CompuGroup Medical
Synchronizing Healthcare

Découvrez tout sur la vision, la mission et les personnes qui façonnent CompuGroup Medical dans le monde. Vous trouverez également ici des informations, des documents et d'autres publications pour les investisseurs.

A propos de nous
CGM France
Carrière
Eine junge Frau telefoniert mit ihrem Smartphone, während sie einen Tablet-PC hält
Côté presse
Eine Person sitzt auf einem Sofa und tippt auf einem Laptop, vor ihr steht eine Tasse

Le professionnel de santé : un "responsable de traitement"

21 juillet 2021 | Eloi Barbier
Médecin : responsable de traitement

La gestion des données est un enjeu majeur du XXIème siècle. Les outils informatiques nous accompagnent tous les jours dans ce domaine, et les multiples cyberattaques qui composent l'actualité ne cessent de nous rappeler que les données sont convoitées par de nombreuses personnes. Afin de protéger les citoyens contre les traitements illégaux et la collecte sauvage des informations qui les concernent, l'Union européenne a adopté en 2016 le Règlement Général relatif à la Protection des Données personnelles (RGPD). Ce règlement, dont l'application est obligatoire depuis 2018, concerne directement les professionnels de santé.

 

Différents acteurs sont définis par le RGPD

Pour se saisir de la réalité concrète de nos vies, le droit applique un processus dit de "qualification". L'idée est simple : qualifier une personne consiste à lui attribuer un nom auquel est associé un régime juridique (c'est-à-dire, un ensemble de droits, de libertés et d'obligations).

Le RGPD comporte différentes qualifications relatives aux personnes :

  • les personnes concernées
  • les responsables de traitement
  • les sous-traitants
  • les destinataires.

Les régimes juridiques associés à ces diverses qualifications ont des objectifs différents. En se concentrant sur les acteurs principaux de votre activité de professionnels de santé, nous pouvons voir que le RGPD vise à protéger les personnes concernées, et à responsabiliser les responsables de traitements (comme leur nom peut le laisser deviner). Sachez que vous rencontrez régulièrement des sous-traitants au cours de votre exercice. Par exemple, lorsque vous envoyez des données concernant vos salariés à un comptable, ce dernier devient un sous-traitant. Par ailleurs, si un confrère vous envoie des données relatives à un patient, vous pouvez être qualifié de destinataire. Cependant, la plupart du temps, vous traitez directement les données de vos patients, sans passer par un intermédiaire (dans le cadre d'une consultation par exemple). Ainsi, en tant que professionnels de santé, vous êtes généralement un responsable de traitement.

 

Le professionnel de santé est un responsable de traitement

Lorsque nous parlons de responsable de traitement, nous entendons par là "responsable d'un traitement de données personnelles". Cela implique que le RGPD ne concerne pas toutes les données quelle que soit leur nature, mais uniquement les données qui se rapportent à une personne physique, c'est-à-dire un être humain (ainsi les données qui ne peuvent être rattachées à quelqu'un n'entrent pas dans le champ d'application du RGPD). Cette personne à laquelle se rapporte les données est la personne concernée. Dès lors que vous opérez des actions sur des données personnelles, nous parlons de traitement de données personnelles. Ce traitement peut être automatisé (lorsque les données sont sur un support informatique) ou au format papier (dès que les données sont réunies dans un fichier). Vous l'aurez compris : au cours de l'exercice de votre profession, vous traitez des données personnelles, notamment celle de vos patients.

Ainsi, ils sont qualifiés de personnes concernées, et vous, de responsable de traitement. Le traitement que vous réalisez le plus couramment consiste donc à élaborer le dossier patient : le dossier est relatif à un patient, et des informations le concernant y sont inscrites. Nous retrouvons donc la présence d'un traitement (l'élaboration d'un dossier) de données (les informations relatives à la santé du patient) personnelles (du fait que le dossier est affilié au patient). Parce que, en tant que professionnel de santé, vous êtes qualifié de responsable de traitement, vous êtes soumis à un régime juridique spécifique énoncé par le RGPD.

 

Le responsable de traitement est soumis à un régime spécifique

Le RGPD a modifié les obligations des responsables de traitement. Avant, pour réaliser un traitement de données de santé par exemple, il était nécessaire de le déclarer à la Commission Nationale de l'Informatique et des Libertés (CNIL). Aujourd'hui, cela n'est plus nécessaire. Cependant, le responsable de traitement doit constituer une documentation permettant de démontrer qu'il respecte ses obligations. Il doit aussi permettre aux personnes concernées (qu'il s'agisse de ses patients, ou du personnel qu'il emploie) d'exercer les droits relatifs à leurs données personnelles. Enfin, le responsable de traitement doit mettre en place des mesures de sécurité permettant de protéger efficacement les données qu'il traite. Vous devez par exemple passer par un hébergeur certifié (ou agréé) Hébergeur de Données de Santé (HDS) lorsque vous avez recours à un prestataire pour la sauvegarde des données de vos patients. Cette obligation est spécifique à votre profession : parmi les traitements dont vous êtes responsable figurent des traitements de données de santé, ces données étant sensibles, vous devez prévoir des mesures de sécurité renforcées. Toutes ces obligations qui reposent sur le responsable de traitement peuvent entraîner des sanctions lorsqu'elles ne sont pas respectées.

Ainsi en décembre 2020, la CNIL, qui contrôle le respect du RGPD par les personnes traitant des données personnelles, a condamné deux médecins à une amende de plusieurs milliers d'euros parce qu'ils n'avaient pas mis en place des mesures de sécurité suffisantes dans leur cabinet. En effet, ces deux médecins avaient, suite à leur négligence, subi une faille de sécurité : les données de leurs patients étaient accessibles à des personnes qui n'étaient pas habilitées à les consulter. Savoir que vous êtes responsable de traitement vous permet de prendre conscience que vous êtes soumis aux obligations du RGPD, et que leur violation peut entraîner des sanctions financières. De plus, respecter le RGPD permet de diminuer le risque que les données de vos patients, convoitées par des cybercriminels, ne tombent entre les mains de personnes mal intentionnées.

Si vous souhaitez connaître plus en détail les moyens pour sécuriser votre cabinet et être en conformité avec les obligations qui vous incombent, nous vous invitons à lire notre article relatif à la cybersécurité de votre cabinet.
 

Ça pourrait aussi vous intéresser…
Banner télémédecine
Télémédecine et données de santé : quelle protection pour les patients ? 

L’attention portée à l’utilisation des données de santé à caractère ...

maillet avec un stéthoscope
Guide : les bonnes pratiques RGPD en cabinet médical

 

Ce texte juridique, dont l'application est obligatoire ...