Le Règlement général sur la protection des données personnelles (RGPD) adopté au niveau européen entre en application ce vendredi 25 mai. Ce n’est pas une date couperet mais comme le souligne le Conseil national de l’Ordre dans un communiqué commun avec la CNIL , « l’essentiel pour les médecins, et les professionnels de santé en général, est de se placer dans une démarche active de garantie de la protection des données personnelles et de construire un plan d’actions pour atteindre le plus rapidement possible la conformité ». Conseils pratiques.

La récente affaire de Cambridge Analytica qui a secoué Facebook a rappelé à tous la nécessité d’une plus grande transparence et d’une sécurisation accrue pour la protection des données personnelles. L’arrivée du RGPD tombe donc à point nommé. Entreprises, administrations, collectivités locales sont au taquet. Même si ce règlement est loin de résoudre tous les problèmes de sécurité qui sont aussi une question de vigilance individuelle (vis à vis des mails et de la participation aux réseaux sociaux notamment). La créativité des pirates et autres hackers est constante ! N’a-t-on pas vu apparaître des campagnes d’ « hameçonnage » sous prétexte de mise en conformité…au RGPD !

Un guide CNOM/CNIL fin juin

Les médecins se trouvent concernés du fait de leur base de données patient renfermant des données personnelles et qui plus est, des données santé très sensibles. Pas de panique cependant. La loi française de mise en cohérence de la loi Informatique et libertés au RGPD européen est seulement en instance de promulgation (le Conseil constitutionnel a été saisi le 16 mai 2018). Le Conseil national de l’Ordre des médecins et la Commission Nationale de l’Informatique et des Libertés se sont associés pour élaborer et rédiger conjointement un guide pratique destiné aux médecins afin de les accompagner dans leurs obligations professionnelles de protection des données. Il ne sera publié qu’à la fin de juin. En pratique, les professionnels de santé qui remplissent déjà les obligations de déclaration de leur fichier patients auprès de la CNIL n’auront pas grand chose à modifier dans leurs habitudes de travail. Le RGPD ne fait que renforcer l’idée que les données personnelles sont sensibles et particulièrement les données santé et spécifie que chacun à un droit d’accès aux données le concernant. Et peut autoriser ou non la communication de ses données à d’autres par le collecteur de données.

Se prémunir contre les sanctions

Le changement le plus évident, ce sont les sanctions. En cas de contrôle et de défaillances, il peut y avoir des amendes allant jusqu’à 4% du CA, ce qui suppose pour le praticien d’être en mesure de prouver qu’il a bien fait tout ce qu’il fallait pour être conforme ou le devenir. Dans la pratique, il va tenir un registre des processus de sécurité. Responsable de leur traitement, le médecin doit davantage s’assurer qu’il protège bien les données de ses patients : mot de passe pour accéder à l’ordinateur (et/ou placard fermé à clé pour les documents papier), procédure de sauvegarde sécurisée, utilisation d’une messagerie sécurisée pour les échanges médicaux, backup des données ou hébergement sécurisé lors du départ à la retraite.

Enfin la sécurisation passe aussi par une maintenance qui respecte les mêmes principes.
Les services de l’éditeur du logiciel métier, l’infogérance, la sous traitance, la prise en main à distance en cas de problème doivent également respecter le cadre du RGPD.
A titre d’exemple, des éditeurs comme Cegedim Logiciel Médicaux et CompuGroup Medical ont spécifié à Buzz Medecin les mesures déjà prises à ce sujet. CGM a entrepris de faire signer une charte sur la protection des données personnelles à ses fournisseurs et distributeurs. CLM rappelle que son personnel a déjà une clause de confidentialité dans son contrat et que la maintenance en ligne bénéficie d’un nouveau process. Ces entreprises se sont dotées d’un Data Protection Officer chez CLM et d’un délégué à la protection des données personnelles chez CGM.