Publications

RGPD et Dossiers patients, comment se mettre en conformité ?

Publié le 25 juin 2020

Confidentiel par excellence, le dossier médical s’inscrit dans un rapport de confiance particulier entre le médecin et son patient. Parce qu’ils concernent des données de santé dites « sensibles » et que les patients doivent être considérés comme des « personnes vulnérables » au sens du Comité Européen de la Protection des Données, la CNIL prête une attention particulière sur la façon dont sont gérés ces dossiers.

1. Les acteurs de la santé sujets aux contrôles de la CNIL

Pour sa stratégie de contrôle de 2020, la CNIL a annoncé son intention de s’orienter en partie vers les acteurs de la santé. Il est attendu que notre autorité de contrôle porte un attention toute particulière sur la gestion des dossiers médicaux.

Cette annonce mérite de rappeler trois points sur ces contrôles :

Premièrement, rappelons que depuis le 25 mai 2018, la CNIL contrôle l’application du Règlement général sur la protection des données (RGPD) qui s’impose à tous les acteurs de la santé, en allant du professionnel de santé agissant à titre individuelle jusqu’aux établissements de santé publics et privés. Précisons également que le RGPD n’a pas vocation à remplacer le Code de la santé publique mais il vient encadrer les pratiques en matière de protection des données.

Deuxièmement, la CNIL procède à un contrôle a posteriori. Cela signifie que son contrôle est basé en premier lieu sur la documentation mise à la disposition par l’acteur de la santé. S’agissant du dossier médical, sa gestion doit figurer au Registre des traitements. Il doit également faire l’objet de procédures quant à sa constitution, sa conservation, son partage et sa sécurité.

Rappelons également que la CNIL diversifie ses contrôles qui peuvent aussi bien se faire en ligne (site internet), sur audition (sur convocation), sur pièce (demande de document) et sur place.

Les sanctions peuvent également être conséquentes. En juillet 2019, l’autorité de contrôle néerlandaise de protection des données a infligé une amende de 460.000 euros à l’hôpital Haga de La Haye pour violation de données en application du RGPD. Une enquête avait en effet démontré que plus de 85 employés avaient consulté le dossier médical d’une célébrité de la télé-réalité alors que ces personnes n’étaient pas impliquées dans sa prise en charge du patient. L’autorité considéré après contrôle que l’hôpital n’avait pas suffisamment sécurisé les données de santé qu’il traite, notamment vis-à-vis des exigences d’authentification et de traçabilité détaillées à l’article 32 du RGPD.

2. La détermination de responsable de traitement

La réglementation relative à la protection des données s’attache à la notion de Responsable de traitement, c’est-à-dire la personne qui détermine les finalités et les moyens du traitement. Les finalités qui touchent aux dossiers patients sont divisées en deux catégories : les finalités qui touchent à la gestion administrative du dossier patient (prise de rendez-vous, échanges avec la sécurité sociale etc.) et les finalités qui touchent à la prévention, au diagnostic et au soin du patient (notes, ordonnances, échanges avec des confrères, etc.).

Les qualifications de responsable de traitement peuvent varier en fonction des situations :

Le médecin exerçant seul à titre libéral :
Dans ce cas de figure, le médecin est responsable de traitement.

Cabinet médical regroupant des médecins exerçants à titre libéral :
Dans cette hypothèse, chaque médecin est individuellement responsable de la gestion des dossiers de ses patients pour les finalités qui concernent la prévention, le diagnostic et le soin du patient.  Le cabinet sera lui responsable pour la gestion administrative des dossiers patients.

Etablissement de santé :
Dans l’hypothèse d’un établissement de santé, la personne morale est responsable des traitements relatifs aux dossiers patients pour toutes les finalités évoquées. Il revient donc à sa direction d’émettre des lignes directrices à l’égard de l’ensemble du personnel de santé visant à la protection des données.

3. Le contenu du dossier patient

Le RGPD ne revient pas sur la donnée en elle-même contenue dans le dossier patient : le médecin peut collecter toute information qu’il jugera nécessaire à son activité de prévention de diagnostic et de soin.

Le RGPD s’attache surtout aux finalités recherchées et pose ainsi des limites aux données récoltées : en application du principe de minimisation, les données traitées dans le dossier patient doivent être adéquates, pertinentes et limités aux finalités recherchées (Article 5 du RGPD).

Le dossier patient est constitué de données de santé, considérées comme « sensibles » (Art. 9 du RGPD). Le responsable de traitement devra prévoir des mesures techniques et organisationnelles particulières pour en assurer leur sécurité. D’autres catégories de données sensibles peuvent figurer dans le dossier médical si elles paraissent pertinentes et nécessaires au praticien dans son analyse. Sous réserve de démontrer cette pertinence et cette nécessité, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses l’appartenance syndicale des personnes, les données biométriques, la vie sexuelle ou l’orientation sexuelle d’une personne physique peuvent être des données traitées dans un but médical ou pour la recherche dans le domaine de la santé.

4. Le recours à un sous-traitant et aux nouvelles technologies

Les acteurs de la santé utilisent fréquemment des logiciels pour traiter les dossiers patients. Avec le développement des offres en SaaS, les éditeurs de logiciel accompagnent à leur prestation d’édition, la maintenance et l’hébergement à distance des dossiers patients.

Ces prestataires sont qualifiés par le RGPD de « Sous-traitant ». C’est-à-dire qu’ils vont traiter les données de santé au nom et pour le compte du Responsable de traitement qui, pour rappel, détermine les finalités et les moyens du traitement.

Rappelons que dans le cadre de la maintenance, le sous-traitant a un rôle purement technique et qu’il n’est pas supposé accéder, en clair, aux dossiers du patients. S’agissant de l’hébergement, le sous-traitant doit être agrée ou certifié en vertu du Code de la santé publique.

Mais cette certification ne pose que des obligations techniques, et le RGPD vient imposer d’autres obligations aux sous-traitants (Article 28 du RGPD). Ces obligations doivent être prévues dans le contrat de prestation passé entre lui et le responsable de traitement.

5. La conservation du dossier médical

Les mesures Techniques et Organisationnelles (MTO)

En application du RGPD (Article 32), le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque lorsqu’ils traitent des dossiers patients.

Dans le cadre d’un dossier patient numérisé, les acteurs de santé doivent notamment sécuriser les accès, la conservation et la transmission des dossiers du personnel. Pour garantir la sécurité des flux, le service de messageries doit, entre autres, assurer une identification et une authentification fiables des professionnels habilités, et assurer la sécurité des messages et des pièces jointes lors de leur transfert. Lorsque le dossier est sous format papier, le responsable de traitement doit mettre en place des mesures pour qu’il soit physiquement inaccessibles pour les personnes non autorisées.

A cela s’ajouteront toutes les mesures organisationnelles et techniques pour répondre à son obligation de confidentialité, d’intégrité, de disponibilité et de traçabilité.

6. La conservation du dossier médical

Durées

Le RGPD pose un principe général de limitation des durées de conservation au regard de la finalité recherchée (Article 5). C’est le Code de la santé publique qui pose la durée de rétention maximale de 20 ans à compter de la dernière consultation (Article R1112-7 du Code la santé publique). Cette durée est à adapter selon les cas suivants :

Typologie de patientsDurées de conservation
Patient majeur20 ans à compter de la date de la dernière consultation du patient
Patient mineurSi le patient est mineur et que ce délai de 20 ans expire avant son 28ème anniversaire, la conservation des informations le concernant doit être prolongée jusqu’à cette date
Patient défuntSi le patient décède moins de 10 ans après sa dernière consultation, les informations le concernant doivent être conservées pendant 10 ans à compter de la date du décès ;
Patient impliqué dans un contentieuxEn cas d’action tendant à mettre en cause la responsabilité du médecin, il convient de suspendre ces délais de conservation le temps du contentieux.

