RGPD dans votre cabinet médical

L’acronyme RGPD signifie : « Règlement Général sur la Protection des Données »

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne et entre en application le vendredi 25 mai 2018.

LE RGPD a été mis en place pour s’adapter aux enjeux du numérique et garantir une meilleure maîtrise des données personnelles.

Le RGPD renforce les droits des personnes et responsabilise davantage les organismes qui traitent leurs données (donc vous en tant que dentiste ou orthodontiste, et nous en tant que fournisseur d'application de gestion de cabinet dans le cloud).

Même si le RGPD impacte surtout les grosses sociétés dont le métier est d'emmagasiner des données à caractère personnel (Facebook, Google...), les cabinets dentaires (qui gèrent des données médicales sensibles) devront s'adapter pour être en conformité.

Pas de panique, cela ne demandera que du bon sens, un peu d'organisation, et un peu de votre temps. Ce dossier est fait pour vous aider et vous accompagner !

Avec 5h de travail réparti sur plusieurs jours, vous pourriez mettre en place une première partie de votre mise en conformité avec le RGPD.

Vous trouverez sur le site officiel de la CNIL, de nombreuses informations qui vous aideront à appréhender le sujet.

La CNIL explique comment se préparer en 6 étapes https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes :

Ces 6 étapes sont très détaillées par la CNIL, n'hésitez pas à consulter leur site en cas de doute. Cela constitue une bonne base pour s'informer sur le RGPD, mais soyons pragmatiques...

Vous n'avez ni le temps, ni le budget, ni les connaissances juridiques pour avoir le même process de mise en conformité qu'une société privée ou une administration.

De ce fait, voici ci-dessous quelques étapes simples et pragmatiques afin de lancer votre projet de mise en conformité.

Nos étapes:

• ÉTAPE 1 : Commencez par définir un responsable dans votre équipe qui va gérer la mise en conformité
• ÉTAPE 2 : Cartographiez vos traitements de données personnelles
• ÉTAPE 3 : Informez vos patients et employés du traitement de leurs données
• ÉTAPE 4 : Sécurisez vos données via de bonnes pratiques
• ÉTAPE 5 : Identifiez les risques, gérez ces risques, et documentez.

Il s'agit de désigner quelqu'un qui va gérer votre projet de mise en conformité RGPD au cabinet médical. Cela peut être le praticien, ou le directeur de cabinet. Son rôle est :

• De s'informer sur le RGPD
• Sensibiliser l'équipe du cabinet
• Piloter la mise en conformité
• Identifier et gérer les risques
• Documenter les actions

En tant que cabinet de moins de 250 employés (on imagine que c'est le cas), vous devez cartographier uniquement :

• les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)
• les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
• les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

À partir du modèle de registre fournit par la CNIL, nous avons mis en place un document qui peut vous servir de modèle de registre. N'hésitez pas à consulter le site de la CNIL pour plus d'information.

Remplissez ce document, prenez votre temps, vous pouvez le mettre à jour régulièrement si vous oubliez des traitements lors de votre première ébauche.

Voici quelques exemples de traitements de données au sein d'un cabinet :

• Logiciel de gestion de cabinet
• Télésurveillance
• Logiciel de gestion des paies / planning de l'équipe
• ...

Une fois ce document rempli, commencez à réfléchir aux risques, et aux actions que vous pouvez entreprendre pour limiter ces risques.

Vous devez informer vos patients que vous collectez et traitez des données personnelles.

Vous pouvez afficher un message d'information dans votre salle d'attente. La CNIL (Commission Nationale de l'Informatique et des Libertés) propose sur son site internet des modèles de mentions pour votre cabinet dentaire : https://www.cnil.fr/modeles/mention.

Nous vous proposons ce modèle de pancarte, que vous pouvez télécharger et modifier à votre guise:

Attention : En principe le consentement n'est pas nécessaire (selon l’article 6 du RGPD) : si le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement

Vous ne devriez donc pas demander le consentement à vos patients pour établir un dossier médical. Cela paraît logique, mais devrait être éclaircit dans les mois à venir par les autorités compétentes.

Vous devez aussi informer vos employés (par exemple dans le cas d'utilisation de caméras de surveillance au cabinet...).

Vous informez vos patients du traitements de données personnelles. Le fait que vous traitez des données personnelles de vos patients, leur confère des droits:

• Les droits d’accès et de rectification (articles 15 et 16)
• Droit à l’effacement ou à l’oubli (article 17)
• Droit à la limitation du traitement (article 18)
• Obligation de notification (article 19)
• Droit à la portabilité des données (article 20)
• Droit d’opposition (article 21)
• ...

