Courrier (instructif à lire absolument) d’un assureur en Responsabilité Civile Professionnelle médicale (Branchet) à propos du RGPD

Vous vous dites : « R-G quoi ? Connais pas… encore un truc administratif de plus …j’m’en fiche (ce terme peut être modifié au gré de l’humeur) »

RGPD signifie : Règlement Général sur la Protection des Données ou General Data Protection Regulation.

En clair : à partir du 25 mai 2018, toutes les plateformes, entreprises, professions libérales dont les médecins, qui collectent des données quelque soit le support (informatique, papier…) doivent informer leurs clients et patients, demander l’autorisation de collecter et informer régulièrement de ce qu’elles en font sous peine de sanctions.

Vous êtes concerné, prenez connaissance du courrier reçu en cliquant sur poursuivre la lecture

Voici le texte du courrier

« RGPD : Adoption de la loi le 25 mai !

Depuis des mois, les médias ne parlent que de lui. Cet acronyme rigide, aux sonorités quasi-militaires, faisant penser à une cellule de crise ou une opération spéciale : R-G-P-D !

La plupart d’entre vous êtes passés d’abord par une phase de déni : « R-G quoi ? Connais pas ». Certains se sont targués de connaître la version anglaise « GDPR », ont lu quelques articles sur le sujet? mais pour la majorité cela reste un peu vague. Alors rendons à César ce qui est à César, RGPD signifie : Règlement Général sur la Protection des Données ou General Data Protection Regulation.

En clair : à partir du 25 mai 2018, toutes les plateformes, entreprises, professions libérales dont les médecins, qui collectent des données doivent informer leurs clients et patients, demander l’autorisation de collecter et informer régulièrement de ce qu’elles en font. Cette réglementation européenne créée aussi des sanctions.

Parce qu’avant, souvenez-vous? A l’aube des années 2005, quand le géant Facebook s’implantait doucement mais sûrement, vous n’aviez pas réellement conscience de vos données numériques personnelles et de leur valeur. Candide, vous pensiez que vos données restaient dans la sphère privée de votre compte. Les sites en ligne marchands vous proposaient (dans votre intérêt) de lire les fameuses conditions générales d’utilisations, avant de cliquer.

Honnêtement. Avez-vous déjà une fois dans votre vie, lu le verbatim de ces CGU ? N’ayez pas honte de dire « non ». Personne ne le faisait ! Treize ans plus tard, le scandale Facebook/Cambridge Analytica éclatait. A pic ! Le RGPD entrant en vigueur la même année. Grâce à cette loi, les citoyens européens vont reprendre le contrôle de leurs données, en être acteurs. Conséquences : les entreprises doivent changer la gestion et le stockage des données de leurs clients ou dans votre cas de vos patients. D’autres questions pratico-pratiques ? Découvrez notre FAQ, spécial RGPD et cette fois sans acronyme.

1 : ETES-VOUS CONCERNES ?

Oui, en tant que médecin, vous collectez de la donnée patient. Le RGPD concerne toute organisation publique ou privée dès lors qu’elle traite des données personnelles concernant des résidents européens ou si la structure est établie sur le territoire de l’Union Européenne.

Ainsi toutes les entreprises sont concernées même les sociétés unipersonnelles.

2 : QUELLES SONT LES DONNEES CONCERNEES ?

Selon l’article 4 du Règlement Européen de protection des données, est une donnée personnelle :

Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel que :

• un nom,

• un numéro d’identification,
• des données de localisation,
• un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale,
• adresses IP….

L’identification de la personne physique peut se faire par une donnée unique dite sensible (par exemple le numéro de sécurité sociale) ou bien par le croisement de plusieurs données sensibles (nom, prénom, adresse, numéro de téléphone…)

3 : LES DONNEES MEDICALES SONT-ELLES SENSIBLES ?

Bien entendu ! Outre les données personnelles, il existe des données sensibles comme les données de santé qui font peser une responsabilité supplémentaire sur le responsable du traitement de ces données.

4 : QU’EST-CE QU’UN TRAITEMENT DE DONNEES ?

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement, la destruction…

Le traitement de données doit avoir un objectif, une finalité, ce but doit être légal ou légitime au regard de l’activité professionnelle du responsable de traitement.

5 : QUELLES DEMARCHES POUR SECURISER LA DONNEE COLLECTEE ?

Le RGPD a été mis en place dans le but de protéger les données personnelles des personnes concernées, il existe quelques démarches simples à mettre en œuvre pour sécuriser les données que vous collectez.

• Il convient de recenser vos traitements de données, quel que soit le support de conservation des données collectées puis traitées (ex. : informatique, papier…) Un modèle de registre des traitements est disponible pour toute organisation sur le site de la CNIL (www.cnil.fr)
• Il convient de vous assurer que vous respectez les droits des personnes en leur permettant d’exercer leurs droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Focus sur le droit à la portabilité des données : le RGPD prévoit qu’une personne (ex : le patient) peut solliciter de la personne à laquelle il a confié ses données (le médecin) que celle-ci les transfère à une autre personne qui pourrait également en avoir besoin (un confrère).

• Il convient de sécuriser les données conservées que ces données soient digitales ou sur support papier (par exemple : sécurisation du système informatique par un mot de passe complexe et régulièrement mis à jour, sécurisation de l’accès aux locaux, conservation des documents papier sous clés…)

6 : COMMENT GERER CES DONNEES PAR RAPPORT A L’ETABLISSEMENT ?

Le RGPD crée une logique de responsabilisation de tous les acteurs. Il convient donc de définir les rôles de chacun avec l’établissement dans lequel vous exercez afin de savoir quelle est la responsabilité de chaque intervenant. Qui stocke, Quel document ? Il est recommandé d’interroger la direction de la clinique sur les mesures prévues.

7 : COMBIEN DE TEMPS DOIS-JE CONSERVER CES DONNEES ?

Le RGPD impose une durée limite de conservation des données personnelles. Nous vous recommandons de conserver les dossiers médicaux de vos patients une trentaine d’années afin de pouvoir répondre à la majorité des demandes de dossiers médicaux (prescription de 10 ans à compter de la majorité ou de la connaissance du dommage).

8 : QUI CONTRÔLE ?

La CNIL (Commission Nationale Informatique et Libertés) est l’autorité en charge de ces questions. Elle peut contrôler la conformité au Règlement Européen de toute organisation.

9 : QUELS RISQUES J’ENCOURS ?

La CNIL peut adopter diverses mesures correctrices et/ou amendes administratives. Les sanctions peuvent être lourdes ! Généralement basées sur un pourcentage de votre chiffre d’affaires, elles peuvent atteindre 20 000 000 € en fonction de la gravité de l’irrégularité relevée.

10 : COMMENT BRANCHET PEUT ACCOMPAGNER ?

La protection des données personnelles dont vous avez la charge est un sujet essentiel et important, ainsi nous vous proposons de vous accompagner face à l’enjeu européen ; Nous vous présenterons, lors de notre prochaine newsletter, une police cyber qui, entre autre, vous garantira une sérénité en cas d’attaque sur les données personnelles dont vous avez la charge. »