Suivez-nous
Mon compte

Le RGPD pour les chirurgiens-dentistes

Retour au site
5 novembre 2018
#RGPD #CNIL #DonnéesPersonenlles #sécurité
Depuis le 25 mai 2018, le règlement européen sur la protection des données personnelles s’applique à tout acteur traitant des données personnelles, quel que soit son secteur d’activité.

Complementaire sante cabinet dentaire repartitionCompte tenu du caractère confidentiel des informations qu’il traite, le chirurgien-dentiste, comme tous les professionnels de santé, est particulièrement concerné.

Protection des données du patient

Dans un environnement numérique mondialisé, avec un accroissement des menaces de violation ou d’utilisation non consentie d’informations confidentielles, le règlement européen sur la protection des données (RGPD - ou GDPR, General Data Protection Regulation) vise à renforcer les droits des citoyens européens dans la protection de leurs données personnelles.

Ce texte est entré en application le 25 mai 2018. Il remplace les formalités auprès de la Commission nationale de l’informatique et des libertés (Cnil), régulateur des données personnelles depuis 1978, par un accroissement des obligations des organismes et des personnes qui traitent des données personnelles (ainsi que de leurs sous-traitants) : ils doivent assurer une protection optimale des données à chaque instant, et être en mesure de la démontrer en documentant leur conformité. Le RGPD précise les contrôles et les sanctions.

Il s’applique aux traitements de données personnelles, réalisés sur support informatique (logiciels, applications, bases de données, sites web...), mais également sur support papier.

Des « données sensibles »

Le RGPD définit les données de santé comme « des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. »

Elles peuvent se rapporter à l’état de santé passé, présent ou futur d’une personne. Sont donc concernées, par exemple, les données collectées dans un contexte médical (prestation de soins de santé, résultats de tests...), ainsi que les données permettant d’identifier une maladie ou un risque de maladie, un handicap, des antécédents médicaux, un traitement clinique, un état physiologique ou biomédical. Cette définition s’applique entièrement aux informations recueillies ou inscrites par le chirurgien-dentiste dans le dossier du patient, qui bénéficient d’un régime de protection renforcé, les données de santé étant considérées comme des « données sensibles », au sens du droit national et communautaire.

Identification et confidentialité

Outre les données à caractère personnel directement liées à l’identification (nom et prénom, photo, e-mail nominatif, etc.) ou indirectement (numéro de carte bancaire, numéro de téléphone, e-mail non-nominatif dans une liste de diffusion, etc.), la confidentialité porte sur les informations dont les recoupements peuvent aboutir à une identification (par exemple : « La femme du plombier qui est à l’angle de la rue Chalumaud »).

La confidentialité des informations médicales à caractère personnel est protégée par un ensemble de règles : textes généraux ou spécifiques aux données à caractère personnel, loi Informatique et libertés, RGPD, ou encore les règles relatives au secret professionnel et au respect de la vie privée qui encadrent les exceptions d’échange et/ou de partage. Toutes ces règles instaurent un principe général d’interdiction de collecte et de traitement des données à caractère personnel, avec des dérogations : consentement exprès de la personne, sauvegarde de la vie humaine, médecine préventive, diagnostics médicaux, administration de soins, recherche et intérêt public.

Les procédures internes en pratique

Le chirurgien-dentiste doit respecter les principes de protection des données de santé (finalité, pertinence et proportionnalité, conservation limitée, sécurité, confidentialité et respect des droits des personnes). Pour ce faire, et avec l’entrée en vigueur du RGPD, les procédures internes au cabinet dentaire doivent être adaptées (et si elles n’existent pas, mises en place).

