer aux patients une information portant sur le traitement de données que vous effectuez pour leur prise en charge (soit dans votre logiciel de suivi, soit dans votre dossier papier). Cela peut être sous la forme d’une affiche, dans votre salle d’attente.

-          Cependant, vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.

Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (ex : le code de la santé publique impose le recueil du consentement du patient pour la réalisation d’un examen des caractéristiques génétiques).

-          Vous, ou vos sous-traitants (éditeurs de logiciels par exemple), devez respecter des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Pour ce faire vous devez mettre en place des mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données (ex : utilisation de la carte professionnel de santé, mot de passe personnel, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc.).

  • Pour vous aider à identifier les mesures de sécurité à mettre en place, vous pouvez consulter le Guide sécurité). https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

Si vous passez par un prestataire qui traite des données en votre nom et pour votre compte (ex : hébergement de données par un hébergeur de données de santé agréé ou certifié, etc.), celui-ci doit, en tant que sous-traitant, vous garantir un niveau de sécurité adapté au risque. Vous devez vérifier ce point et conclure un contrat avec votre prestataire.

 -          Avec l’entrée en application du RGPD, vous n’avez plus de formalité à accomplir auprès de la CNIL pour les traitements de données personnelles nécessaires à la gestion de votre activité (cabinet médical, d’infirmiers, d’orthophonistes, laboratoire de biologie médicale, officine pharmaceutique, opticien, etc.).

En revanche, vous devez être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD en traçant toutes les démarches entreprises : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc.

-          Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de désigner un délégué à la protection des données. Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.).

Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de désigner un DPO. Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.).

 -          La constitution et le maintien d’un registre est une obligation prévue par le RGPD. Elle s’applique à toutes les structures qui traitent des données personnelles de façon régulière dans le cadre de leurs activités.

Dans la mesure où vous mettez en œuvre des traitements pour l’exercice de votre activité professionnelle (ex : pour la gestion de votre cabinet, pour l’exploitation de votre pharmacie, pour votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.), vous devez tenir un registre des activités de traitement et le renseigner.

La tenue de ce registre est l’occasion de se poser les bonnes questions et de limiter les risques au regard des principes du RGPD.

https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

  • Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base (format PDF et Word),  destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures.

https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

 La constitution et le maintien d’un registre est une obligation prévue par le RGPD. Elle s’applique à toutes les structures qui traitent des données personnelles de façon régulière dans le cadre de leurs activités.

Dans la mesure où vous mettez en œuvre des traitements pour l’exercice de votre activité professionnelle (ex : pour la gestion de votre cabinet, pour l’exploitation de votre pharmacie, pour votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.), vous devez tenir un registre des activités de traitement et le renseigner.

La tenue de ce registre est l’occasion de se poser les bonnes questions et de limiter les risques au regard des principes du RGPD.

-          Votre registre doit être conservé en interne : il vous permet de documenter votre conformité au RGPD.

Ainsi, la CNIL n’est pas destinataire des registres des activités de traitement des professionnels de santé. Néanmoins, si vous faites l’objet d’un contrôle de la CNIL, vous devez être en mesure de le mettre à disposition des agents de la CNIL effectuant le contrôle.

Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de mener une analyse d’impact pour les traitements que vous menez dans le cadre de votre activité.

Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez mener une analyse d’impact pour les traitements concernés. 

  • Pour tout savoir sur les conditions de réalisation d'une AIPD (analyse d'impact relative à la protection des données) , vous pouvez consulter les guides PIA.

 

Bookmark and Share

Contact

Président

Coordonnées

CROI Bretagne

Centre d'affaire Ile-de-France

4, av Charles Tillon

35 000 Rennes

Tél. : 02 30 96 42 20

Mail : bretagne@ordre-infirmiers.fr

 

Site du Conseil national ......Site 29/56 ......Site 22/35

Permanences

permanence téléphonique

du lundi au vendredi de 14h à 16h45.

 

Vous pouvez demander à rencontrer un conseiller. Pour cela merci d'envoyer un mail à bretagne@ordre-infirmiers.fr en indiquant vos coordonnées et le sujet approximatif afin que nous puissions organiser cette rencontre.

 

 

liens vers l'annuaire

Agenda Tous les rdv

Aucun événement prévu

Accès direct > Conseil National de l'Ordre des Infirmiers

rechercher un conseil