RGPD et professionnels de santé libéraux
Ce que vous devez savoir

Voici un récapitulatif des points important à respecter pour vous mettre en confirmité avec le RGPD

Pour plus d'informations, consultez directement le site de la CNIL
  1. Les dispositions du RGPD s’appliquent à tous les traitements de données personnelles (ex : nom, prénom, numéro de patient, etc) utilisées dans l’exercice de votre activité professionnelle, que ces traitements soient sous une forme informatique ou papier.
  2. Quelles informations sur les patients pouvez-vous collecter ?

    Les données collectées sur vos patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire dans le suivi du patient.

  3. Quelles sont les limites de la transmission des données patients avec d’autres professionnels, organismes ou autorités ?

    L’accès aux données de santé de vos patients doit être limité. Seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci. Par ailleurs, la loi peut autoriser certains tiers à avoir accès aux données de vos patients (ex : les organismes de sécurité sociale, la MDPH, etc.)

  4. Combien de temps pouvez-vous conserver les données collectées de vos patients ?

    Les données que vous collectez sur vos patients doivent être conservées pour une durée déterminée. (ex : Le Conseil national de l’Ordre des médecins recommande de conserver les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation.)

  5. Devez-vous informer les patients dont vous collectez et conservez les données de santé ?

    Vous devez délivrer aux patients une information portant sur le traitement de données que vous effectuez pour leur prise en charge. Le support d’information est libre : par oral, par écrit ou par tout autre moyen (affichage dans les lieux de soins, dans les secrétariats, remise de documents écrits d’information, etc.).

  6. Devez-vous recueillir le consentement du patient pour collecter et conserver les données de santé que vous utilisez pour la mise en œuvre de votre activité ?

    Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.

  7. Etes-vous responsable de la mise en place de mesures de sécurité pour garantir le respect de la confidentialité des données de santé de vos patients ?

    Vous devez respecter des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle.
    Pour ce faire vous devez mettre en place des mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données.
    Si vous passez par un prestataire qui traite des données en votre nom et pour votre compte, celui-ci doit, en tant que sous-traitant, vous garantir un niveau de sécurité adapté au risque. Vous devez vérifier ce point et conclure un contrat avec votre prestataire.

  8. Devez-vous toujours déclarer les traitements de données personnelles auprès de la CNIL ?

    Avec l’entrée en application du RGPD, vous n’avez plus de formalité à accomplir auprès de la CNIL pour les traitements de données personnelles nécessaires à la gestion de votre activité.
    En revanche, vous devez être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD en traçant toutes les démarches entreprises : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc.

  9. Devez-vous tenir un registre des activités de traitement ?

    La constitution et le maintien d’un registre est une obligation prévue par le RGPD. Elle s’applique à toutes les structures qui traitent des données personnelles de façon régulière dans le cadre de leurs activités.
    Dans la mesure où vous mettez en œuvre des traitements pour l’exercice de votre activité professionnelles (ex : pour la gestion de votre cabinet) vous devez tenir un registre des activités de traitement et le renseigner.

  10. Une fois renseigné, devez-vous transmettre votre registre des activités de traitement à la CNIL ?

    Votre registre doit être conservé en interne : il vous permet de documenter votre conformité au RGPD.
    Ainsi, la CNIL n’est pas destinataire des registres des activités de traitement des professionnels de santé. Néanmoins, si vous faites l’objet d’un contrôle de la CNIL, vous devez être en mesure de le mettre à disposition.