Ces droits sont résumés par ce très bon article de Next Inpact.

Vos patients pourrons vous contacter pour faire prévaloir leurs droits. Le cas échéant, vous pouvez transmettre cette demande à un sous-traitant, afin qu'il puisse gérer cette demande.

Par exemple, si un patient vous demande de faire valoir son droit à l'oubli quand aux données que vous avez saisies dans votre logiciel de gestion de cabinet, vous pourrez contacter l'équipe OrthoADVANCE afin que ces données soient totalement supprimées (et supprimées des sauvegardes par exemple).

Dans les faits, cela ne va probalement jamais arriver, mais il faudra néanmoins être prêts pour gérer ce type de demandes.

Des mesures de sécurité, informatique mais aussi physique, doivent être prises au sein de votre cabinet afin de sécuriser vos données. Pour les conseils informatiques :

• Avoir un système d'exploitation à jour
• Avoir un antivirus à jour
• Choisir des mot de passe complexes
• Verrouiller vos sessions si le poste n'est pas utilisé
• Se déconnecter si vous n'utilisez plus vos logiciels
• Pas de mot de passe sur des post-it : Retenez vos mots de passe :)
• Sensibilisez vos employés à la sécurité informatique
• Protégez votre WIFI avec un mot de passe
• Changez vos mots de passe tous les ans ou lors de changements au sein de votre personnel
• Faites des sauvegardes de vos données et stockez ces sauvegardes dans un endroit sécurisé
• etc.

Il y a aussi des règles de bon sens pour la sécurité des données au cabinet :

• Protégez vos locaux (Ex: Une pièce avec des dossiers d'archives ne doit pas être accessible trop facilement)
• Rangez vos dossiers dans un placard non accessible aux patients
• Ne communiquez pas d'informations confidentielles au téléphone.
• etc.

La liste n'est pas exhaustive, mais cela vous donne un aperçu de ce qui peut être fait. La CNIL a écrit un très bon dossier à ce sujet, n'hésitez pas à le lire pour mettre en place les bonnes pratiques dans votre cabinet.

Avec la réalisations des étapes 2, 3, et 4, vous devriez déjà y voir plus clair :

• Quels sont les données collectées ?
• Mes patients/employés sont-ils informés ?
• Quel est le type d'action que je peux mener pour éviter les risques.

Grâce à ces étapes, vous devriez naturellement identifier des risques supplémentaires :

• Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées. (Ex: il est inutile de collecter la religion de vos patients)
• Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...)
• Vérifiez les mesures de sécurité mises en place.

Priorisez les actions à mener au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. Gérer les risques :

• Documentez les actions pour éviter ces risques
• Organisez les processus internes

Mettez en place une documentation et mettez là à jour régulièrement si nécessaire.

Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’un autre organisme (le « responsable de traitement »).

OrthoADVANCE en tant qu'hébergeur, et intégrateur de votre logiciel de gestion de cabinet est un sous-traitant.

Dans ce cadre nous avons des obligations spécifiques :

• Une obligation de transparence et de traçabilité
• La prise en compte des principes de protection des données dès la conception et de protection des données par défaut
• Obligation d'assistance, d'alerte et de conseil
• Une obligation de garantir la sécurité des données traitées
• Vous informer sur les mesures de sécurité à mettre en place au cabinet
• Tenir un registre des activités de traitement effectuées pour votre compte

De nombreuses choses ont été mises en place pour s'assurer du bon traitement des données de vos patients :

• Mises à jour de sécurité de nos serveurs
• Mot de passe complexe obligatoire dans l'application
• Déconnexion automatique de l'application après une période d'inactivité
• Authentification à l'application complémentaire via un code à 4 chiffres hors du cabinet
• Mise en place d'un monitoring des actions réalisées dans l'application
• Mise en place de procédure d'archivage automatique de dossiers patients
• Mise en place de procédures d'alertes des praticiens et patients en cas de faille de sécurité
• Mise en place d'anonymisation
• etc.

L'équipe OrthoAdvance améliore en continu ses processus de gestion des données afin de suivre au mieux les recommandations de la CNIL.
Vous pouvez nous contacter si vous souhaitez plus d'informations à ce sujet.

Sources de l'article et liens intéressants :

• https://www.cnil.fr/fr/rgpd-par-ou-commencer
• https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
• https://www.macsf-exerciceprofessionnel.fr/Reglementation-et-actualite/Actualites-et-lois-de-sante/RGPD

Documents utiles :

Vous avez une question ? Une remarque ? Une correction à nous soumettre ? Contactez-nous via ce formulaire, et nous essayerons de vous répondre rapidement.