Pendant ce délai de rétention, le responsable de traitement doit organiser l’archivage des dossiers patients. La CNIL recommande l’usage d’archives intermédiaires avec des accès limités. La rédaction d’une politique de conservation des données est recommandée.

7. Partage du dossier

Les destinataires admis

Le RGPD consacre la notion de destinataire de la donnée. Par destinataire on va entendre toutes les personnes habilitées à obtenir la communication des données enregistrées dans un fichier ou un traitement en raison de ses fonctions.

Rappelons que les destinataires n’ont pas vocation à connaitre l’ensemble du dossier mais seulement des données qui intéressent les finalités recherchées par leurs fonctions.

 

8. Zoom sur le dossier médical partagé

Il ne faut pas confondre le dossier du patient avec le dossier médical partagé (DMP) géré par l’Assurance maladie. Le DMP n’est pas obligatoire. Il ne remplace pas les dossiers établis par les médecins et les établissements de santé.

Le DMP est un carnet de santé numérique qui permet de rassembler les informations médicales détenues par le médecin traitant, les médecins spécialistes consultés, le laboratoire de biologie, les établissements de santé etc.

Le DMP est mis en œuvre par l’Assurance Maladie mais le patient en contrôle l’accès. Seuls les professionnels de santé qu’il a autorisés peuvent accéder au contenu du DMP. Une matrice d’habilitation définit les éléments auxquels chaque professionnel de santé peut accéder en fonction des informations qui lui sont nécessaires pour la prise en charge du patient.

9. Les études d’impact relatives au dossier médical

Les traitements des dossiers patients doivent faire l’objet d’une analyse d’impact car ils sont considérés à risques pour deux raisons. Il s’agit d’une part, de donnés de santé et donc considérées comme « sensibles » au sens du RGPD. D’autre part, les patients sont considérés comme des personnes vulnérables.

Cette analyse est obligatoire pour les établissements de santé. Elle est en revanche optionnelle pour les professionnels de santé qui exercent à titre individuel.

10. Réagir aux violations de données ?

On entend par violation de données la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ou encore l’accès non autorisé à de telles données (Articles 33 et 34 du RGPD).

Pour rappel, le RGPD impose un délai de 72h pour signaler la violation de données à partir du moment où l’on constate l’incident. Délai pendant lequel le responsable de traitement doit faire 3 choses :

  1. La première est d’analyser l’incident pour notamment comprendre l’origine de l’incident et évaluer son impact.
  2. A partir de cette analyse, si le responsable de traitement conclu à un risque pour les droits et liberté des personnes, il doit notifier la violation à la CNIL et l’Agence Régional de Santé.
  3. S’il y a un risque élevé, le responsable de traitement est dans l’obligation de communiquer sur la violation de données aux patients.

Ce délai de 72h est court et le RGPD oblige le responsable de traitement à organiser la sécurité de leurs données en rédigeant des procédures de réponse aux incidents et une procédure de notification de violation de données.

11. Le droit du patient du patient et notamment le droit d’accès

Pour protéger les patients, le RGPD consacre une pluralité de droits. S’agissant des dossiers patients, le présent article s’arrêtera sur deux d’entre eux : le droit à l’information et le droit d’accès.

  • Le droit à l’information est le point de départ des autres droits (Articles 13 et 14 du RGPD). Le médecin ou l’établissement de santé doit notamment informer les patients des finalités qui concernent le traitement du dossier patient, leurs bases légales, les durées de conservation, l’exercice de leurs droits et la possibilité de faire un recours auprès de la CNIL.

Cette information peut se faire par voie d’affichage, dans la salle d’attente, ou par la remise d’un document spécifique lui expliquant comment se renseigner.

  • Le droit d’accès mérite également une attention particulière (Article 15 du RGPD) : en vertu de de ce droit, le patient peut accéder à son dossier patient. Chaque demande portant sur ces droits doit être examinée dans un délai raisonnable. Dans le cas d’une demande d’accès au dossier patient, le délai est obligatoirement de 8 jours, porté à 2 mois lorsque les informations datent de plus de 5 ans. (Art. L.1111-7 du Code de la santé publique). La consultation des informations sur place est gratuite. Si le patient souhaite la remise de copies, les frais à sa charge ne peuvent excéder le coût de la reproduction et éventuellement, de l’envoi des documents.

Le responsable de traitement doit mettre en place une procédure de gestion des demandes de droits avec le rappel des principes, les acteurs qui participent aux réponses, les délais à respecter. Rappelons également que la procédure doit prendre en compte des régimes particuliers pour les patients mineurs ou protégés ainsi que pour les patients décédés.

Rappelons également que les demandes de droits doivent être inscrites dans un registre pour pouvoir démontrer de la bonne gestion de ces demandes en cas de contrôle.

Quid du patient décédé ? L’accès aux informations concernant une personne décédée est encadré : cet accès ne peut d’abord s’exercer que si la personne décédée ne s’y était pas opposée de son vivant. Cette opposition peut ne pas prendre la forme d’un document écrit de sa main et peut être constatée en la présence d’éléments concrets et précis (ex : refus exprimé auprès du médecin traitant).

Seuls certains proches de la personne décédée peuvent accéder aux informations la concernant : les ayants droit (héritiers légaux ou testamentaires) dont le conjoint, le concubin ou concubine, le partenaire lié par un pacte civil de solidarité.

La demande doit être expressément fondée sur un ou plusieurs des trois motifs prévus par l’article L. 1110-4 du code de la santé publique :

  1. pour connaître les causes de la mort ;
  2. pour défendre la mémoire du défunt ;
  3. pour faire valoir ses droits.

L’indication de la volonté de connaître les causes de la mort n’appelle pas de précision supplémentaire. En revanche, la volonté de défendre la mémoire du défunt ou de faire valoir ses propres droits doivent être explicitées par le demandeur, en précisant par exemple les circonstances qui le conduisent à défendre la mémoire du défunt ou la nature des droits qu’il souhaite faire valoir. Le Code de la santé publique ne prévoit pas l’accès à l’intégralité du dossier du patient décédé. Le médecin n’est ainsi tenu de communiquer que les seules informations nécessaires à la réalisation de l’objectif poursuivi par le demandeur.

Pour aller plus loin

Télécharger notre fiche pratique « RGPD et dossiers patients » pour un récapitulatif complet et suivre les lignes directrices de ce que vous devez faire pour vous mettre en conformité RGPD.

La To Do List conformité « Dossiers Patients » :

Responsabilité :
· Organiser les responsabilités opérationnelles sur les données

Formation :
· Sensibiliser l’ensemble du personnel médical à la protection des données

Registre :
· Entrer la gestion du dossier médical dans le Registre de traitement.
· Contrôler la gestion de dossier médical par le biais d’un DPO

Contenu du dossier :
· Etablir des lignes directrices sur le contenu du dossier patient

Sous-traitant :
· Soumettre ses sous-traitants à un questionnaire d’audit RGPD
· Amender les contrats proposés avec des clauses RGPD.

Sécurité :
· Déployer une procédure de réponse aux incidents
· Déployer une procédure de notification de violation de données

Durées de conservation :
· Etablir un référentiel de durées de conservation adapté aux fonctions et aux outils
· Implémenter les durées de conservation dans les outils

Partage des dossiers patients :
· Déployer une procédure standard pour le partage des dossiers patients

Demandes de droits :
· Déployer une procédure de demande de droits
· Créer un registre des demandes de droits

– Florian Coulon

Besoin de se mettre en conformité ?​

Nous dispensons des formations spécifiques animées par nos DPO.
Vous pouvez retrouver le programme de formation et le formulaire d’inscription juste en dessous.

Suivez-nous sur Linkedin, Twitter et Facebook