Professions médicales : obligations relatives au RGPD
​​​​​​​

-

Depuis le 25 mai 2018, les entreprises doivent respecter le RGPD (règlement général sur la protection des données).

Le gouvernement a en effet souhaité que chaque entreprise applique, pour le traitement des données personnelles, des directives particulières.

Les données personnelles peuvent notamment être les noms des clients (/patients) ou des salariés, adresses mails ou postales, religions, sexes, copies de cartes d’identité, numéros de sécurité sociale, les coordonnées bancaires ou encore toute information personnelle concernant un patient, comme par exemple sa taille, sa couleur de peau ou encore ses origines ethniques.

En cas de non-respect des directives du gouvernement, les entreprises encourent des amendes qui peuvent aller de 2 à 4 % de leur chiffre d’affaires en cas de non-respect.

Les médecins sont également concernés par ces obligations.

Ils doivent notamment :
•             tenir un registre des activités qui comprendra notamment les coordonnées du responsable du traitement, la liste des activités pour lesquelles son cabinet collecte des données, ainsi qu’une fiche de registre pour chaque activité listée dans ce fichier (il peut d’ailleurs s’agir aussi des données personnelles des salariés de la structure) ;
•             procéder à un tri des données personnelles en s’interrogeant notamment si les informations qu’ils ont collectées de leurs patients sont nécessaires (est-il nécessaire de connaître le nombre d’enfants de mon patient, son âge ou ses orientations sexuelles ?) ;
•             Informer les patients qu’ils collectent des données personnelles pour leur prise en charge et sur les droits dont ils disposent (comme par exemple le droit de demander l’accès aux données et à demander leur effacement) ;
•             collecter ces données personnelles pour une durée déterminée (par exemple, le conseil national de l’ordre des médecins a déjà précisé pour les médecins libéraux que ces derniers devaient conserver les dossiers médicaux de leur patient pour une durée de 20 ans à compter de la dernière consultation).

Toutes ces informations n’ont pas être communiquées à la CNIL. Il ne s’agit que d’une organisation interne à mettre en place.

En revanche, en cas de contrôle de la CNIL, le médecin devra justifier qu’il est intéressé par ces préoccupations de protection des données personnelles de ses patients ou de ses salariés, en ayant mis en œuvre cette organisation demandée par le gouvernement.

Maxence Perrin
Avocat à Dijon en droit médical

Commentaires

Rédigez votre commentaire :

<% errorMessage %>
<% commentsCtrl.successMessage %>
<% commentsCtrl.errorMessage %>

Les réactions des internautes

a réagit le

<% comment.content %>

  • a répondu le

    <% subcomment.content %>

Répondre à ce fil de discussion
<% errorMessage %>
Aucun commentaire n'a été déposé, soyez le premier à commenter !