Dans cet article, je vous dévoile 2 bonnes pratiques simples pour être totalement serein et éviter tout problème.
Mais pour parler solutions, il faut d’abord parler sanctions !
Une violation des données de santé révèle des failles dans la conformité RGPD d’un praticien ou de son logiciel administratif.
Cela est préjudiciable pour le patient qui est alors exposé à un risque majeur pour sa vie privée, sa dignité et ses droits.
Si sécuriser vos dossiers médicaux est avant tout d’ordre déontologique, les sanctions juridiques sont bien réelles. Vous devez les connaître.
Alors, quelles sont les 4 sanctions applicables au praticien libéral en cas de non-respect du RGPD ?
Les 4 types de sanctions applicables en cas de non-respect du RGPD
On considère deux choses : le non-respect du RGPD en lui-même et le préjudice pour le patient concerné.
Ces sanctions s’appliquent au praticien libéral, au sous-traitant (le logiciel) ou les deux, en fonction de leur degré de responsabilité dans l’incident.
La sanction administrative
C’est une amende appliquée par la CNIL en cas de négligence à la protection des données de santé (ayant entraîné une violation, ou non).
Elle peut aller jusqu’à 20 000 000 €, ou 4 % du chiffre d’affaires annuel pour le praticien (article 83-5 du RGPD).
Si ces montants sont avant tout dissuasifs, les contrôles eux sont bien réels, et sont chaque année plus nombreux.
Pour autant, voyez la CNIL comme un organisme bienveillant: leur mission est avant tout de vous accompagner vers les bonnes pratiques, pas de vous punir.
La sanction civile
C’est une sanction à l’initiative du patient faisant appel à la responsabilité civile du professionnel de santé. Le patient réclame une indemnité à hauteur des dommages causés par la violation de données.
L’article 82 du RGPD le souligne clairement:
“Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du [RGPD] a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.”
18 praticiens rédacteurs
16 chapitres complets
100 % gratuit
La sanction pénale
De l’ordre de la responsabilité pénale du praticien/ sous-traitant, cette sanction est également à l’initiative du patient. Alors que la sanction civile vise à réparer financièrement le dommage, la sanction pénale vise à punir.
Le code pénal condamne
“le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi”, à savoir, le RGPD.
Les peines encourues vont de 1500 € à 300 000 € d’amende et 5 ans d’emprisonnement (article 226-16 du code pénal).
A titre comparatif, la violation du secret professionnel n’est punie “que” d’un an d’emprisonnement et de 15 000 euros d’amende (article 226-13 du code pénal). La violation de données de santé induit donc des sanctions beaucoup plus lourdes.
La sanction disciplinaire
Cette dernière sanction peut être prononcée par la fédération de votre profession. Elle met en cause un manquement à la déontologie et aux obligations professionnelles.
Concrètement, il peut s’agir:
- d’un avertissement
- d’une interdiction temporaire ou permanente d’exercer
Au-delà de la loi et des règles, l’atteinte à l’image du praticien est aussi à prendre en compte.
Attention: les sanctions citées sont à l’égard d’un manquement relatif au traitement de données personnelles de santé, pas d’un manquement dans les soins.
De quoi dépend la sévérité de la sanction ?
La bonne application du RGPD n’est pas la seule chose qui pèse dans la balance. Un certain nombre de paramètres, appréciés au cas par cas, peuvent amplifier ou atténuer la sanction.
Selon l’article 83, les points à prendre en compte sont:
- Le degré de responsabilité dans l’incident
Cette responsabilité dépend des mesures concrètes de sécurité mises en place par un praticien pour protéger les données de ses patients.
- La nature, la gravité et la durée de la violation
La quantité de données en jeu, par exemple, est un facteur aggravant.
- La violation a été commise délibérément ou par négligence
- Le degré de coopération avec la CNIl en cas de violation de donnée pour atténuer les effets négatifs
Avez-vous notifié la CNIL de la violation ? Si oui, était-ce en temps et en heure ? …
Les 2 solutions pour être (vraiment) serein ?
1/ L’ assurance responsabilité civile
Il existe des assurances qui vous couvrent en cas d’incident lié au traitement de données de santé. C’est le cas de l’assurance responsabilité civile (un article complet sur le sujet est disponible en cliquant sur le lien bleu). L’assurance RC vous rembourse, mais n’empêche pas la violation de donnée, et tous les dommages matériels et moraux qu’elle implique. Notez également que toutes les assurances ne couvrent pas les données de santé, faites attention ! Notre article vous propose un comparatif des meilleures assurances de responsabilité civile pour les professionnels de santé.
2/ Docorga, votre gestionnaire de patientèle conforme RGPD
La meilleure option reste d’anticiper (mieux vaut prévenir que guérir).
Les logiciels de gestion patientèle certifiés HDS (hébergement des données de santé) empêchent le problème à la source. Ils vous mettent automatiquement en conformité avec le RGPD et empêchent toute violation de données. La dessus, Docorga est le logiciel sécurisé de gestion leader sur son marché. 4 000 praticiens en libéral dont 800 cabinets, qui l’utilisent quotidiennement.
Depuis janvier 2023, Docorga dispose d’un DPO (Délégué à la protection des données) externe, “DIPEEO”. Chargé d’assurer notre conformité RGPD, il prend en charge tout risque potentiel lié aux données que vous conservez sur Docorga.
- Liste d'attente
- Comptabilité
- Rappels de RDV par SMS
- Prise de rendez-vous en ligne
- Frais professionnels déductibles