Depuis 2018, le Règlement général sur la protection des données (RGPD) donne un cadre précis au recueil et à la protection des données de santé.
Toute personne prise en charge par un professionnel ou une structure de santé a droit au respect de sa vie privée et au secret des informations la concernant. Ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel de santé. Ce secret s'impose à tous les professionnels intervenant dans le système de santé.
SOMMAIRE :
• Qu'est-ce qu'une donnée de santé ?
• Quelles sont mes obligations ?
• Ce qui change avec le numérique
• Risques & conseil pratique
En tant que professionnel de santé, vous êtes amené à recevoir ou à émettre des informations sur vos patients. Ces informations sont des données personnelles. Mais dans le cadre d'une prise en charge, elles deviennent sensibles car elles peuvent révéler des informations sur l'état de santé des personnes. Elles sont donc encadrées par des mesures supplémentaires.
• de données d’identification comme les nom, prénom, adresse, ou numéro de téléphone ;
• d’informations sur la vie personnelle du patient (ex : nombre d’enfants), sa couverture sociale (ex : assurance maladie obligatoire, assurance maladie complémentaire, CMU, etc.)
• et surtout d’informations relatives à sa santé (pathologie, diagnostic, prescriptions, soins, etc.), les éventuels professionnels qui interviennent dans sa prise en charge.
• vous détenez également, dans le cadre de votre exercice, le numéro de sécurité sociale des patients (Numéro d’Inscription au Répertoire des Personnes Physiques - NIR) pour facturer les actes réalisés. A terme, vous détiendrez également leur Identité Nationale de Santé (INS).
En tant qu'acteur de la santé, lorsque vous recevez, conservez ou échangez des informations personnelles ou de santé à propos de vos patients, en version papier ou numérique, vous devez :
→ Assurer la sécurité et la confidentialité de ces informations : les protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Vous devez donc mettre en place des mesures de sécurité adaptées.
→ Informer le patient des modalités de traitement de ses données dans votre structure, par exemple sous la forme d'une affiche dans votre cabinet. Pour connaître en détail la forme et le contenu de l'information à délivrer, vous pouvez consulter cette fiche pratique.
Pour en savoir plus sur les bonnes pratiques dans la gestion courante des données personnelles au sein de votre cabinet, vous pouvez consulter la fiche pratique dédiée aux professionnels de santé proposée par la Commission Nationale Informatique et Liberté.
La règlementation qui encadre le traitement des données de santé a des conséquences concrètes dans vos usages professionnels du numérique : accès aux données, usages du smartphone, messageries électroniques, plateformes de prise de rendez-vous, etc.
Si vous utilisez des outils numériques pour échanger des informations sur vos patients avec d'autres professionnels, ou même simplement pour les conserver au sein de votre structure, ces outils doivent présenter des garanties de sécurité. La plupart du temps, seuls les outils conçus spécifiquement pour une utilisation dans la santé répondent à ces obligations légales.
Seul un professionnel de santé habilité peut légalement recevoir et consulter une information médicale relative à un patient. Il est donc nécessaire de renforcer le contrôle des accès. La combinaison identifiant / mot de passe, utilisée dans la plupart des outils numériques courants, n'est pas suffisante. C'est pourquoi un outil adapté vous proposera :
• Une authentification à double facteur, qui requiert la réception d'un code à usage unique par mail ou SMS pour accéder au service
• Une authentification biométrique, qui implique le scan de votre empreinte digitale ou la reconnaissance faciale
• Une connexion spécifique aux acteurs de santé via Pro Santé Connect, qui s'appuie sur la CPS ou sa version numérique, l'e-CPS
Pour rester confidentielle, une information ne doit pas être expédiée par les moyens numériques courants. Pour protéger vos patients d'un accès illicite à leurs données, la transmission des informations doit être sécurisée : chiffrement des données et des échanges, canaux de transmission protégés, etc. Par exemple, les Messageries Sécurisées de Santé (MSSanté) dialoguent au sein d'un espace numérique de confiance qui permet de protéger les échanges des regards indiscrets.
Comment s'assurer que la personne à qui l'on envoie des informations patient est bien autorisée ? Pour être certain que vous échangez bien avec un autre professionnel de santé, les outils que vous utilisez doivent utiliser une base de contacts authentifiée.
Cette base doit être séparée des contacts que vous utilisez dans la vie de tous les jours, comme les contacts de votre smartphone par exemple. Ces mesures de sécurité vous prémunissent contre les risques d'erreur au moment d'envoyer une information confidentielle.
Les services e-Santé s'appuient pour cela sur des annuaires numériques spécialisés mis à jour à partir des informations fournies par les ordres professionnels comme le Répertoire Partagé des Professionnels de Santé.
Si les outils que vous utilisez stockent des informations sur vos patients en ligne, l'hébergement de ces données doit être certifié HDS, pour Hébergeur de Données de Santé. Cette certification est obligatoire pour le stockage des données de santé.
Last but not least, les fameuses CGU que personne ne lit ! Même quand un fournisseur de service coche toutes les cases techniques en matière de sécurité, il convient de vérifier qu'il respecte les droits de vos patients dans le traitement de leurs données. Le modèle économique des entreprises du net repose bien souvent sur l'exploitation commerciale des données personnelles, notamment à des fins publicitaires. Au moment de choisir un fournisseur de service, si vous avez un doute, rappelez-vous que la plupart du temps : "Si c'est gratuit, c'est que c'est moi le produit !"
Pour toutes les raisons présentées ci-dessus, l'utilisation des outils numériques grand public dans la santé est presque toujours contraire à la réglementation. Qu'il s'agisse de Whatsapp, Gmail, Hotmail, Outlook, ou même d'applications moins invasives comme Signal ou Telegram, leur utilisation vous expose à des risques.
Il s'agit d'une entorse au RGPD. En cas de contrôle par la CNIL, les amendes peuvent aller jusqu'à 20 millions d'euros — sur le papier, même pour un libéral.
Mathias Laurent, Responsable de la Sécurité des Systèmes d'Information en Santé au GCS TESIS
En réalité, ces fortes amendes ont été mises en place pour dissuader les géants du net. Mais à mesure que les usages numériques se généralisent dans la santé, il est probable que la CNIL impose des sanctions croissantes aux professionnels qui ne respectent pas les règles.
Vous souhaitez sécuriser vos échanges, faire de la téléconsultation, ou tout simplement comprendre ce que le numérique peut faire pour vous et vos patients, dès aujourd'hui :
→ Consultez nos formations gratuites
→ Contactez-nous au 0800 123 974 (appel gratuit à La Réunion, de 8h à 17h)