Fin 2020, la CNIL a prononcé une sanction qui a été peu relayée et commentée par les professionnels de santé ou leurs représentants syndicaux. Néanmoins, cette sanction est importante à connaitre car elle repose la question de la connaissance et du respect par les médecins de leurs obligations en matière de données personnelles.
Des amendes sanctionnant l'insuffisance de protection des données de santé
Le 7 décembre 2020, la CNIL a condamné à des amendes de 3 000 € et 6 000 € deux médecins libéraux. Cette sanction intervient pour insuffisance de protection des données de santé à caractère personnel des patients et pour absence de notification d'une violation de données à la CNIL.
Concrètement, c'est à l'occasion d'un contrôle en ligne que la CNIL constate que de nombreuses images médicales étaient hébergées sur des serveurs appartenant aux deux médecins sanctionnés et accessibles librement sur le web. L'audition des praticiens dans le cadre du contrôle révèlera que cette erreur était le fait de mauvais paramétrages de leur logiciel médical et de leur box internet. Les images n'étaient par ailleurs pas chiffrées, ce qui les rendait visibles en ligne en dehors du cadre de confidentialité médicale.
Les amendes données sont proportionnées tout en étant suffisamment persuasives. En tant que médecin, elles vous rappellent votre responsabilité dans le traitement des données de santé personnelles et la vigilance à avoir qui doit être aussi élevée que celle que vous avez en matière de secret médical.
Comment vous mettre en conformité avec le RGPD si vous êtes médecin ?
Cette décision de la CNIL appelle une première réflexion qui est celle de la formation des praticiens aux contraintes posées par le RGPD concernant les données de santé. La multiplication des échanges numériques avec les patients, le choix d'un logiciel pour leur dossiers, les canaux utilisés entre praticiens pour partager des données : tous ces sujets sont autant de points de vigilance.
Malheureusement aujourd'hui les professionnels sont mal formés et mal accompagnés sur ces sujets. Néanmoins il vous est possible de vous documenter grâce à un guide publié par la CNIL et le CNOM : Guide pratique sur la protection des données personnelles pour les médecins
Ce guide traite des sujets suivants :
- Quel cadre appliquer aux dossiers des patients ?
- Quel cadre appliquer à la prise de rendez-vous ?
- Quel cadre appliquer à la messagerie sécurisée ?
- Quel cadre appliquer aux téléphones portables et aux tablettes ?
- Quel cadre appliquer aux recherches cliniques ?
- Quel cadre appliquer à la télémédecine ?
- Annexe sur le "registre de traitement des données" pour un médecin en exercice libéral.
Pour résumer, parmi les conseils et cas pratiques présentés, ce guide démontre que le sujet de la protection des données de santé relève d'un choix minutieux des outils (et d'un bon paramétrage de ces derniers) mais aussi du comportement du médecin.
➡️ Pour la téléconsultation choisissez la solution Hellocare,
conforme et sécurisée
Comment protéger les données des patients
Les données de santé sont considérées comme sensibles et doivent donc faire l'objet du plus haut niveau de sécurité. Vous devez être vigilant afin de respecter certaines règles, notamment :- ne pas communiquer par email non sécurisé des prescriptions médicales ou des conseils nominatifs de santé. Les adresses email grand public type Gmail, Hotmail, Yahoo sont à proscrire, seules les adresses de type MSSante proposent une sécurité suffisante.
- ne pas stocker une copie de vos dossiers patients de manière non cryptée sur un service en ligne type Cloud.
- ne pas discuter nominativement de patients avec des confrères sur des services comme Facebook.
