Des logiciels d’assistance au diagnostic à la télémédecine, de la téléexpertise à la robotique médicale, les transformations majeures des activités de soin regroupées sous le terme d’E-santé ont suscité une réflexion profonde autour du secret médical, désormais incarné dans le secret numérique.
Les outils digitaux, spécialement dans le domaine de la santé, charrient en effet des volumes colossaux d’informations dont on sait qu’elles constituent des data de choix pour des opérateurs commerciaux en tout genre ou autre pirates numériques.
C’est pourquoi le secret médical a connu en 2018 une réactualisation par l’effet de l’entrée en vigueur du Règlement général sur la protection des données, dit RGPD, conçu comme gardien du secret numérique, dédié aux espaces digitaux.
Ce que les professionnels de santé ignorent parfois est qu’ils sont soumis au RGPD comme ils le sont au secret médical, pour cette raison que les données de santé qu’ils recueillent, enregistrent, transmettent, en résumé qui font l’objet d’un « traitement », sont considérées par le RGPD comme les plus sensibles des données personnelles.
Alors, que doit faire le médecin « responsable de traitement » ?
1. Répertorier : bâtir les fondations du secret numérique
La première étape d’une démarche de mise en conformité consiste d’abord à faire un état des lieux, c’est-à-dire une cartographie précise des données traitées pour s’assurer que les traitements réalisés ont pour finalité exclusive la prise en charge des patients. Dans cette perspective, la réalisation d’une Analyse d’impact relative à la protection des données, qui n’est cependant pas obligatoire, peut constituer une première étape.
En revanche, la tenue d’un « registre de traitement des données personnelles » est obligatoire. Le registre de traitement est un document qui trace et décrit l’intégralité des données personnelles traitées pour les besoins de l’activité, la nature des traitements, la base légale et la finalité des traitements, enfin la durée de conservation des données.
Ce document, qui est la pièce maîtresse du dispositif de sécurisation digitale, est d’autant plus essentiel que la CNIL en réclamera la communication en cas de contrôle.
➡️ Car, il faut le signaler, la CNIL peut être amenée à contrôler tout professionnel de santé procédant à des traitements de données, de façon inopinée ou à l’occasion d’une fuite de données.
2. Informer : la transparence envers les patients
Le professionnel de santé est également tenu de fournir un certain nombre d’informations sur les traitements de données personnelles qu’il réalise, information pouvant être portée à la connaissance des patients soit par voie d’affichage (salle d’attente, par exemple), soit au moyen d’un formulaire mis à disposition.
On citera notamment parmi les informations devant être obligatoirement données :
- les finalités et la base juridique du traitement
- les destinataires des données
- la durée de conservation des données
- les droits de la personne (accès, rectification, modification, suppression, limitation, opposition, introduction d’une réclamation auprès de la CNIL)
⚠️ A noter que l’utilisation des données personnelles à des fins ultérieures (par exemple, utilisation des données à des fins de recherche) doit être obligatoirement signalée au patient.
3. Sécuriser : protéger techniquement le secret numérique
Le médecin doit assurer la sécurisation de ses traitements. Ce qui commence par en empêcher techniquement l’accès aux personne non autorisées, qu’il s’agisse du secrétariat ou de tout autre intervenant au cabinet, principalement au moyen d’une authentification par carte de professionnel de santé (CPS).
Mais il s’agira également de veiller à ce que les prestataires auxquels il fait appel (informaticien, par ex.) soient habilités à proposer des solutions de traitement de données de santé et de prendre toutes mesures techniques propres à empêcher une violation de données.
A ce sujet, la CNIL a fixé un cahier des charges relativement précis dans lequel on retrouve, par exemple, les prescriptions suivantes :
- Utilisation de mots de passe complexes (12 caractères minimum, incluant chiffres, majuscules et caractères spéciaux),
- Usage d’antivirus et de pare-feu à jour,
- Chiffrement des données sensible avec un logiciel adapté
- Limitation des connexions extérieures, etc.
Ces mesures sont des garde-fous indispensables pour préserver le secret numérique dans les pratiques médicales modernes.
4. Alerter : réagir rapidement en cas de violation
En cas de violation avérée – étant précisé que la perte ou la destruction involontaire sont assimilées à des violations – le professionnel doit la signaler dans les 72 heures à la CNIL et en informer parallèlement le patient lui-même.
La CNIL met à disposition sur son site un formulaire dédié, que le professionnel devra renseigner en fournissant les informations suivantes : nature de la violation, conséquences envisageables et mesures prises ou à venir pour remédier à la violation
Attention, le respect de cette procédure de signalement est obligatoire et peut donner lieu à des sanctions à défaut.
* * *
La transformation digitale n’a pas modifié la nature et le principe du secret médical, pas plus qu’elle n’avait modifié la nature et le principe de l’art médical. Elle modifie seulement les pratiques de préservation du secret.
Les nouvelles réglementations qui accompagnent cette transformation présentent l’intérêt majeur de fournir un véritable vade mecum de la protection du secret numérique, prêt à l’emploi.
Puisqu’on ne peut pas les ignorer, pourquoi ne pas s’en emparer pleinement ?…
Me Pierre-Henri Lebrun – Avocat spécialisé dans la défense des chirurgiens