Sécurisation des données personnelles des patients : quelles obligations ?

La transposition dans le droit français du Règlement général pour la protection des données personnelles (RGPD) le 25 mai 2018 entraîne des obligations pour les infirmiers libéraux concernant la sécurisation des données de santé de leurs patients. Faute de quoi, ils peuvent s’en trouver sanctionnés. Article paru dans le n°34 d'ActuSoins Magazine (septembre 2019). 

© iStock/Witthaya Prasongsin

Auparavant, la réglementation exigeait une déclaration ou une autorisation préalable de la Commission nationale de l’informatique et des libertés (Cnil) pour recueillir, traiter et conserver des données à caractère personnel.

« Désormais, avec la nouvelle réglementation européenne transposée dans le droit français, chaque personne amenée à traiter des données personnelles, et plus particulièrement des données sensibles comme les données de santé, en est responsable sans qu’aucune déclaration ou autorisation préalable ne soit nécessaire », explique Arzu Gül, responsable juridique à l’Ordre national des infirmiers (Oni). 

Qu’est-ce qu’une donnée de santé ?

Comme l’explique la Cnil, les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend notamment les informations collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services.

Ce sont aussi les informations obtenues lors de tests ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques. Ou encore les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical d’une personne.

Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

« Les infirmières libérales (idels) sont donc directement concernées par ces données de santé, qu’elles les récoltent de manière verbales ou écrites auprès de leurs patients, et qu’elles conservent à l’occasion d’activité de prévention, de diagnostic ou encore de soins », rapporte Arzu Gül.

A titre d’exemple, une attestation clinique rédigée par une idel  pour une femme victime de violences constitue une donnée personnelle car l’attestation regroupe des informations qui sont propres à la patiente et contient des données de santé (prévention, diagnostic, constat).

Sécurisation des données personnelles des patients des obligations multiples

© iStock / Oatawa

La réglementation exige que les idels protègent les données personnelles de santé de leurs patients, dès lors qu’elles en assurent la conservation sur papier ou de manière numérique.

« Elles doivent tout mettre en œuvre pour que des personnes non autorisées ne puissent pas y accéder, indique Arzu Gül. Cela vient recouper la notion de secret professionnel auquel elles sont également soumises. »

De fait, leurs locaux doivent être sécurisés afin que les dossiers de soins ne soient pas accessibles à d’autres professionnels de santé si elles exercent dans une structure commune, ou aux patients.

Elles ne doivent pas non plus utiliser de téléphones portables, tablettes ou messageries non sécurisés pour envoyer des informations concernant un patient à un autre professionnel de santé ou au patient lui-même.

Enfin, il faut s’assurer que les prestataires comme les fournisseurs de logiciel de facturation, appliquent eux-mêmes le RGPD. « Le fait de travailler avec un prestataire qui n’applique pas la loi entraîne un risque pour l’idel », met en garde la responsable juridique de l’Oni.

Les patients doivent être informés de la collecte de leurs données, même si cela peut paraître tacite dès lors qu’ils acceptent d’être soignés. Cette information peut leur être transmise oralement ou via des affiches dans le cabinet.

L’infirmière ne peut pas non plus transmettre les données des patients à des personnes extérieurs à son équipe de soins. 

Tenir un registre d’activités

Autre obligation : tenir un registre d’activités de traitement qui recense le traitement des données et permet de disposer d’une vue d’ensemble des opérations effectuées avec les données personnelles des patients.

Comme l’explique la Cnil, ce document de recensement et d’analyse doit refléter la réalité du traitement des données personnelles effectuées par l’idel et lui permettre d’identifier tout d’abord, les parties prenantes qui interviennent dans le traitement des données, les catégories des données traitées, l’utilisation des données, qui y accède et à qui elles sont communiquées, combien de temps elles sont conservées et comment elles sont sécurisées.

Ce registre est un outil de pilotage et de démonstration de la conformité au RGPD.

Par exemple, si l’idel a une activité de prévention, elle doit le mentionner dans son registre en précisant qui a accès au dossier, les interlocuteurs avec lesquels elle échange les données, le support.

Ce registre permet aussi de se poser les bonnes questions : est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ?

La création et la mise à jour du registre sont l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. « Il s’agit d’un travail de recensement, indique Arzu Gül. Une fois qu’il est effectué, que toutes les activités sont établies, il doit être mis à jour en fonction des évolutions du cabinet uniquement. Toutes les idels devraient déjà l’avoir créé. »

En cas de fuite des données, l’idel doit immédiatement prévenir la Cnil, via le formulaire en ligne, pour notifier la violation des données personnelles. Il est également nécessaire d’avertir les personnes concernées.

Dans ce cadre, « les idels doivent faire attention aux abus, fraudes et tentatives d’escroquerie de la part d’entreprises qui se disent mandatées par un organisme public, notamment pour faire un diagnostic, ce qui est totalement faux, met en garde Arzu Gül. En cas de doute, elles peuvent contacter la Direction régionale de la concurrence, de la consommation et de la répression des fraudes (DRCCRF). » 

La présence d’un délégué à la protection des données

Dès lors que l’idel exerce son activité "à grande échelle", par exemple au sein d'un réseau de professionnels, d’une maison ou d’un centre de santé et que les dossiers sont partagés entre plusieurs professionnels de santé, elle doit avoir désigné un Délégué à la protection des données (DPD ou DPO pour Data protection officer).

