Comment intégrer la protection des données lors de son installation

Publié le 27/02/2024

Article réservé aux abonnés

En tant que professionnel de santé, vous êtes doublement concerné par la protection des données sensibles récoltées pour votre activité. Secret médical d’une part, protection des données personnelles des patients d’autre part. Que dit le cadre légal et comment l’appliquer ?

Une protection des postes de travail est indispensable

Oui, les médecins libéraux, eux aussi, sont soumis au respect du règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018. Et alors que se multiplient les échanges numériques entre acteurs de santé, et que s’étend l’intervention de « tiers » comme les plateformes de télémédecine ou de prise de rendez-vous, sans oublier les téléconsultations, les enjeux sont de taille. Et ne doivent pas être omis lors de l’installation.

De quoi parle-t-on précisément ? Des dossiers patients (papiers ou informatisés), des documents relatifs à la gestion du cabinet (fournisseurs, employés), qui sont autant de données personnelles dès lors qu’elles se rapportent à une personne physique identifiée ou identifiable – on parle d’« identification directe » (nom, prénom, etc.) et d’« identification indirecte » (identifiant, numéro, etc.). Les données patients comprennent les informations sur leur vie personnelle, leurs pathologies, traitements, prescriptions, etc. Vous êtes donc garants de cette protection, que ce soit en termes de vol de données ou de destruction simple d’origine accidentelle. Et sachez que, légalement, vous devez être en mesure de démontrer la mise en place d’un niveau de sécurité optimale de ces éléments en documentant leur conformité via un registre des activités de traitement. Cela passe donc par un état des lieux de vos équipements informatiques et par des règles de base pour mettre en place des mesures techniques et organisationnelles appropriées afin de préserver la confidentialité et l’intégrité des informations.

Le(s) poste(s) de travail

Pour vous protéger des virus et malwares, une protection de vos postes de travail est indispensable. L’antivirus est donc une première nécessité. Il faut également effectuer une mise à niveau de vos systèmes d’exploitation (Windows ou Mac OS). Les nouvelles versions contiennent souvent des mises à jour qui corrigent des failles de sécurité identifiées et apportent des améliorations de performance. Il est important d’utiliser une version qui qui fait encore l’objet d’une maintenance par l’éditeur logiciel. De plus, une mise à jour du système une fois par mois est conseillée pour un maintien de la sécurité de celui-ci.

Le logiciel métier est l’outil clé puisqu’il contient l’intégralité des données patients et est intégré à vos moyens de communication avec l’extérieur – messagerie sécurisée, services internet de la Cnam, etc. Il convient de le mettre à jour une fois par an. Clé USB et disque dur sont à proscrire ! Faites appel à un hébergeur certifié pour assurer le stockage de fichiers.

Séparez vos comptes de messagerie personnel et professionnel

La communication avec un patient ou un confrère

Authentifiez-vous via votre carte de professionnel de santé (CPS). N’ouvrez jamais les pièces jointes de courriels inattendus ou inconnus : les virus sont souvent contenus dans les pièces jointes. Séparez vos comptes de messagerie personnel et professionnel. Les logiciels de messagerie ou les applications mobiles peuvent gérer plusieurs comptes pour les centraliser. Optez pour une messagerie sécurisée. Les adresses sont gérées par des opérateurs agréés et l’accès est contrôlé. Si vous passez par un prestataire qui traite des données pour votre compte (hébergeur de données de santé, etc.), celui-ci doit vous garantir un niveau de sécurité adapté. Il intègre aussi un annuaire commun et certifié des professionnels habilités ou des structures au sein desquelles ils exercent.

Données volées : que faire ?

La Commission nationale de l'informatique et des libertés (Cnil) définit la violation de données comme la « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Dans ce cas, vous devez procéder à une notification. D’abord à la Cnil, si possible dans les 72 heures après la découverte de l’évènement (art. 55 du RGPD). Ainsi, vous devez présenter les faits (nature de la violation), les effets (conséquences raisonnablement attendues de la violation) et les mesures coercitives (correctif et mesures envisagées pour empêcher une répétition de la violation). Ensuite à la personne concernée, dans les meilleurs délais, si des mesures de protection préalables rendent les données incompréhensibles (données chiffrées).

Si des mesures a posteriori garantissent la protection des droits et libertés de la personne, la notification n’est pas obligatoire.

Pour en savoir plus

Le Conseil national de l’Ordre des médecins (Cnom) et la Cnil proposent un Guide pratique sur la protection des données personnelles. Vous y trouverez par exemple des check-lists des bonnes pratiques à appliquer à travers six fiches thématiques (données patients, prise de rendez-vous, utilisation de la messagerie électronique, téléphones et tablettes, recherches, télémédecine), des informations sur la durée de conservation des dossiers, et sur l’information aux patients de l’existence des dossiers et de leurs droits.