Loi RGPD et cabinets dentaires : on vous dit tout !

Entré en vigueur dans l’Union européenne depuis le 25 mai 2018, le Règlement général sur la protection des données – RGPD – a pris une place très importante dans l’actualité. Il s’applique à tout acteur traitant des données personnelles, quel que soit son secteur d’activité. Compte tenu du caractère confidentiel des informations que vous traitez et comme tous les professionnels de santé, vous êtes particulièrement concerné par le RGPD.

Dans le but de vous aider à y voir plus clair, nous vous apportons dans cet article des réponses pratiques sur les questions essentielles à vous poser.

1. Comment sont définies les données de santé dans le RGPD ?

«Le RGPD définit les données de santé comme “des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.” Elles peuvent se rapporter à l’état de santé passé, présent ou futur d’une personne. Sont donc concernées, par exemple, les données collectées dans un contexte médical (prestation de soins de santé, résultats de tests…), ainsi que les données permettant d’identifier une maladie ou un risque de maladie, un handicap, des antécédents médicaux, un traitement clinique, un état physiologique ou biomédical.Cette définition s’applique entièrement aux informations recueillies ou inscrites par le chirurgien-dentiste dans le dossier du patient, qui bénéficient d’un régime de protection renforcé, les données de santé étant considérées comme des « données sensibles », au sens du droit national et communautaire(Source CNSD)

2. Que faut-il faire pour être conforme à la nouvelle loi ?

Selon la CNIL, il est impératif d’assurer une protection des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

a. Constituer un registre de vos traitements de données 

Conformément à l’article 30 du RGPD, le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles de vos patients. (cf : Article CNIL Le registre des activités de traitement)

b. Faire le tri dans vos données : 

La constitution du registre vous permet de vous interroger sur les données dont votre cabinet a réellement besoin.

Bonne pratique proposée par la CNIL : minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

c. Respecter le droit des personnes 

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.). Pour répondre à l’obligation de transparence, il est recommandé, selon la CNIL, de créer et mettre à jour une politique de confidentialité sur votre site Internet. Webdentiste mettra en conformité votre site à compter du 1er septembre.

D’autre part, permettez aux personnes d’exercer facilement leurs droits : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Par exemple, prévoyez sur votre site Internet, un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. À l’issue de cette étape, vous serez en capacité de répondre aux demandes des personnes concernées. (cf : Article CNIL Respecter les droits des personnes)

d. Sécuriser les données 

Vous êtes désormais tenu à une obligation légale d’assurer la sécurité des données que vous détenez afin de minimiser les risques de pertes de données, de piratage ou vol d’un outil informatique. Astuce de la CNIL : mettre à jour de vos antivirus et logiciels, changer régulièrement des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations.

3. Votre site Internet est-il aux normes RGPD ?

Votre site rempli la quasi-totalité des normes actuelles RGPD. Nous travaillons actuellement sur les dernières étapes de la mise en conformité des sites de l’ensemble de nos adhérents incluant entre autres :

a. Charte de Cookies : les cookies sont des fichiers contenant de faibles quantités d’informations qui sont stockés sur l’ordinateur ou appareil mobile lorsqu’un internaute visite votre site Internet. Webdentiste prévoit la mise en place sur votre site d’ici le 1er septembre 2018.

b. CGU (conditions générales d’utilisation) : ce sont des règles qui régissent l’utilisation et les modalités de votre site Internet. Webdentiste prévoit la mise en place sur votre site d’ici le 1er septembre 2018.

c. Politique de protection des données : Webdentiste prévoit la mise en place sur votre site d’ici le 1er septembre 2018.

d. Mise en place du https : nouvelle norme Google pour la sécurisation de votre site Internet. Webdentiste prévoit sur votre site d’ici le 1er novembre 2018.

Entrée en vigueur le 25 mai dernier, le législateur prévoit un délai de mise en conformité jusqu’à la fin de l’année 2018 pour des structures de taille moyenne.

