Le RGPD et les données de vos patients
Mis à jour le 14 octobre 2022
- Vous avez probablement reçu une pile de mails concernant la mise en application du Règlement Général sur la Protection des Données («RGPD»), le 25 mai 2018.
Le RGPD concerne également les professionnels de la santé mentale.
Les données de santé sont des données à caractère personnel particulières car considérées comme sensibles. Elles font à ce titre l’objet d’une protection particulière par les textes (règlement européen sur la protection des données personnelles, loi Informatique et Libertés, code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes.
Le dispositif RGPD s’applique à toutes les données informatiques et papier (ex : dossier patient papier).
Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.
Vous devez limiter l’accès aux données de santé de vos patients : seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci (ex : équipe de soins d’un établissement de santé intervenant dans la prise en charge sanitaire du patient, secrétaire médicale, organismes d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, etc.). Ces personnes n’accèdent qu’aux données nécessaires à l’exercice de leur mission (ex : le secrétaire médical accède aux données administratives permettant de gérer les prises de rendez-vous, mais n’accède pas à la totalité du dossier médical). Par ailleurs, la loi peut autoriser certains tiers à avoir accès aux données de vos patients (ex : les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, etc.).
Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.
Quelles données sont concernées ?
Tout élément permettant l’identification du patient de manière directe ou indirecte est concerné par ce dispositif : nom, prénom, date de naissance, adresse, numéro de sécurité sociale, numéro de téléphone, adresse e-mail, photographies, vidéos, enregistrements vocaux, etc.
Les données de santé font évidemment, elles aussi, l’objet d’une protection au regard du RGPD. Du point de vue légal, tout symptôme ou résultat d’examen est considéré comme une donnée de santé, qu’il soit de nature somatique ou psychique. Ainsi, les données que vous traitez (entretiens, notes de séance, résultats d’évaluations psychologiques ou neuropsychologiques, etc.) sont des données de santé, même si elles ne relèvent pas d’un tableau clinique particulier.
Quelles sont vos nouvelles obligations relatives à la protection des données de santé de vos patients ?
Les patients dont les données de santé sont collectées disposent de droits, dont celui d’être informées.
L’information permet à ces personnes de conserver la maîtrise des données les concernant.
Le Règlement général sur la protection des données (RGPD) pose plusieurs principes à respecter, dont, notamment :
- Respectez les principes de protection des données de santé :
- finalité
- pertinence : ne collectez que les données strictement nécessaires à la finalité du traitement (inutile de demander l’adresse IP d’un patient à l’occasion d’une consultation médicale)
- proportionnalité,
- usage légitime et bien déterminé (ex. ne pas fournir des données de santé à une compagnie d’assurance qui en ferait un usage commercial) ;
- conservation limitée – pour une durée déterminée-.
- Selon la loi, les dossiers médicaux doivent être conservés pendant 10 ans, mais les données liées aux traitements ne sont pas concernées (coordonnées bancaires données par le patient à l’occasion du paiement de sa facture de consultation). La CNIL donne comme exemple : « Les psychiatres libéraux conservent, conformément aux recommandations du Conseil national de l’Ordre des médecins, les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation ».
- sécurité des données : des mesures efficaces pour la sécurisation des données personnelles doivent être mises en place. Par exemple : verrouillage du clavier d’ordinateur, changement des mots de passe deux fois par an (et leur protection) ou l’envoi de mails.
- confidentialité
- respect des droits des personnes
- concevoir une documentation prouvant la conformité au RGPD (registre de traitement, charge de confidentialité, historique de l’obtention du consentement…)
Comment informer les patients concernés ?
Le responsable de traitement doit prendre les mesures appropriées pour informer les personnes concernées. Dans le secteur de la santé, les responsables de traitement sont multiples : professionnels de santé, structures de soins, fournisseurs de solutions techniques, etc.
L’information doit être délivrée de façon concise, transparente, compréhensible et aisément accessible. Elle doit pouvoir être abordable par le « grand public ».
L’information doit bien sûr également être adaptée, en fonction de la pathologie de la personne, de son âge, des circonstances du recueil des données.
Le contenu de l’information à délivrer varie selon deux hypothèses : les données de santé ont été collectées directement auprès de la personne concernée ou non (collecte indirecte des données). En savoir plus dans le dossier CNIL comment informer les patients concernés ?
Le support d’information est libre : par oral, par écrit ou par tout autre moyen (affichage dans les lieux de soins, dans les secrétariats, remise de documents écrits d’information, etc.).
EN BREF : Vous devez délivrer aux patients une information portant sur le traitement de données que vous effectuez pour leur prise en charge (soit dans votre logiciel de suivi, soit dans votre dossier papier). Cela peut être sous la forme d’une affiche, dans votre salle d’attente.
Un simple document remis au début du suivi ou une affiche dans la salle d’attente de votre cabinet sont à priori suffisants pour respecter les exigences du RGPD. L’information délivrée se doit d’être facilement compréhensible par tous et adaptée au public accueilli.
Déclaration du traitement des données
Avec l’entrée en application du RGPD, vous n’avez plus de formalité à accomplir auprès de la CNIL pour les traitements de données personnelles nécessaires à la gestion de votre activité (cabinet médical, d’infirmiers, d’orthophonistes, laboratoire de biologie médicale, officine pharmaceutique, opticien, etc.).
En revanche, vous devez être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD en traçant toutes les démarches entreprises : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc.
Durée de conservation des données : combien de temps faut-il garder vos dossiers patients ?
Les données à caractère personnel que vous collectez au cours des entretiens et évaluations doivent être conservées pendant une durée déterminée. En ce qui concerne les écrits rédigés par les psychologues, les recommandations ne sont pas très précises. Dans le secteur de la santé mentale en général, les dossiers médicaux doivent être conservés 10 ans à compter de la dernière consultation, ou jusqu’à l’âge de 28 ans lorsque le patient est un mineur.
En savoir plus sur le RGPD et les données de vos patients
- Respectez les principes de protection des données de santé :