Protection des données de santé / RGPD : l'essentiel

La protection des données de santé / RGPD

Les données personnelles sont toutes les données qui permettent d’identifier une personne, directement ou indirectement :

  • un nom ;
  • une photo ;
  • une empreinte ;
  • une adresse postale ;
  • une adresse mail ;
  • un numéro de téléphone ;
  • un numéro de sécurité sociale ;
  • un matricule interne ;
  • une adresse IP ;
  • un identifiant de connexion informatique ;
  • un enregistrement vocal, etc.

De la même manière, les recoupements d’informations (âge, sexe, ville, etc.) qui permettent d’identifier une personne à l’aide de moyens techniques sont considérés comme des données personnelles.

Les données personnelles recouvrent des informations confidentielles ou publiques. Pour qu’une information ne soit plus considérée comme personnelle, elle doit être rendue anonyme, de manière à rendre impossible l’identification de la personne concernée par l’information (nom masqué, visage flouté, etc.).

Certaines données personnelles sont sensibles, car elles peuvent donner lieu à discrimination ou préjugé : opinion politique, religion, appartenance ethnique, orientation sexuelle, situation médicale, etc.

Or, toute personne a droit au respect de sa vie privée et à certains droits fondamentaux, comme la liberté d’expression ou le droit de réunion. La protection des données à caractère personnel a alors pour but de protéger le droit au respect de la vie privée de toute personne.

Les données personnelles de santé sont définies et encadrées par le règlement européen sur la protection des données personnelles (RGPD) du 25 mai 2018, en tant qu’elles constituent des données sensibles.

Avocats en droit de la santé, nous pouvons vous accompagner dans les démarches à effectuer en vue de vous conformer aux obligations en matière de protection des données de santé.

avocate
CONTACTER UN AVOCAT

SOMMAIRE :

  1. Que veut dire RGPD ?
  2. Qu’entend-on par données de santé ?
  3. Les professionnels de santé sont-ils concernés par le RGPD ?
  4. Quelles sont les obligations des professionnels de santé en matière de RGPD ?
  5. La collecte de certaines données est-elle légitime ?
  6. Quelles sont les données qu’un professionnel de santé ne peut pas collecter ?
  7. Pendant combien de temps les professionnels de santé doivent conserver les données de leurs patients ?
  8. Quels sont les droits des patients ?
  9. Comment informer les patients de leurs droits ?
  10. Dans quels délais doivent être traitées les demandes des patients sur leurs droits ?

Que veut dire RGPD ?

RGPD signifie règlement général sur la protection des données.

La protection des données à caractère personnel remonte à la directive européenne 95/46/CE du 24 octobre 1995.

Cette directive a été remplacée par un texte plus adapté aux évolutions technologiques (Internet, développement d’applications, etc.) : le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD.

Ce règlement est entré en vigueur le 25 mai 2018.

Qu’entend-on par données de santé ?

Les données de santé sont toutes les informations relatives à la santé d’une personne, collectées et détenues par tout professionnel de santé : médecin, pharmacien, dentiste, hôpital, etc.

Les professionnels de santé sont-ils concernés par le RGPD ?

Oui, tous les professionnels de santé qui sont amenés à collecter ou échanger des informations sur leurs patients dans le cadre de leur suivi (dossier médical), de l’utilisation d’une plateforme de ligne de gestion des rendez-vous ou encore de la réalisation d’actes de télémédecine sont concernés par le RGPD.

Quelles sont les obligations des professionnels de santé en matière de RGPD ?

Vous devez limiter les informations que vous collectez à ce qui est nécessaire à la prise en charge de votre patient, tenir un registre à jour des données que vous traitez, mettre en place des mesures appropriées pour la sécurité de vos dossiers, et informer vos patients de l’existence de vos dossiers et de leurs droits à cet égard.

La collecte de certaines données est-elle légitime ?

Oui, la CNIL estime que vous pouvez légitimement collecter les données personnelles suivantes de vos patients :

  • Les données relatives à l’identification du patient : nom, prénom, date de naissance, adresse, numéro de téléphone ;
  • Le numéro de sécurité sociale, mais uniquement pour l’édition des feuilles de soins et la télétransmission aux caisses d’assurance maladie ;
  • Selon le contexte, la situation familiale : situation matrimoniale, nombre d’enfants ;
  • Selon le contexte, la vie professionnelle : profession, conditions de travail ;
  • Les données relatives à la santé du patient : historique médical, historique des soins, diagnostics médicaux, traitements prescrits, nature des actes effectués, résultats d’examens de biologie médicale, et tout élément de nature à caractériser la santé du patient et considéré comme pertinent ;
  • Les informations relatives aux habitudes de vie, si elles sont collectées avec l’accord du patient et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins ;
  • D’autres informations qui paraissent pertinentes et nécessaires pour le professionnel de santé, par exemple l’origine ethnique du patient, lorsque celle-ci peut avoir une influence particulière sur une pathologie déterminée ou un traitement médical, ou encore les habitudes alimentaires du patient.

Quelles sont les données qu’un professionnel de santé ne peut pas collecter ?

Le professionnel de santé ne peut pas collecter les autres informations, sans lien avec l’objet de la consultation ou qui ne sont pas indispensable au diagnostic ou à la délivrance des soins, comme la religion ou l’orientation sexuelle du patient.

Pendant combien de temps les professionnels de santé doivent conserver les données de leurs patients ?

Vous devez conserver les données de vos patients pendant 20 ans à compter de la date de la dernière consultation.

Si votre patient décède moins de 10 ans après sa dernière consultation, vous devez conserver ses données pendant 10 ans à compter de la date de son décès.

Quels sont les droits des patients ?

Les patients peuvent accéder aux données les concernant, rectifier ces données en cas d’erreur, s’opposer au traitement de leurs données pour des raisons tenant à leur situation particulière, demander l’effacement de leurs données dans certaines situations particulières (dossier médical conservé trop longtemps, données inappropriées).

Comment informer les patients de leurs droits ?

Vous pouvez informer vos patients par voie d’affichage dans la salle d’attente ou en leur remettant un dépliant spécifique.

Le document d’information doit obligatoirement comporter les éléments suivants :

  • Vos nom et coordonnées ;
  • Les finalités et la base juridique du traitement, y compris les finalités ultérieures ;
  • Les destinataires des données ;
  • La durée de conservation des données.

Dans quels délais doivent être traitées les demandes des patients sur leurs droits ?

Les demandes des patients portant sur leurs droits doivent être examinées dans un délai raisonnable.

Pour toute demande d’accès au dossier médical, le délai est impérativement de 8 jours (ou de 2 mois si les informations datent de plus de 5 ans).

Mise en ligne : 15 avril 2020

Rédacteur : Maître Amélie ROBINE, Avocat au Barreau de Paris et Docteur en Droit.

Vous avez besoin de conseils ?

CONTACTER UN AVOCAT

ARTICLES RELATIFS