URPS des chirurgiens dentistes d'Île-de-France
Actualités

Depuis le 25 mai 2018, le règlement européen sur la protection des données personnelles s’applique à tout acteur traitant des données personnelles, quel que soit son secteur d’activité. Le règlement impose que tout traitement de données personnelles respecte des critères assurant aux européens une protection de leurs données, dans le but de minimiser les utilisations frauduleuses ou indésirable des données personnelles. Compte tenu du caractère confidentiel des informations qu’il traite, le chirurgien-dentiste, comme tous les professionnels de santé, est particulièrement concerné.

Qu’est-ce qu’une donnée personnelle ?

Une donnée à caractère personnel est constituée de toute information qui se rapporte à une personne physique, identifiée ou même indirectement identifiable (par exemple, par un numéro identifiant ou un recoupement d’informations). C’est le cas par exemple du nom, des coordonnées, d’un courriel, un numéro de téléphone, un numéro de sécurité sociale, des habitudes de consommation…

Qu’est-ce qu’un traitement ?

La réglementation définit de manière très large les « traitements de données » qui recouvre quasiment toute opération relative à des données personnelles, de la collecte jusqu’à la destruction. Les traitements se caractérisent par exemple par collecte des données personnelles, leur communication à un tiers, l’envoi de mails et la sauvegarde des données.

Suivant cette définition, un cabinet dentaire contient trois principaux fichiers de coordonnées personnelles : le fichier patient, le registre du personnel et le carnet d’adresse des correspondants.

RGPD : se préparer en 6 étapes

Étape 1 : Désignez le pilote de votre projet RGPD au cabinet

Il s’agit de désigner quelqu’un qui va gérer votre projet de mise en conformité RGPD au cabinet médical. Cela peut être le praticien, ou le directeur de cabinet. Son rôle est :

  • De s’informer sur le RGPD
  • Sensibiliser l’équipe du cabinet
  • Piloter la mise en conformité
  • Identifier et gérer les risques
  • Documenter les actions

Étape 2 : Mettre en place un registre des traitements de données personnelles

En tant que cabinet de moins de 250 employés (on imagine que c’est le cas), vous devez cartographier uniquement les traitements :

  • non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)
  • susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

À partir du modèle de registre fournit par la CNIL, nous avons mis en place un document qui peut vous servir de modèle de registre. N’hésitez pas à consulter le site de la CNIL pour plus d’information.

Remplissez ce document, prenez votre temps, vous pouvez le mettre à jour régulièrement si vous oubliez des traitements lors de votre première ébauche.

Voici quelques exemples de traitements de données au sein d’un cabinet :

  • Logiciel de gestion de cabinet
  • Télésurveillance
  • Logiciel de gestion des paies / planning de l’équipe

Une fois ce document rempli, commencez à réfléchir aux risques, et aux actions que vous pouvez entreprendre pour limiter ces risques.

Étape 3 : Informer vos patients et vos employés sur les données collectées

Vous devez informer vos patients que vous collectez et traitez des données personnelles.

Vous pouvez afficher un message d’information dans votre salle d’attente. La CNIL (Commission Nationale de l’Informatique et des Libertés) propose sur son site internet des modèles de mentions pour votre cabinet dentaire.

Attention : En principe le consentement n’est pas nécessaire (selon l’article 6 du RGPD) : si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement

Vous ne devriez donc pas demander le consentement à vos patients pour établir un dossier médical. Cela paraît logique, mais devrait être éclaircit dans les mois à venir par les autorités compétentes.

Vous devez aussi informer vos employés (par exemple dans le cas d’utilisation de caméras de surveillance au cabinet…).

Les droits de vos patients

Vous informez vos patients du traitements de données personnelles. Le fait que vous traitez des données personnelles de vos patients, leur confère des droits:

  • Les droits d’accès et de rectification (articles 15 et 16)
  • Droit à l’effacement ou à l’oubli (article 17)
  • Droit à la limitation du traitement (article 18)
  • Obligation de notification (article 19)
  • Droit à la portabilité des données (article 20)
  • Droit d’opposition (article 21)

Vos patients pourront vous contacter pour faire prévaloir leurs droits. Le cas échéant, vous pouvez transmettre cette demande à un sous-traitant, afin qu’il puisse gérer cette demande.

Par exemple, si un patient vous demande de faire valoir son droit à l’oubli quant aux données que vous avez saisies dans votre logiciel de gestion de cabinet, vous devrez vous assurer que ces données soient totalement supprimées (et supprimées des sauvegardes également).

Dans les faits, cela ne va probablement jamais arriver, mais il faudra néanmoins être prêts pour gérer ce type de demandes.

Étape 4 : Sécurisez vos données

Des mesures de sécurité, informatique mais aussi physique, doivent être prises au sein de votre cabinet afin de sécuriser vos données. Pour les conseils informatiques :

  • Avoir un système d’exploitation à jour
  • Avoir un antivirus à jour
  • Choisir des mot de passe complexes
  • Verrouiller vos sessions si le poste n’est pas utilisé
  • Se déconnecter si vous n’utilisez plus vos logiciels
  • Pas de mot de passe sur des post-it : Retenez vos mots de passe
  • Sensibilisez vos employés à la sécurité informatique
  • Protégez votre WIFI avec un mot de passe
  • Changez vos mots de passe tous les ans ou lors de changements au sein de votre personnel
  • Faites des sauvegardes de vos données et stockez ces sauvegardes dans un endroit sécurisé

Il y a aussi des règles de bon sens pour la sécurité des données au cabinet :

  • Protégez vos locaux (Ex: Une pièce avec des dossiers d’archives ne doit pas être accessible trop facilement)
  • Rangez vos dossiers dans un placard non accessible aux patients
  • Ne communiquez pas d’informations confidentielles au téléphone.

La liste n’est pas exhaustive, mais cela vous donne un aperçu de ce qui peut être fait. La CNIL a écrit un très bon dossier à ce sujet, n’hésitez pas à le lire pour mettre en place les bonnes pratiques dans votre cabinet.

Étape 5 : Identifiez et gérez les risques, documentez

Organiser les processus internes. Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).:

  • Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées. (Ex: il est inutile de collecter la religion de vos patients)
  • Prévoyez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…)
  • Vérifiez les mesures de sécurité mises en place.

Priorisez les actions à mener au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. Gérer les risques :

  • Documentez les actions pour éviter ces risques
  • Organisez les processus internes

Mettez en place une documentation et mettez là à jour régulièrement si nécessaire.

Attention, au rôle important de votre sous-traitant

Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’un autre organisme (le « responsable de traitement »).

Dans ce cadre le sous-traitant a des obligations spécifiques :

  • Une obligation de transparence et de traçabilité
  • La prise en compte des principes de protection des données dès la conception et de protection des données par défaut
  • Obligation d’assistance, d’alerte et de conseil
  • Une obligation de garantir la sécurité des données traitées
  • Vous informer sur les mesures de sécurité à mettre en place au cabinet
  • Tenir un registre des activités de traitement effectuées pour votre compte

Sources de l’article et documents utiles

Sources de l’article et liens intéressants :

Retrouvez l’ensemble des informations ci-dessous :

Réglementation-RGPD-en-6-étapesTélécharger

Share

Laisser un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *