Le RGPD
Communication de l’Ordre des Médecins

Afin de vous accompagner dans votre pratique au quotidien, nous restons à l’affût des informations qui vous concernent.
Une récente publication liée au RGPD a été communiqué par l’Ordre des Médecins.
Vous pouvez en découvrir le contenu ci-dessous ou encore en cliquant ici.

Lignes directrices pour les médecins concernant le Règlement général sur la protection des données

Le 27 avril 2016, le Parlement europĂ©en et le Conseil de l’Europe ont adoptĂ© un règlement relatif Ă  la protection des personnes physiques Ă  l’égard du traitement des donnĂ©es Ă  caractère personnel, soit le Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) qui est entrĂ© en vigueur le 25 mai 2018.

Puisque les médecins traitent des données de santé et des données sensibles de leurs patients dans l’exercice de leur profession, il convient qu’ils intègrent les prescriptions de cette législation dans leur pratique quotidienne et qu’ils suivent les développements en la matière.

Étant donnĂ© que la dĂ©ontologie mĂ©dicale(1) concerne notamment le  respect de la vie privĂ©e du patient qui est traitĂ©e dans plusieurs articles du code de dĂ©ontologie mĂ©dicale, le Conseil national de l’Ordre des mĂ©decins a rĂ©digĂ© cet avis et a prĂ©vu de donner aux mĂ©decins la possibilitĂ© de poser des questions via l’adresse Ă©lectronique : privacy@ordomedic.be.

1. GĂ©nĂ©ralitĂ©s

Le RGPD approfondit la lĂ©gislation existant en matière de vie privĂ©e. Le mĂ©decin qui respecte la lĂ©gislation existante en matière de vie privĂ©e ne devra  que lĂ©gèrement modifier ses pratiques

Les principes gĂ©nĂ©raux de la rĂ©glementation liĂ©s au droit Ă  la vie privĂ©e, concernant certains droits du patient(2) et le secret professionnel, restent inchangĂ©s.

Un médecin individuel ou une pratique de groupe n’aura pas à investir beaucoup pour la mise en œuvre de la nouvelle législation. Le Conseil national tient à mettre en garde les médecins contre les entreprises qui proposent des services onéreux pour la mise en œuvre du RGPD dans leur pratique.

La nouvelle rĂ©glementation impose cependant de nouvelles mesures, comme la dĂ©signation d’un « dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es Â»(3) et la tenue d’ un « registre des activitĂ©s de traitement Â».

2. DĂ©signation d’un dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es

Le dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (ci-après « DPD Â») informe et conseille le responsable du traitement des donnĂ©es ou le sous-traitant de leurs obligations dĂ©coulant du RGPD ou d’autres mesures de protection des donnĂ©es. Il veille au respect de la rĂ©glementation et de la politique en la matière, comme l’attribution de responsabilitĂ©s, la conscientisation et la formation des personnes concernĂ©es par le traitement des donnĂ©es Ă  caractère personnel(4). En outre, le DPD collabore avec l’autoritĂ© de contrĂ´le et intervient comme point de contact(5).

Un médecin individuel ou une pratique de groupe ne doit pas désigner de DPD. La désignation est uniquement obligatoire dans le cas du traitement d’une quantité considérable de données de santé, comme dans les hôpitaux ou dans les structures qui comptent au moins 250 employés.

3. Registre des activitĂ©s de traitement

Chaque médecin doit tenir un registre des activités de traitement des données. Ce registre est un fichier dans lequel le médecin décrit les données à caractère personnel qu’il collecte, comment il les sécurise, pour quelles raisons il les recueille, où il les conserve, pour quelle durée et s’il les transfère.(6)

La crĂ©ation de ce registre impose au mĂ©decin de rĂ©flĂ©chir Ă  la façon dont il gère les donnĂ©es Ă  caractère personnel des patients et/ou du personnel qu’il emploie. C’est une amorce de restructuration de la gestion des donnĂ©es. Si le mĂ©decin constate qu’il ne sĂ©curise pas bien certaines donnĂ©es Ă  caractère personnel ou qu’il n’en a plus besoin pour l’exercice de sa profession de mĂ©decin, il devra prendre les mesures qui s Â»imposent.

Le Conseil national mettra prochainement à disposition un modèle de registre des activités de traitement des données.

4. Personnes autres que le mĂ©decin Ă  avoir accès aux donnĂ©es Ă  caractère personnel du patient

Le médecin indique les catégories de personnes ayant accès aux données à caractère personnel de ses patients. Leur statut vis-à-vis du traitement des données concernées est précisément décrit et documenté(7). Cette information est ajoutée au registre des activités de traitement des données.

Le médecin veille à ce que les personnes concernées par une obligation légale ou statutaire ou par une disposition contractuelle équivalente s’engagent à respecter le caractère confidentiel des données concernées. Toute personne ayant accès aux dossiers des patients doit avoir signé une clause de confidentialité dans son contrat de travail de collaboration.

Accès ne signifie pas que ces personnes travaillent réellement avec les dossiers patients. La simple possibilité de consulter ces dossiers suffit. La signature de ce contrat est un moment propice pour informer les collaborateurs de leurs droits et devoirs lors du traitement de données à caractère personnel.

