Le RGPD
Communication de l’Ordre des MĂ©decins
Afin de vous accompagner dans votre pratique au quotidien, nous restons Ă l’affĂ»t des informations qui vous concernent.
Une rĂ©cente publication liĂ©e au RGPD a Ă©tĂ© communiquĂ© par l’Ordre des MĂ©decins.
Vous pouvez en découvrir le contenu ci-dessous ou encore en cliquant ici.
Lignes directrices pour les médecins concernant le Règlement général sur la protection des données
Le 27 avril 2016, le Parlement europĂ©en et le Conseil de l’Europe ont adoptĂ© un règlement relatif Ă la protection des personnes physiques Ă l’Ă©gard du traitement des donnĂ©es Ă caractère personnel, soit le Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) qui est entrĂ© en vigueur le 25 mai 2018.
Puisque les mĂ©decins traitent des donnĂ©es de santĂ© et des donnĂ©es sensibles de leurs patients dans l’exercice de leur profession, il convient qu’ils intègrent les prescriptions de cette lĂ©gislation dans leur pratique quotidienne et qu’ils suivent les dĂ©veloppements en la matière.
Étant donnĂ© que la dĂ©ontologie mĂ©dicale(1) concerne notamment le respect de la vie privĂ©e du patient qui est traitĂ©e dans plusieurs articles du code de dĂ©ontologie mĂ©dicale, le Conseil national de l’Ordre des mĂ©decins a rĂ©digĂ© cet avis et a prĂ©vu de donner aux mĂ©decins la possibilitĂ© de poser des questions via l’adresse Ă©lectronique : privacy@ordomedic.be.
1. Généralités
Le RGPD approfondit la législation existant en matière de vie privée. Le médecin qui respecte la législation existante en matière de vie privée ne devra  que légèrement modifier ses pratiques
Les principes généraux de la réglementation liés au droit à la vie privée, concernant certains droits du patient(2) et le secret professionnel, restent inchangés.
Un mĂ©decin individuel ou une pratique de groupe n’aura pas Ă investir beaucoup pour la mise en Ĺ“uvre de la nouvelle lĂ©gislation. Le Conseil national tient Ă mettre en garde les mĂ©decins contre les entreprises qui proposent des services onĂ©reux pour la mise en Ĺ“uvre du RGPD dans leur pratique.
La nouvelle rĂ©glementation impose cependant de nouvelles mesures, comme la dĂ©signation d’un « dĂ©lĂ©guĂ© Ă la protection des donnĂ©es »(3) et la tenue d’ un « registre des activitĂ©s de traitement ».
2. DĂ©signation d’un dĂ©lĂ©guĂ© Ă la protection des donnĂ©es
Le dĂ©lĂ©guĂ© Ă la protection des donnĂ©es (ci-après « DPD ») informe et conseille le responsable du traitement des donnĂ©es ou le sous-traitant de leurs obligations dĂ©coulant du RGPD ou d’autres mesures de protection des donnĂ©es. Il veille au respect de la rĂ©glementation et de la politique en la matière, comme l’attribution de responsabilitĂ©s, la conscientisation et la formation des personnes concernĂ©es par le traitement des donnĂ©es Ă caractère personnel(4). En outre, le DPD collabore avec l’autoritĂ© de contrĂ´le et intervient comme point de contact(5).
Un mĂ©decin individuel ou une pratique de groupe ne doit pas dĂ©signer de DPD. La dĂ©signation est uniquement obligatoire dans le cas du traitement d’une quantitĂ© considĂ©rable de donnĂ©es de santĂ©, comme dans les hĂ´pitaux ou dans les structures qui comptent au moins 250 employĂ©s.
3. Registre des activités de traitement
Chaque mĂ©decin doit tenir un registre des activitĂ©s de traitement des donnĂ©es. Ce registre est un fichier dans lequel le mĂ©decin dĂ©crit les donnĂ©es Ă caractère personnel qu’il collecte, comment il les sĂ©curise, pour quelles raisons il les recueille, oĂą il les conserve, pour quelle durĂ©e et s’il les transfère.(6)
La crĂ©ation de ce registre impose au mĂ©decin de rĂ©flĂ©chir Ă la façon dont il gère les donnĂ©es Ă caractère personnel des patients et/ou du personnel qu’il emploie. C’est une amorce de restructuration de la gestion des donnĂ©es. Si le mĂ©decin constate qu’il ne sĂ©curise pas bien certaines donnĂ©es Ă caractère personnel ou qu’il n’en a plus besoin pour l’exercice de sa profession de mĂ©decin, il devra prendre les mesures qui s »imposent.
Le Conseil national mettra prochainement à disposition un modèle de registre des activités de traitement des données.
4. Personnes autres que le médecin à avoir accès aux données à caractère personnel du patient
Le médecin indique les catégories de personnes ayant accès aux données à caractère personnel de ses patients. Leur statut vis-à -vis du traitement des données concernées est précisément décrit et documenté(7). Cette information est ajoutée au registre des activités de traitement des données.
Le mĂ©decin veille Ă ce que les personnes concernĂ©es par une obligation lĂ©gale ou statutaire ou par une disposition contractuelle Ă©quivalente s’engagent Ă respecter le caractère confidentiel des donnĂ©es concernĂ©es. Toute personne ayant accès aux dossiers des patients doit avoir signĂ© une clause de confidentialitĂ© dans son contrat de travail de collaboration.
Accès ne signifie pas que ces personnes travaillent réellement avec les dossiers patients. La simple possibilité de consulter ces dossiers suffit. La signature de ce contrat est un moment propice pour informer les collaborateurs de leurs droits et devoirs lors du traitement de données à caractère personnel.
