Quand prévenir n’a pas fonctionné, il reste à guérir.
En cas de violation de données, que vous en soyez responsable ou non, vous avez l’obligation de vous impliquer dans la résolution des effets négatifs de l’incident.
Un des points consiste à notifier la CNIL et le patient de la fuite de données, dans les délais les plus courts possible.
Qu’est-ce qu’une violation de données ?
Une violation de données personnelles ou de santés correspond à une violation de sécurité, à savoir une indisponibilité, un problème de confidentialité ou d’intégrité. Plus concrètement il peut s’agir de vol, de perte ou de documents rendus lisibles à des personnes tiers non autorisées, volontairement ou non (article 34 de la LIL)
Comment identifier un cas de violation de données ?
La plupart des cas de violations de données sont insidieux, c’est-à-dire que leurs conséquences ne sont pas forcément visibles du praticien.
Ainsi, des situations apparemment anodines ou sans gravité ne le sont pas.
Jeter un dossier médical avant la fin de la durée de conservation légale, une erreur d’envoi postal ou l’usage d’une messagerie non sécurisée par exemple constituent déjà des infractions.
L’espionnage ou le piratage de données sont rarement visibles. Il ne faut pas attendre de conséquences concrètes pour parler de violation de données : les situations à risques doivent déjà être considérées comme telles.
Que faire en cas de violation de données de santé ?
Du fait que les données de santé présentent un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement à l’obligation :
- de documenter en interne, sous forme d’un registre, la violation qui vient de se produire ;
- de notifier cette violation à la CNIL, au plus tôt et dans un délai maximum de 72h ; (article 33)
- de communiquer la violation aux personnes concernées (le patient), au plus tôt (article 34). Ce point doit être fait dans les meilleurs délais au vu du caractère sensible des données.
Il est fortement recommandé de respecter ces mesures. L’absence d’acte de notification et ou d’investissement du praticien peut faire l’objet de sanction, même s’il n’est pas responsable de l’incident. Mieux vaut en effet que vous avertissiez la CNIL vous-même, plutôt qu’elle apprenne la violation de données d’une autre source (les médias par exemple).
Pour notifier la CNIL: https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
18 praticiens rédacteurs
16 chapitres complets
100 % gratuit
Les obligations de votre outil de gestion patientèle en ligne (article 33 du RGPD)
Votre prestataire administratif et RGPD à aussi des obligations à votre égard qui le responsabilise. Si le sous-traitant est témoin d’une situation à risque ou d’une violation de données sur ses services, il doit immédiatement en avertir le praticien, pour qu’il puisse à son tour avertir le patient.
En d’autres termes, le sous-traitant doit aider le responsable de traitement à remplir ses obligations de notification à la CNIL et de communication à la personne concernée.
Qui est responsable en cas de violation de données de santé ?
Et non, ça n’arrive pas qu’aux autres…
Lorsque vous entendez “violation de données de santé”, vous imaginez certainement le piratage massif d’un grand hôpital parisien.
Alors oui, c’est possible. Mais dans la majorité des cas, les incidents de sécurité vous concernent vous, praticien en libéral. Cela vous concerne quel que soit votre nombre de patients, quelle que soit votre ancienneté ou votre notoriété, que vous utilisiez internet ou non ! Exemple simple : une facture envoyée par Gmail, un dossier patient sur Google Drive constitue déjà une violation de données de santé.
Malheureusement, les praticiens libéraux sont souvent trop peu sensibilisés à la protection des données. Mais alors en cas de vol de données, de pillage, d’espionnage, de piratage et j’en passe, qui est responsable ?
La question a le mérite d’être posée car, en dépend directement une série de sanctions juridiques. Si vous gérez vos dossiers papiers, vous serez très probablement responsable en cas de problème. De la même façon que vous serez responsable si votre outil de gestion patientèle en ligne n’est pas sécurisé RGPD et HDS. Si en revanche vous avez fait le choix d’un outil sécurisé, les incidents, bien que beaucoup plus rares, peuvent se produire.
Dans ce cas, qui est responsable : vous ou le logiciel ?
Comment est évaluée la responsabilité du praticien ou de l’outil en cas d’incident ?
Le RGPD responsabilise les acteurs de santé
Le RGPD est le texte de référence relatif à la protection des données de vos patients. Tout praticien de santé en libéral, tout comme leur logiciel de gestion patientèle sont soumis au RGPD.
Obligation de sécurité pour le professionnel de santé
L’obligation de sécurité du praticien est valable tout le long du cycle de vie d’une donnée de santé. C’est-à-dire lorsqu’il collecte, stocke, gère et partage des données de santé dans le cadre de sa mission (article 4 du RGPD). Il doit être en mesure de démontrer à tout moment sa conformité au RGPD, car elle l’engage pénalement et administrativement.