Pour l’essentiel, il s’agit de :
  1. Décrire, par une documentation interne (qui peut être relativement succincte), le traitement des informations confidentielles et sa conformité avec le RGPD.
  2. Désigner un délégué à la protection des données. Ce n’est pas prévu pour un cabinet d’un ou de deux praticiens. Il serait cependant nécessaire dans un grand cabinet de groupe. Ce sera alors un chirurgien-dentiste ou un salarié, qui informera l’ensemble des acteurs (praticiens et salariés) des règles applicables, veillera au respect du RGPD, conseillera si nécessaire pour la réalisation de l’étude d’impact (cf. point 4) et assurera le contact avec la Cnil.
  3. Assurer le respect des droits des personnes. Ce sont, essentiellement, le droit à l’information sur le traitement, le droit d’accès, de rectification ou de suppression, ou encore le droit d’opposition pour motif légitime (lire encadré). Ces droits sont d’ailleurs précisés par le code de la Santé publique. Le RGPD ajoute le droit à la portabilité des données et le droit à l’oubli. Ces deux droits peuvent nécessiter parfois une adaptation du logiciel utilisé au cabinet dentaire et un ajustage de la procédure de communication au patient de son dossier.
  4. Étudier l’impact du traitement des données au niveau du risque de sécurité de ces données et du risque juridique pour les personnes qui opèrent ce traitement. En pratique : envisager toute les conséquences d’une perte (d’un vol, d’une détérioration, etc.) des données.
  5. Ajuster le contrat avec le prestataire de service (éditeur de logiciel, hébergeur). Il s’agit d’y inclure des clauses garantissant que le prestataire respecte les principes de la loi Informatique et libertés et du RGPD. Le contrat doit également décrire, avec précision, le contenu des prestations (obligations de sécurité et respect des clauses rendues obligatoires par le RGPD).
  6. Mettre en place une procédure pour garantir la sécurité et la confidentialité des données, et respecter les obligations liées à leur conservation (fixer une durée de conservation, organiser les modalités d’archivage, assurer la capacité de restitution des données de santé).
  7. Signaler auprès de la Cnil tout incident de sécurité impliquant des données personnelles (obligation qui s’ajoute à celle de signalement des incidents de sécurité des systèmes d’information de santé prévue à l’article L.1111-8-2 du CSP).
Alerte arnaque !

Des messages racoleurs, insistants, parviennent chez les chirurgiens-dentistes, par mail, par la poste : « Formez-vous gratuitement au RGPD, règlement général de la protection des données pour l’entreprise Dentiste », « Vous devez être en conformité… Les amendes sont de 20 millions d’euros et 5 ans d’emprisonnement », etc. Ne rien contracter, ne rien signer, ne rien payer en ligne ! Appliquez les règles précisées dans cet article et contactez CDF-Services au moindre doute.

Accès du patient à son dossier : ce qui change
  • Le délai de réponse passe de 8 jours à un mois maximum à compter de la réception de la demande. Il est possible de prolonger de deux mois ce délai, « compte tenu de la complexité et du nombre de demandes», à condition d’en informer le patient dans le délai d’un mois suivant la réception de sa demande.
  • Sans trop de précision technique sur les exceptions, le RGPD prévoit la gratuité des copies fournies dans le cadre d’une demande d’accès. Auparavant, on admettait un coût raisonnable et justifié mais qui ne doit pas être une entrave à l’exercice du droit d’accès. Il pouvait comprendre les frais d’impression, de copie, de courrier recommandé (AR) et être plus important lorsqu’il s’agit de dupliquer des radiographies argentiques.
  • Lorsque la demande est manifestement infondée ou excessive, le praticien pourra exiger le paiement de « frais raisonnables » qui tiennent compte des coûts administratifs supportés pour fournir les informations. Il en ira de même lorsqu’une copie supplémentaire est demandée.
  • Si le patient présente sa demande par voie électronique, les informations demandées sont communiquées sous une forme électronique d’usage courant, à moins que le patient ne demande qu’il en soit autrement.
Des droits des patients renforcés

Les droits déjà existants sont renforcés (consentement, transparence). Le patient doit être informé de manière claire, intelligible et facilement accessible sur ses droits :

  • droit d’accès et de rectification,
  • droit à l’oubli,
  • droit à la portabilité des données,
  • droit de réparation des dommages, matériels ou moral,
  • droit d’effacement,
  • droit à la limitation du traitement,
  • droit d’opposition,
  • principe des actions collectives,
  • conditions particulières du traitement des données pour les mineurs de moins de 16 ans.