4. Devez-vous recueillir le consentement explicite à vos patients ?

Selon le nouveau règlement, vous n’êtes pas obligé de demander le consentement de vos patients pour communiquer avec eux, le contrat établi avec vos patients suffisant à juster d’une “relation contractuelle” (cf : Article 6.1.b RGPD EU “Licéité du traitement”). Il ne semble pas nécessaire de demander le consentement du patient quant à la collecte de ses données, dès lors que celles-ci sont bien utilisées pour les soins au patient ou l’information aux soins (cf. Article CNIL RGPD et professionnels de santé libéraux : ce que vous devez savoir).

5. Pouvez-vous utiliser les fonctionnalités “relation patients” de votre site ?

a. Envoi de la Newsletter / e-cards à mes patients : vous pouvez utiliser ces fonctionnalités proposées par Webdentiste. Le contrat de santé qui vous lie à vos patients vous exonère du recueil de leur accord. Par ailleurs, les données que vous nous adressez (adresse email de vos patients) sont stockées dans un serveur sécurisé.

b. Le questionnaire médical interactif : est en train d’évoluer pour garantir la sécurité des données récoltées via votre site Internet (échéance au 1er novembre 2018).

6. Les dispositions du RGPD s’appliquent-elles uniquement à vos traitements informatiques ? 

Selon la CNIL, les dispositions du RGPD s’appliquent à tous les traitements de données personnelles (ex : nom, prénom, numéro de patient, etc.) que vous utilisez pour l’exercice de votre activité professionnelle, que ces traitements soient sous une forme informatique (ex : logiciel de gestion de votre cabinet dentaire, logiciel utilisé pour l’exploitation de votre cabinet d’orthophonie,  etc.) ou papier (ex : dossier patient papier).

7. Quel est l’impact du RGPD dans la sécurisation et la transmission des données des patients ?

a. Vous avez l’obligation de tenir un registre de traitement permettant de définir la  liste des traitements de données, la définition de la finalité de chaque traitement, les périmètres des données, les acteurs concernés, les mesures de protection mises en œuvre et les délais de destruction. (voir le Modèle de registre proposé par la CNIL)

b. Il est important pour vous d’étudier l’impact du traitement des données au niveau du risque de sécurité de ces données et du risque juridique pour les personnes qui opèrent ce traitement. En pratique : envisagez toute les conséquences d’une perte (d’un vol, d’une détérioration, etc.) des données. En cas de vol, piratage ou perte de données, il est impératif de le notifier à la CNIL dans les 72 heures. (cf article CNIL Notifier une violation de données personnelles)

c. En tant que sous-traitant, et afin de limiter la circulation des données personnelles sur chacun de vos patients, il est désormais impératif que chaque fichier patient qui nous sera transmis à l’avenir ne comporte qu’une seule information, à savoir l’adresse e-mail. Un espace sécurisé sera mis à votre disposition sur votre Espace Pro dès la rentrée afin de nous transmettre vos fichiers.

8. Combien de temps devez-vous conserver les données de vos patients ?

Les données que vous collectez sur vos patients doivent être conservées pour une durée déterminée. À titre d’exemple, les médecins libéraux conservent, conformément à l’article R.1112-7 du Code de la Santé Publique, les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation, excepté en cas de décès du patient où son dossier sera conservé 10 ans à partir de la date de son décès.

9. Etes-vous obligé de désigner un délégué à la protection des données (DPO) ?

Dès lors que vous exercez à titre individuel, vous n’êtes pas soumis à l’obligation de désigner un DPO. Néanmoins, si en raison de votre activité, vous estimez que vous traitez des données de santé à grande échelle (ex : exercice au sein d’un réseau de professionnels, maisons de santé, centre de santé, dossiers partagés entre plusieurs professionnels de santé, etc.), vous devez soit désigner un DPO en interne, soit solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.). Source CNIL

Liens utiles :

https://www.cnil.fr/fr/traitement-de-donnees-de-sante-comment-informer-les-personnes-concernees

https://www.cnil.fr/fr/comprendre-le-reglement-europeen

https://www.cnil.fr/fr/rgpd-par-ou-commencer

https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux-ce-que-vous-devez-savoir

Laisser un commentaire

Your email address will not be published.

top