Obligation de sécurité pour le logiciel de gestion de patientèle
Le logiciel choisi par le praticien doit obéir à des protocoles très stricts pour pouvoir utiliser des données de santé (RGPD et certification HDS). C’est le cas des logiciels de gestion patientèle comme Docorga.
Mais alors en cas de fuite de données, de piratage ou d’espionnage, qui du praticien ou du logiciel est tenu responsable ?
Comment est évaluée une responsabilité en cas de violation de données de santé ?
En cas de violation de données de santé, la CNIL va tenter de déterminer le « degré de responsabilité » du praticien ou du logiciel dans l’incident, en fonction de leur qualité d’application du RGPD et du respect de leurs obligations (article 82 du RGPD).
Si vous utilisez encore des documents papiers, à vous de les protéger manuellement et d’y veiller quotidiennement (voir les guides pratiques de la CNIL). A l’inverse, en choisissant un logiciel de gestion sécurisé, le praticien délègue sa conformité au RGPD. Via la plateforme, tous les dossiers du praticien sont protégés. Le logiciel endosse donc une partie des obligations de sécurité du praticien, et doit s’y tenir. En cas d’incident, le praticien comme le logiciel devront prouver avoir fait le nécessaire pour protéger les données.
Si une donnée/ document a été traitée par plusieurs praticiens, dans le cadre d’un cabinet par exemple, la responsabilité est partagée.
Concrètement donc, quelles sont les obligations légales du praticien et de son logiciel ?
Mon logiciel de cabinet est-il responsable en cas de violation de données?
Avant le RGPD, même en cas de défaillance de son logiciel administratif induisant une violation de donnée, le praticien était responsable. Ce n’est plus nécessairement le cas (et heureusement).
Le praticien est responsable si:
Vous êtes responsable de l’outil que vous choisissez.
Si votre outil n’est pas habilité à recevoir et traiter des données de santé, vous serez directement responsable en cas de fuite ou de vol de données. Vous êtes responsable, car à l’inscription vous passez (en quelque sorte) un contrat avec l’outil. En cochant la case “j’accepte les conditions d’utilisation”, vous vous engagez à l’utiliser l’outil tel qu’il est (article 28).
C’est dans ces conditions d’utilisation qu’est stipulé si un outil en ligne est sécurisé pour la santé ou non. Si l’outil n’est pas conforme RGPD et certifié HDS, vos données de santé ne seront jamais sécurisées. De cette façon, les services de messagerie grand public et “cloud” sont à bannir.
Quand bien même vous utilisez un outil sécurisé, il vous reste des obligations à tenir, en cas de violation de données.
Le logiciel est responsable si:
Compte tenu du paragraphe précédent, le logiciel que vous utilisez ne peut être tenu responsable que s’il est certifié RGPD et HDS. En étant certifié, le logiciel s’engage à un haut niveau de sécurité et à répondre à des obligations. Si l’incident est dû ou amplifié par un manquement de l’outil vis-à- vis de ces obligations, il sera responsable. Il devra dnc réparer les préjudices subis par le patient.
L’outil sécurisé en ligne a 5 obligations (article 28 du RGPD):
- Il ne doit traiter que les données expressément autorisées par le praticien.
- Il doit prendre toutes les mesures nécessaires pour sécuriser les données, en tout temps.
- Il est tenu d’informer le praticien en cas de changement des conditions d’utilisation. Le praticien doit pouvoir refuser facilement s’il le souhaite.
- Le logiciel doit informer immédiatement le praticien si, selon lui, un élément constitue une violation du règlement.
- Le logiciel met à disposition du praticien toutes les informations de conformité RGPD.
En résumé : vous êtes impliqué d’office si votre outil n’est pas sécurisé RGPD et HDS. S’il est sécurisé et qu’il y a malgré tout un problème (bien que cela soit très rare), le degré de respect du RGPD du logiciel comme du praticien sera étudié.
Etes-vous obligé de désigner un délégué à la protection des données (DPO) ?
Si vous exercez à titre individuel, vous n’êtes pas obligé de désigner un DPO. Si vous exercez en cabinet, en maison de santé, CPTS etc… désigner un DPO est obligatoire.
Oui mais alors, c’est quoi ?
C’est une personne garante de la bonne application des normes de sécurité liées à la donnée au sein du cabinet. Elle se forme plus que les autres au RGPD et facilite son exécution. Ça peut être le titulaire d’un cabinet par exemple.
Sachez qu’un logiciel de gestion patientèle sécurisé santé comme Docorga fait office de DPO, car il offre une prestation de conformité RGPD clé en main.
S’il est une chose à retenir, c’est que le RGPD est une question de responsabilité: l’appliquer est dans votre intérêt au niveau de la loi, de l’éthique, du bon sens et de votre charge mentale !
4,8 sur 5 -
- Liste d'attente
- Comptabilité
- Rappels de RDV par SMS
- Prise de rendez-vous en ligne
- Frais professionnels déductibles
