Médecins libéraux et gestion des données personnelles : focus sur les mails, téléphones portables et tablettes
Gestion de données personnelles : l’hypothèse du mail
Echanges d’informations par mail = RGPD. Lorsqu’un médecin libéral échange par mail avec des confrères ou ses patients, il est considéré comme un « responsable de traitement » au regard des informations qu’il peut être amené à collecter. Il doit donc respecter le Règlement Général sur la Protection des données RGPD.
Système de messagerie de santé sécurisé. Les professionnels de santé doivent, dans leurs échanges par mail, utiliser un système de messagerie de santé sécurisé : il s’agit, en pratique, d’utiliser un espace dématérialisé d’échange de données de santé. Le traitement découlant de l’utilisation de la messagerie doit être inscrit sur le registre des activités que tout responsable de traitement doit tenir.
Système de messagerie standard. Entre professionnels de santé, il est interdit de passer par un système de messagerie standard. Pour les échanges avec les autres professionnels intervenant dans la prise en charge d’un patient (exemple : ostéopathe, psychologue, etc.) ou avec un patient, il est possible de recourir à une messagerie standard. Toutefois, cela implique :
- de chiffrer les données sensibles ;
- d’utiliser un protocole garantissant la confidentialité et l’authenticité du serveur destinataire pour les transferts de fichiers (exemple : SFTP ou HTTPS) ;
- de garantir le secret nécessaire à la lecture du fichier (par un mot de passe, par exemple) en utilisant un canal de nature différente (par téléphone, par SMS, etc.).
Le saviez-vous ?
Les messageries instantanées ou « chat » sont à utiliser avec la plus grande précaution et, dans la mesure du possible, à éviter.
Gestion des données personnelles : l’hypothèse du téléphone portable et de la tablette
Recourir au téléphone portable et à la tablette, (im)possible ? La CNIL déconseille aux médecins libéraux d’utiliser leur tablette ou leur téléphone portable pour accéder aux dossiers de leur patient. Néanmoins, rien ne l’interdit.
Recourir au téléphone portable et à la tablette = RGPD ? Au regard du RGPD, lorsque vous utilisez votre téléphone portable ou à une tablette pour collecter les données de vos patients, vous êtes considéré comme un « responsable de traitement ». Vous devez donc vous assurer de la conformité des dossiers de vos patients avec le RGPD.
Les conseils de la CNIL. Si un médecin libéral décide d’utiliser son téléphone portable ou sa tablette dans le cadre de son activité, la Cnil recommande quelques bonnes pratiques pour veiller à la sécurité des données collectées : utilisation de mots de passes sécurisés (12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux), verrouillage automatique après un court délai et chiffrement des données sensibles.
Garantir la confidentialité des données. Pour garantir la confidentialité des données de santé à caractère personnel collectées, l’accès à distance aux dossiers d’un patient doit se faire conformément aux référentiels d’interopérabilité et de sécurité élaborés par l’Asip santé.
Le saviez-vous ?
Si vous êtes amené à vous déplacer, faites attention à ce que l’écran de votre téléphone portable ou de votre tablette soit toujours à l’abri des regards indiscrets !
À retenir
Quand un médecin utilise sa messagerie, son téléphone portable ou sa tablette dans le cadre de son activité professionnelle, il doit veiller à la protection des données personnelles du patient qu’il collecte.
J'ai entendu dire
Puis-je utiliser une clé USB ou un disque dur externe dans le cadre de mon activité ?Rien n’interdit de recourir à une clé USB ou à un disque dur externe. Néanmoins, leur utilisation est fortement déconseillée par la CNIL. Si un médecin libéral y a toutefois recours, il doit chiffrer les données sensibles qui y sont conservées.
