Docorga a fait le choix d’un DPO externe, par impartialité.
La RGPD santé est la réglementation générale sur la protection des données de santé. Tous les professionnels de santé européens doivent s’y conformer, quel que soit leur fonctionnement : dossiers papiers, numériques, ou en ligne. Les données de santé sont en effet très sensibles, car elles présentent un risque élevé pour le patient, si elles ne sont pas manipulées correctement. Volées, détériorées, ou rendues accessibles aux mauvaises personnes, ces données peuvent porter atteinte à la vie privée, à la dignité, et aux droits d’une personne.
Pour que votre logiciel de facturation, de gestion de patientèle, de prise de rendez-vous en ligne ou tout autre service ayant un lien avec les données de vos patients soit conforme RGPD, il doit obligatoirement disposer de 2 paramètres majeurs:
- Une certification HDS “hébergeur agréé de données de santé”
- Un DPO “délégué à la protection des données personnelles” (article 37 à 39 de la RGPD)
Si la grande majorité des logiciels de gestion de patientèle sont désormais dotés de serveurs HDS, rares sont ceux qui respectent l’obligation de désigner un DPO. Pourtant, les sanctions sont lourdes et les contrôles de la CNIL de plus en plus fréquents. Alors, c’est quoi au juste ? Pourquoi c’est important ?
Règlement européen : quelles sont les missions du Délégué à la protection des données ?
Le délégué à la protection des données (DPO) est l’expert chargé de la mise en conformité RGPD d’un organisme traitant des données de santé “à grande échelle” (il peut s’agir d’un hôpital, d’une maison de santé, d’un grand cabinet, ou encore, un logiciel de gestion de patientèle…).
Le Délégué à la protection des données est principalement chargé, entre autres, de :
- Etablir et implémenter une politique de protection des données personnelles
- Identifier les risques associés aux opérations de traitement ;
- Informer, conseiller, il doit répondre à toute question ou réclamation relative à la protection des données, des praticiens comme des patients ;
- Coopérer avec l’autorité de contrôle (en France, la CNIL) et être son point de contact au sein de sa structure(article 37.5 du RGPD).
Le DPO a une forte expertise en matière de législations juridiques et techniques grâce au suivi d’une formation spécifique (voir, entre autres, la liste des formations DPO réalisée par l’AFCDP6). Ces équipes d’experts (expert informatique, juriste, expert en communication, traducteur, etc.) justifient d’une expérience significative et sont certifiés par l’AFNOR, un organisme international de certification et de normalisation.
Qu’entend-t-on par traitement de données à grande échelle ?
Règlement européen : un « traitement à grande échelle », c’est quoi ?
L’article 91 du RGPD définit les traitements à grande échelle comme des traitements « qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé”.
Selon la CNIL, le DPO est obligatoire pour tout organisme traitant les dossiers médicaux de plus de 10 000 patients par an. Ainsi, si vous utilisez une plateforme en ligne pour gérer vos prises de rendez-vous et vos dossiers patients, celle-ci doit disposer d’un DPO.
Comment savoir si mon logiciel dispose d’un DPO ?
La CNIL a publié un Document Excel au 14 avril 2023 référençant tous les logiciels respectant l’obligation de DPO. Pour savoir si votre outil actuel respecte la législation, téléchargez le document et faites un “CTRL F” pour faire une recherche, puis taper le nom de l’outil.
Autre impératif, le logiciel doit mentionner le DPO dans sa Charte de confidentialité en bas de page, dans ses conditions générales d’utilisation ou dans les mentions légales.
18 praticiens rédacteurs
16 chapitres complets
100 % gratuit
Contactez le DPO de Docorga pour toutes questions relatives à la RGPD santé
Vous avez une question sur la RGPD santé ?
Docorga dispose d’un DPO : nous répondrons avec plaisir à toutes vos questions relatives à la sécurité de vos données et celles de vos patients. La protection de vos données personnelles sur Docorga est assurée par un DIPEEO, un DPO externe Français certifié par la CNIL..
Pour toutes questions relatives à la RGPD santé, contactez notre DPO à cette adresse : rgpd@docorga.com Docorga dispose du label “conforme RGPD” nommé par la CNIL.
Pour en savoir plus, regardez notre webinaire consacré au DPO :
- Liste d'attente
- Comptabilité
- Rappels de RDV par SMS
- Prise de rendez-vous en ligne
- Frais professionnels déductibles