Médecins libéraux et gestion des données personnelles : focus sur les prises de rendez-vous
Gestion des données des patients : pour les prises de rendez-vous ?
Prise de rendez-vous = données personnelles collectées. Quand un patient prend rendez-vous, vous êtes amené à collecter des données personnelles sur lui (identité et coordonnées personnelles notamment). Un patient peut également être amené à donner les motifs de la consultation.
Médecin libéral = responsable de traitement. Au regard du RGPD, vous êtes considéré comme un « responsable de traitement ». Vous devez donc vous assurer de la conformité des dossiers de vos patients avec cette réglementation.
Gestion des données des patients : les obligations du médecin libéral
Informez les patients ! Vous devez informer les patients de l’existence de vos dossiers et de leurs droits à cet égard (par exemple, par voie d’affichage, dans la salle d’attente, ou par la remise d’un document spécifique).
Des informations a minima ! L’information donnée au patient doit comporter impérativement les éléments suivants :
- votre nom et vos coordonnées ;
- les finalités et la base juridique du traitement, y compris les finalités ultérieures ;
- les destinataires des données ;
- la durée de conservation ;
- les droits de votre patient : accès, rectification, à certaines conditions effacement, limitation, opposition, introduction d’une réclamation auprès de la CNIL ;
- le caractère obligatoire des données fournies et des conséquences éventuelles d’un défaut de réponse ;
- le cas échéant, l’utilisation ultérieure des données pour une finalité autre que celle pour laquelle les données ont été collectées (ex : si un médecin souhaite utiliser ultérieurement les données à des fins de recherche).
=> Consultez le modèle-type de document spécifique pouvant être remis à un patient
Durée de conservation des données collectées. Les données relatives à la prise de rendez-vous peuvent être supprimées dès lors qu’elles ne sont plus nécessaires. Cette durée doit être pensée en fonction de votre activité, sachant que les dates des examens médicaux et des consultations médicales sont, de toute manière, inscrites dans les dossiers de vos patients.
Attention ! Si la consultation ne nécessite pas de préparation au préalable ou la réservation d’outils spécifiques, les motifs de la consultation n’ont pas à être renseignés.
Gestion des données des patients : les obligations du prestataire
Prestataire = responsable de traitement ? Le prestataire auquel vous faites éventuellement appel est également responsable de traitement des données relatives aux comptes créés par les patients et les professionnels de santé.
Les obligations du prestataire. Le prestataire doit mettre en place des mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité et la confidentialité des données confiées par les patients.
En pratique. Le prestataire doit :
- sécuriser l’accès à la prise de rendez-vous ;
- mettre en place une politique d’habilitation (les accès doivent être uniquement accordés aux personnes autorisées) ;
- mettre en place un chiffrement des données (rendant impossible la lecture par un tiers ne possédant pas la clé de déchiffrement) ;
- mettre en place une protection contre les attaques informatiques (antivirus, etc.).
Un contrat de sous-traitance. Vos relations avec votre prestataire doivent être formalisées dans un contrat de sous-traitance.
Gestion des données des patients : un référentiel à connaître
Un référentiel… La CNIL a adopté un référentiel qui recense et applique les principes du RGPD aux traitements de données couramment mis en œuvre dans le cadre de la gestion médicale et administrative d’une patientèle.
=> Consultez le le référentiel à destination des professionnels de santé
… contraignant ? Le référentiel n’est pas contraignant : les professionnels de santé libéraux peuvent s’écarter de ses préconisations, à condition toutefois de pouvoir justifier leur choix.
Pour qui ? Le référentiel vise les professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou encore au sein de maisons de santé. Sont donc concernés les médecins généralistes ou spécialistes, les infirmiers, les radiologues, les masseurs kinésithérapeutes, les sages-femmes, les pédicures-podologues, les orthophonistes et orthoptistes etc.
À retenir
Quand un médecin fait appel à une plateforme de prise de rendez-vous en ligne ou à un prestataire de permanence téléphonique, il doit veiller à la protection des données personnelles du patient qu’il collecte. Le patient doit être dûment informé de ces droits.