RGPD et dossier médical
Dossier du patient DPI Reglementation RGPD
RGPD et dossier médical
Dossier du patient DPI Reglementation RGPD

RGPD et dossier médical

Rate this post

Source : Décryptage du RGPD applicable aux médecins 

Les données de santé du patient

Quelque soit le support du recueil des données personnelles du patient , le médecin est tenu de :

– collecter et traiter les données « de manière loyale et licite » : le patient concerné a donc été informé du recueil de ses données personnelles d’une manière justifiable (livret d’accueil remis et expliqué au patient à son admission).
– collecter des données pour des « finalités déterminées, explicites et légitimes » : le médecin ne peut collecter ces données personnelles que pour exercer son activité de prévention, de diagnostic et de soins. Les usages à des fins personnelles et commerciales sont strictement interdits.
– collecter des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » : Le suivi du patient est seul concerné. Les informations non nécessaires à la prise en charge ne sont pas à collecter
– collecter des données « exactes, complètes et si nécessaires, mises à jour » : Le patient doit pouvoir vous demander l’accès à ses données personnelles, les rectifier en cas d’erreur, et même vous demander de les effacer dans certains cas.

Les données de santé à conserver selon certaines conditions 

Les données personnelles doivent être conservées par l’établissement de santé , comme pour le médecin libéral , pendant une durée qui n’excède pas celle nécessaire à l’usage qu’il en fait. D’ailleurs le CNOM préconise au médecin libéral de s’aligner sur les délais prévus pour la conservation des dossiers médicaux des établissements de santé, soit :

– 20 ans à compter de la date de la dernière consultation du patient, même si le patient demande à effacer ses données personnelles ou à les récupérer en cas de changement de médecin ;
– si le patient est mineur et que ce délai de 20 ans expire avant son 28ème anniversaire, la conservation des informations le concernant doit être prolongée jusqu’à cette date ;
– si le patient décède moins de 10 ans après sa dernière consultation, les informations le concernant doivent être conservées pendant 10 ans à compter de la date du décès ;

Les données de santé sont soumises à une transmission réglementée 
Le médecin peut être amené à transmettre les données de santé de ses patients à des « tiers autorisés » par la loi : l’administration fiscale, les organismes de sécurité sociale, la DGCCRF, un huissier de justice, etc. Il le fait alors dans des conditions strictes et encadrées.

==> Attention aux messageries standard ! Si vous adressez par mail des données de santé personnalisées, vous demanderez à votre prestataire informatique d’organiser la sécurité de vos transmissions (mots de passe, accusés de réception de lecture, chiffrage des données, etc.)

L’utilisation de la messagerie sécurisée est fortement recommandée quand votre établissement la propose : les mésusages d’échanges de données personnelles de patient sur une messagerie non sécurisée pourrait vous être reprochés individuellement

Attention à l »utilisation d’un téléphone portable ou d’une tablette quand vous communiquez avec d’autres professionnels de santé ou avec vos patients : utilisation de mots de passe conformes aux recommandations de la CNIL, verrouillage automatique après un court délai d’utilisation, chiffrement des données de santé.

L’utilisation de supports mobiles (clé USB, disque dur externe) est fortement déconseillée dans le rapport du CNOM et de la CNIL.

Votre responsabilité est pénalement sanctionnée 

Un praticien peut être pénalement condamné s’il omet de respecter cette règlementation.

Avant même toute procédure pénale, la CNIL peut être amenée à sanctionner un comportement déviant : avertissement, rappel à l’ordre, injonction de mise en conformité assortie d’une astreinte dont le montant ne peut excéder 10.000 euros, amende administrative dont le montant ne peut excéder 10.000.000 d’euros.

Quant à la sanction pénale, prononcée par une juridiction répressive, elle peut aller jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende.

Droit à rectification ou à l’effacement des données (4) : lien ici 

Sources

  1. Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
  2.  Conformément à l’article L. 1111-7 du Code de la santé publique , l’article 40 de la loi n° 78-17 modifiée du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoit que les données personnelles du patient doivent pouvoir être rectifiées, complétées, mise à jour, verrouillées ou même effacées lorsqu’elles sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation, est interdite.
  3. Article 16 du Règlement Général sur la protection des données.
  4. Article 17 du Règlement Général sur la protection des données :
    • (a) Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
    • (b) La personne concernée retire le consentement sur lequel est fondé le traitement, et il n’existe pas d’autre fondement juridique au traitement ;
    • (c) La personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
    • (d) Les données à caractère personnel ont fait l’objet d’un traitement illicite ;
    • (e) Les données à caractère personnel doivent être effacées pour respecter une obligation légale ;
    • (f) Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information aux mineurs.