5. Mesures Ă  prendre (gĂ©nĂ©ral)

Pour l’exercice de sa profession, le médecin collecte des données sur la santé de ses patients. Il s’agit d’une catégorie particulière de données à caractère personnel(8). Les données concernant la santé sont des données à caractère personnel relatives à la santé physique ou mentale d’une personne, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.(9)

Le mĂ©decin prend toutes les mesures nĂ©cessaires pour respecter le droit Ă  la vie privĂ©e du patient, pour sĂ©curiser les donnĂ©es sensibles de façon optimale et Ă©viter les « fuites de donnĂ©es Â».

6. Transmission des donnĂ©es Ă  caractère personnel

Il arrive rĂ©gulièrement que le mĂ©decin ait Ă  transmettre des donnĂ©es de santĂ© de ses patients : soit au patient lui-mĂŞme(10), soit Ă  des tiers(11).

En cas de transfert des données de santé, le médecin doit toujours évaluer s’il peut envoyer les données à un destinataire tiers. Le secret professionnel ne permet pas au médecin de fournir les données de santé de ses patients à des tiers. Le médecin peut donc seulement transmettre les données de santé s’il existe une base légale.

En cas de transfert de données de santé à des tiers, à la demande du patient, le médecin doit apprécier si le patient n’est pas le mieux placé en raison de son droit à l’autodétermination pour décider quelles informations il souhaite partager et avec qui.

Le transfert de données de santé doit se faire d’une façon particulièrement sécurisée. Les données de santé ne peuvent être envoyées numériquement que par des systèmes avec authentification à plusieurs facteurs. Par conséquent, le médecin ne peut pas envoyer de données médicales par e-mail non sécurisé, même pas dans le cas où le patient a marqué son accord.

Le médecin doit utiliser les applications de réseaux d’informations sécurisées, avec un niveau de sécurisation conforme aux règles en vigueur.

7. Logiciel (Software)

Le médecin qui utilise un logiciel ou achète un nouveau logiciel destiné à la gestion de sa pratique ou à la sécurisation des données à caractère personnel doit toujours se renseigner auprès du fournisseur sur les paramètres de confidentialité. Ce fournisseur doit respecter le RGPD et doit communiquer en toute transparence à ce propos. Le médecin reste cependant responsable au cas où le software ne satisferait pas aux conditions légales.

En cas d’intervention de tiers lors du traitement de données à caractère personnel sous la responsabilité du médecin, la collaboration, la sécurisation et le déroulement du traitement doivent être fixés contractuellement dans un contrat de traitement des données. De nombreuses entreprises ont déjà développé des modèles et ont adapté leurs conditions générales. Il est recommandé de vérifier si ces dispositions sont adéquates.

8. Sensibilisation Ă  la nouvelle rĂ©glementation

Le médecin conscientise ses collaborateurs aux mesures de sécurité qui protègent les données des patients et il détermine qui a accès et à quelles données.

Si une personne non compĂ©tente a toutefois accès aux donnĂ©es de santĂ© de patients ou Ă  d’autres donnĂ©es sensibles que le mĂ©decin dĂ©tient dans le cadre de ses activitĂ©s, on parle alors de « fuite de donnĂ©es Â»(12).

Les fuites de donnĂ©es doivent ĂŞtre enregistrĂ©es et signalĂ©es, selon la gravitĂ©, Ă  l’autoritĂ© de protection des donnĂ©es et aux personnes concernĂ©es(13) endĂ©ans un dĂ©lai de 72 heures.

9. Avenir

Les autorités, institutions et autres acteurs impliqués dans le traitement des données de santé prennent en compte ce nouveau règlement européen. À l’avenir, de nouvelles directives européennes devraient préciser comment les acteurs des soins de santé doivent traiter les données des patients.

(1) Il s’agit essentiellement du chapitre 2, « Respect Â», du Code de dĂ©ontologie mĂ©dicale

(2) Articles 9 et 10 de la loi du 22 aoĂ»t 2002 relative aux droits du patient (droit Ă  un dossier patient conservĂ© en lieu sĂ»r, droit Ă  la protection de la vie privĂ©e)

(3) La dĂ©nomination anglaise souvent utilisĂ©e est « Data Protection Officer Â» ou « DPO Â»

(4) Par exemple le secrétariat, le personnel soignant qui assiste le médecin

(5) Article 39, Règlement général sur la protection des données

(6) Article 30, Règlement gĂ©nĂ©ral sur la protection des donnĂ©es

(7) Loi du 30 juillet 2018 relative Ă  la protection des personnes physiques Ă  l’égard des traitements de donnĂ©es Ă  caractère personnel

(8) Article 9, Règlement général sur la protection des données

(9) Article 4, 15, Règlement général sur la protection des données

(10) Par exemple les résultats d’un examen ou lors de l’exercice du droit à la consultation du dossier patient

(11) Par exemple à des confrères-médecins qui traitent le patient dans le cadre du secret professionnel partagé, à l’INAMI sur la base d’une législation particulière, etc.

(12) Par exemple, cambriolage, piratage, données de santé envoyées à la mauvaise personne, etc.

(13) Article 33, Règlement général sur la protection des données

Imprimer đź–¨ Pdf đź“„