Le RGPD : les obligations du médecin sur la protection des données personnelles

Les patients doivent être informés par leur médecin de la collecte de leurs données personnelles et avoir accès à celles-ci. Le Dr Jacques Lucas, vice-président du Conseil national de l'Ordre des médecins et délégué général aux systèmes d'information en santé, nous explique quelles mesures concrètes doit, en conséquence, prendre le médecin.

propos recueillis par Laure Martin

M-Soigner : Qu’est-ce que le RGPD ?

Dr Jacques Lucas : Le Règlement général sur la protection des données (RGPD) est la traduction − finalement, pour être simple − sur le plan européen, des lois informatiques et libertés, dont s’étaient dotés les États membres de l’Union. Il est important que l’information puisse circuler d’un État à l’autre et que par conséquent, les données personnelles en général, et les données personnelles de santé en particulier, puisque je suis le premier vice-président du Conseil national de l’Ordre des médecins, soient protégées. Cela est important pour les libertés individuelles et par conséquent les libertés collectives.

M-S: Qu’est-ce que cela implique pour les médecins ?

Dr J. L. : Les obligations du RGPD en réalité sont assez simples dans la vie concrète. Cela ne va pas compliquer terriblement la vie des médecins. Tout d’abord il faut que le patient soit informé que ses données sont collectées. On pourrait se dire qu’il le sait puisqu’il vient. Non, le patient doit être informé qu’il peut y avoir un traitement informatisé de ses données et que bien évidemment, le patient doit avoir accès aux données qui sont traitées et le patient peut s’y opposer. Bien évidemment, on peut considérer que si un patient vient voir un médecin et qu’il dise « docteur, je ne veux pas du tout que vous conserviez la moindre trace de ce qui se sera passé entre nous, le médecin pourra aussi lui dire aimablement, sauf s’il est dans une situation d’urgence, qu’on ne peut pas travailler convenablement dans ces conditions-là. Il faut bien que nous constituions un dossier pour ce qui concerne les patients.

"RGPD s’inspire en fait du respect du secret professionnel et du secret médical. Cela n’a pas d’autre objectif. Et c’est donc la traduction, dans le monde numérique du secret hippocratique."

Lorsqu’il s’agit de dossiers informatisés, qu’il y a eu un incident, par exemple une fuite de données, que la base informatique du cabinet a été piratée ou même le disque dur a été volé puisqu’on peut se trouver dans ce genre de situation, ou bien qu’il y ait eu un ransomware qui a été mis, il doit y avoir un registre où les incidents dans le système d’information soient mentionnés afin que si la CNIL (Commission nationale de l’informatique et des libertés) effectue un contrôle de conformité à l’application du RGPD, le registre puisse noter les finalités, j’en ai parlé tout à l’heure, et puisse également noter les incidents qui sont survenus.

Donc, les médecins libéraux n’ont pas de préoccupation particulière à avoir. Ils doivent avoir un comportement qui est celui qu’ils ont, la seule chose que finalement on leur demande c’est d’informer les usagers par un moyen d’affichette dans leur cabinet et d’avoir un registre pour le traitement des incidents. Le registre peut avoir une forme informatique ou papier.

M-S : Que faut-il faire avec les données ?

Dr J. L. : Il faut que les données personnelles en générale, et les données personnelles de santé en particulier, soient traitées, puisque c’est le terme qu’on utilise en informatique, en fonction des finalités poursuivies.

Donc on va recueillir un certain nombre de données personnelles, cela va être des données d’identité, une adresse mail pour correspondre avec le patient, un numéro de téléphone, et puis ça va être vraiment des données de santé. Donc la collecte de ces données a pour objectif de soigner la personne et ne peut pas être utilisée à d’autres fins. À titre d’exemple, un médecin qui aurait en dehors de son activité médicale, une autre activité, ce qui n’est pas interdit par la déontologie médicale, ne pourrait pas utiliser pour cette autre activité, les données qu’il aurait recueillies puisque leur finalité était le soin.

"Un médecin qui aurait en dehors de son activité médicale, une autre activité, ce qui n’est pas interdit par la déontologie médicale, ne pourrait pas utiliser pour cette autre activité"

Là je parle du traitement des dossiers informatisés, je parle des adresses mail mais c’est également vrai pour les dossiers papiers et pour les collectes des agendas. Par exemple, les données personnelles qui sont communiquées à une société pour la prise de rendez-vous en ligne, le responsable du traitement de ces données au sens informatique, c’est le donneur d’ordre, c'est-à-dire le médecin. Ce n’est pas la société. Il faut donc que contractuellement, tout cela soit exactement précisé.

On invite nos confrères à se mettre en conformité pour deux raisons : la première raison, c’est que le RGPD s’inspire en fait du respect du secret professionnel et du secret médical. Cela n’a pas d’autre objectif. Et c’est donc la traduction, dans le monde numérique du secret hippocratique. Et la deuxième raison, c’est qu’il doit y avoir une conformité de l’activité dans la collecte des données et dans leur traitement et s’il n’y a pas de conformité avec le RGDP, la CNIL peut éventuellement prononcer des sanctions.