5. Mesures à prendre (général)
Pour l’exercice de sa profession, le mĂ©decin collecte des donnĂ©es sur la santĂ© de ses patients. Il s’agit d’une catĂ©gorie particulière de donnĂ©es Ă caractère personnel(8). Les donnĂ©es concernant la santĂ© sont des donnĂ©es Ă caractère personnel relatives Ă la santĂ© physique ou mentale d’une personne, y compris la prestation de services de soins de santĂ©, qui rĂ©vèlent des informations sur l’Ă©tat de santĂ© de cette personne.(9)
Le médecin prend toutes les mesures nécessaires pour respecter le droit à la vie privée du patient, pour sécuriser les données sensibles de façon optimale et éviter les « fuites de données ».
6. Transmission des données à caractère personnel
Il arrive régulièrement que le médecin ait à transmettre des données de santé de ses patients : soit au patient lui-même(10), soit à des tiers(11).
En cas de transfert des donnĂ©es de santĂ©, le mĂ©decin doit toujours Ă©valuer s’il peut envoyer les donnĂ©es Ă un destinataire tiers. Le secret professionnel ne permet pas au mĂ©decin de fournir les donnĂ©es de santĂ© de ses patients Ă des tiers. Le mĂ©decin peut donc seulement transmettre les donnĂ©es de santĂ© s’il existe une base lĂ©gale.
En cas de transfert de donnĂ©es de santĂ© Ă des tiers, Ă la demande du patient, le mĂ©decin doit apprĂ©cier si le patient n’est pas le mieux placĂ© en raison de son droit Ă l’autodĂ©termination pour dĂ©cider quelles informations il souhaite partager et avec qui.
Le transfert de donnĂ©es de santĂ© doit se faire d’une façon particulièrement sĂ©curisĂ©e. Les donnĂ©es de santĂ© ne peuvent ĂŞtre envoyĂ©es numĂ©riquement que par des systèmes avec authentification Ă plusieurs facteurs. Par consĂ©quent, le mĂ©decin ne peut pas envoyer de donnĂ©es mĂ©dicales par e-mail non sĂ©curisĂ©, mĂŞme pas dans le cas oĂą le patient a marquĂ© son accord.
Le mĂ©decin doit utiliser les applications de rĂ©seaux d’informations sĂ©curisĂ©es, avec un niveau de sĂ©curisation conforme aux règles en vigueur.
7. Logiciel (Software)
Le médecin qui utilise un logiciel ou achète un nouveau logiciel destiné à la gestion de sa pratique ou à la sécurisation des données à caractère personnel doit toujours se renseigner auprès du fournisseur sur les paramètres de confidentialité. Ce fournisseur doit respecter le RGPD et doit communiquer en toute transparence à ce propos. Le médecin reste cependant responsable au cas où le software ne satisferait pas aux conditions légales.
En cas d’intervention de tiers lors du traitement de donnĂ©es Ă caractère personnel sous la responsabilitĂ© du mĂ©decin, la collaboration, la sĂ©curisation et le dĂ©roulement du traitement doivent ĂŞtre fixĂ©s contractuellement dans un contrat de traitement des donnĂ©es. De nombreuses entreprises ont dĂ©jĂ dĂ©veloppĂ© des modèles et ont adaptĂ© leurs conditions gĂ©nĂ©rales. Il est recommandĂ© de vĂ©rifier si ces dispositions sont adĂ©quates.
8. Sensibilisation à la nouvelle réglementation
Le médecin conscientise ses collaborateurs aux mesures de sécurité qui protègent les données des patients et il détermine qui a accès et à quelles données.
Si une personne non compĂ©tente a toutefois accès aux donnĂ©es de santĂ© de patients ou Ă d’autres donnĂ©es sensibles que le mĂ©decin dĂ©tient dans le cadre de ses activitĂ©s, on parle alors de « fuite de donnĂ©es »(12).
Les fuites de donnĂ©es doivent ĂŞtre enregistrĂ©es et signalĂ©es, selon la gravitĂ©, Ă l’autoritĂ© de protection des donnĂ©es et aux personnes concernĂ©es(13) endĂ©ans un dĂ©lai de 72 heures.
9. Avenir
Les autoritĂ©s, institutions et autres acteurs impliquĂ©s dans le traitement des donnĂ©es de santĂ© prennent en compte ce nouveau règlement europĂ©en. Ă€ l’avenir, de nouvelles directives europĂ©ennes devraient prĂ©ciser comment les acteurs des soins de santĂ© doivent traiter les donnĂ©es des patients.
(1) Il s’agit essentiellement du chapitre 2, « Respect », du Code de dĂ©ontologie mĂ©dicale
(2) Articles 9 et 10 de la loi du 22 août 2002 relative aux droits du patient (droit à un dossier patient conservé en lieu sûr, droit à la protection de la vie privée)
(3) La dénomination anglaise souvent utilisée est « Data Protection Officer » ou « DPO »
(4) Par exemple le secrétariat, le personnel soignant qui assiste le médecin
(5) Article 39, Règlement général sur la protection des données
(6) Article 30, Règlement général sur la protection des données
(7) Loi du 30 juillet 2018 relative Ă la protection des personnes physiques Ă l’Ă©gard des traitements de donnĂ©es Ă caractère personnel
(8) Article 9, Règlement général sur la protection des données
(9) Article 4, 15, Règlement général sur la protection des données
(10) Par exemple les rĂ©sultats d’un examen ou lors de l’exercice du droit Ă la consultation du dossier patient
(11) Par exemple Ă des confrères-mĂ©decins qui traitent le patient dans le cadre du secret professionnel partagĂ©, Ă l’INAMI sur la base d’une lĂ©gislation particulière, etc.
(12) Par exemple, cambriolage, piratage, données de santé envoyées à la mauvaise personne, etc.
(13) Article 33, Règlement général sur la protection des données