Le RGPD

Comme expliqué dans les revues « Contact sages-femmes », le Règlement Européen sur la Protection des Données Personnelles (RGPD) est entré en application le 25 mai 2018. Il prévoit plusieurs nouvelles obligations qui s’appliquent à tous les acteurs traitant des données personnelles que ce soit sur papier ou en numérique.

Les données de santé sont des données personnelles. Tous les professionnels de santé libéraux sont donc concernés par le RGPD en tant que responsables de traitement de données personnelles. L’objectif de cette nouvelle loi est de « responsabiliser » tous ceux qui recueillent et utilisent des données personnelles en les obligeant à tenir un registre de ces traitements et à documenter leur conformité, pour pouvoir se justifier auprès de la Cnil en cas de contrôle. Il n’y a donc plus de déclaration préalable de votre fichier à faire auprès de la CNIL mais il faut par contre établir tous les procédés nécessaires pour pouvoir justifier de la mise en œuvre, de la finalité et de l’utilisation des données de vos patientes

Le RGPD prévoit également des obligations spécifiques pour les sous-traitants des professionnels de santé (par exemple, les éditeurs de logiciels qui proposent des solutions avec hébergement à distance), lorsque qu’ils traitent des données de santé externalisées par un cabinet libéral ou un établissement.

Qu’est qu’une donnée personnelle ?

Une donnée personnelle désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Ainsi, les nom, prénom, date de naissance, numéro de téléphone, numéro de sécurité sociale, numéro d’adhésion de vos patients sont des données personnelles dont vous avez connaissance.

Qu’est-ce qu’une donnée personnelle de santé ?

Une donnée personnelle de santé se rapporte à l’état de santé d’une personne concernée qui révèle des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée quelle que soit la source de production de la donnée (un professionnel de santé ou un dispositif médical par exemple).
Sont ainsi considérées comme des données de santé, toutes informations relatives à l’identification du patient dans le système de soin ou le dispositif utilisé pour collecter et traiter des données de santé, toutes informations obtenues lors d’un examen médical y compris des échantillons biologiques et toutes informations médicales (une maladie, un handicap, une donnée clinique ou thérapeutique, physiologique ou biologique). Les données de santé font parties des données sensibles qui représentent des catégories particulières de données.

Qu’est-ce qu’un traitement de données personnelles ?

Un traitement désigne toute opération ou tout ensemble d’opérations portant sur ce type de données, quel que soit le procédé ou support utilisé (papier, numérique…), et notamment la collecte, l’enregistrement, l’utilisation de toute donnée personnelle. Par exemple, la gestion de votre fichier de patients est un traitement de données personnelles.

Qui est responsable de traitement ?

Le responsable de traitement désigne la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement, sauf désignation expresse par un texte de nature législative ou règlementaire.

En conséquence, la sage-femme libérale est responsable des traitements informatiques ou papier qu’elle met en œuvre et gère.

De plus, quand vous traitez des données personnelles, vous devez respecter les 5 principes de protection des données :

• Des finalités déterminées explicites et légitimes, ce qui signifie que les données personnelles que vous collectez doivent être utilisées dans le cadre de l’exercice de votre profession, notamment pour répondre aux besoins de la prise en charge de vos patients. Par exemple, il peut s’agir de la gestion des rendez-vous ou encore la gestion des dossiers médicaux.
• Des données adéquates, pertinentes et limitées à la nécessité de la finalité c’est-à-dire que seules les données personnelles nécessaires à votre activité doivent être traitées.
• Une durée de conservation limitée : les données personnelles doivent être conservées pour une durée déterminée. En général les dossiers médicaux sont conservés 20 ans à compter du dernier contact avec la personne.
• L’Intégrité et la confidentialité des données (obligation de sécurité) : des mesures de sécurité doivent être mises en place afin de garantir l’intégrité et la confidentialité des données personnelles.
• Le Respect de l’information et des droits de la personne : vous devez informer les personnes concernées (les patients) de l’existence des traitements mis en place et de leurs droits d’accès, de rectification, d’opposition et de portabilité.

De tous ces éléments, découlent, de nouvelles obligations pour les sages-femmes libérales.

Vous trouverez ci-après plusieurs fichiers explicatifs sur ces obligations avec la marche à suivre.

Ce premier document contient une notice d’information destinée à informer vos patients des différentes données que vous recueillez, leur finalité et des mesures que vous prenez pour protéger leurs données personnelles.
Cette fiche informative leur précisera aussi les durées de conservation des données ainsi que les droits qu’ils peuvent exercer sur le recueil et la conservation de leurs données.

Vous devez la compléter et la faire figurer dans votre cabinet.

Ce second volet contient 4 documents détaillant le registre des activités de traitement qui recense l’ensemble des informations relatives à vos applications.

Avec l’entrée en application du RGPD, vous n’avez plus de formalité à accomplir auprès de la CNIL pour les traitements de données personnelles qui ne constituent pas un risque pour la vie privée des personnes, par exemple le traitement relatif à la gestion de votre cabinet médical.

En revanche, en votre qualité de responsable de traitement, vous devrez être en mesure de démontrer à tout moment le respect des règles relatives à la protection des données et devez donc tenir un registre qui recensera l’ensemble des informations relatives à vos applications.

Ce point est important puisque désormais, les responsables de traitement peuvent être condamnés à des sanctions dont le montant maximal peut s’élever, selon la catégorie de l’infraction après instruction par la CNIL et en respectant une procédure contradictoire, jusqu’à 10 000 000 ou 20 000 000 d’euros.

Le modèle de registre (un par activité impliquant le traitement de données personnelles), peut être tenu dans un simple fichier informatique (traitement de texte ou tableur) ou bien sur un cahier. Il s’agit d’un fichier vivant, qu’il conviendra de compléter au fur et à mesure de l’évolution de vos activités.

Les activités principales identifiées sont les suivantes :

Vous devez obligatoirement le compléter.

Vous devez le compléter si vous gérez du personnel.

Vous devez le compléter si vous gérez des fournisseurs (hors votre éditeur de logiciel).

Vous devez le compléter si vous identifiez d’autres activités non visées ci-dessus.

Ce troisième volet contient un guide sur la sécurisation du système informatique établi en 2013 par le Ministère des Solidarités et de la Santé, il est toujours d’actualité.

Vous devez donc respecter les grands principes quant à la sécurité de votre système.