Il est chargé de la conformité réglementaire en matière de protection des données à caractère personnel.

« Cette personne va surveiller la mise à jour du registre d’activités, indique Arzu Gül. Le DPD est le référent de la Cnil en cas de problème, il chapeaute et veille à ce que l’outil soit à jour et qu’il n’y ait pas de fuite des données. »

Certains cabinets d’avocat ou d’expert-comptable proposent ce service. Il faut une personne interne ou externe au cabinet qui remplisse cette mission. Son nom et ses coordonnées doivent être mentionnées sur le registre d’activités.

Sécurisation des données personnelles des patients : les sanctions

La loi prévoit la possibilité pour la Cnil de prononcer des sanctions, notamment des amendes dont le montant varie en fonction de la gravité du non-respect de la réglementation. Cela peut aller jusqu’à 4% du chiffre d’affaires annuel.

Lorsque l’idel a un contrôle de la Cnil, son registre d’activités lui permet de prouver son travail de recensement et de respect du RGPD. « Chaque professionnel est responsable de son registre et doit s’assurer que son activité est conforme », souligne Arzu Gül.

Et de poursuivre : « en cas de contrôle et de constat de non conformité à la réglementation, la Cnil adoptant une démarche pédagogique vis-à-vis des professionnels de santé, elle pourrait procéder, dans un premier temps, à une mise en demeure en exigeant la mise en conformité dans un délai imparti avec la nécessité pour l’idel d’apporter la preuve d’avoir effectué les modifications nécessaires. Toutefois, il est vivement conseillé aux infirmiers de s’y conformer sans délai afin d’éviter une sanction. »

Une sanction pénale pour violation du droit au respect de la vie privée est envisageable…

Laure Martin

Abonnez-vous gratuitement à la newsletter Actusoins

Cet article est paru dans le n°34 d'ActuSoins Magazine (septembre-octobre-novembre 2019)

Il est à présent en accès libre. 

ActuSoins vit grâce à ses abonnés et garantit une information indépendante et objective.

Pour contribuer à soutenir ActuSoins, tout en recevant un magazine complet (plus de 70 pages d'informations professionnelles, de reportages et d'enquêtes exclusives) tous les trimestres, nous vous invitons donc à vous abonner. 

Pour s' abonner au magazine (14,90 €/ an pour les professionnels, 9,90 € pour les étudiants), c'est ICI

Abonnez-vous au magazine Actusoins pour 14€90/an

Un travail engagé entre l’ONI et la Cnil

L’ONI se préoccupe de l’application des obligations relevant du RGPD par les idels. « Nous avons diffusé des règles de bonnes pratiques sur la conservation, le stockage, la collecte des données, l’information du patient et le type de données dont elles peuvent être détentrices », indique Patrick Chamboredon, président de l’Oni. Outre cette note, l’Ordre souhaite aller plus loin et travaille à l’élaboration d’un guide avec la Cnil afin de s’assurer que les idels appliquent bien la loi. « C’est l’un de nos sujets de préoccupation, d’autant plus que la nouvelle présidente de la Cnil souhaite une application stricte du RGPD car la principale finalité est le droit du patient », reconnaît le président de l’Oni qui souhaite mener un travail pédagogique et d’information.

« Il faut mener une conduite au changement »

© DR

Nicolas Schinkel, infirmier libéral en Franche-Comté, chargé de mission e-Health à la Fédération nationale des infirmiers

« Je fais confiance à mon éditeur de logiciel. Généralement, les données sont hébergées en ligne, sur les serveurs des éditeurs, agréés hébergeurs de données de santé. De fait, les idels pensent que leurs données sont sécurisées et ne se sentent pas concernées par le RGPD. Mais il faut tout de même faire attention, ne pas oublier de mettre un mot de passe sur son ordinateur et pour l’accès au logiciel, surtout lorsque les données ne sont pas hébergées par l’éditeur. C’est d’autant plus important que les idels ont généralement un ordinateur familial auquel tout le monde a accès. Les infirmières doivent également veiller à ne pas effectuer leurs transmissions sur l’application whatsapp ou par email non sécurisé. Sinon, elles s’exposent à des représailles… surtout que le piratage est facile.

Personnellement, comme j’ai repris le travail depuis quelques mois seulement pour des raisons de santé, je n’ai pas encore créé mon registre d’activités. Mais mon éditeur de logiciel protège mes données et je ne fais que des transmissions téléphoniques ou de visu avec mes collègues. Je suis également mon propre délégué à la protection des données car j’ai des compétences en informatique. Mon ordinateur est uniquement professionnel et je dispose également d’une messagerie sécurisée. Mais pour le moment, il m’est difficile de m’en servir car mes collègues n’en ont pas.

Il faut mener une conduite au changement. Souvent les idels se disent qu’il n’y a pas de raison pour qu’elles aient des problèmes jusqu’au jour où… Cette sécurisation des données, c’est la continuité du secret professionnel, inscrit dans le Code de la santé publique et il ne faut pas oublier que nul n’est censé ignoré la loi. Mais on sait que lorsqu’une mesure est nouvelle, il faut toujours un certain temps pour qu’elle soit intégrée par la profession. »