Le Règlement Général sur la Protection des Données pour les cabinets dentaires

Le Règlement Général sur la Protection des Données
est un réglement européen qui s’applique au 25 mai 2018, pour améliorer la gestion numérique des données des consommateurs dans l’espace européen

En résumé…

Le règlement impose que tout traitement de données personnelles respecte des critères assurant aux européens une protection de leurs données, dans le but de minimiser les utilisations frauduleuses ou indésirable des données personnelles.

Donnée personnelle ?

Une donnée à caractère personnel est constituée par toute information qui se rapporte à une personne physique, identifiée ou même indirectement identifiable (par exemple, par un numéro identifiant ou un recoupement d’informations). Des exemples de données personnelles sont :
  • le nom d’une personne ;
  • ses coordonnées, email, numéro de téléphone ;
  • un numéro de sécurité socale ;
  • des coordonnées GPS de localisation ;
  • des habitudes de consommation…
Suivant cette définition, un cabinet dentaire contient trois principaux fichiers de coordonnées personnelles : le fichier patient, le registre du personnel et le carnet d’adresse des correspondants.

Un traitement ?

Le règlement définit de manière très large les « traitements de données » sur ces données, qui recouvre quasiment toute opération relative à des données personnelles, de la collecte jusqu’à la destruction. Les traitements seront par exemple :
  • la collecte des données personnelles d’un patient ;
  • leur communication à un tiers (correspondant…) ;
  • l’envoi d’emails, de courriers, de SMS ;
  • la sauvegarde des données.

Les obligations

Le RGPD prévoit certaines obligations sur tout traitement des données à caractère personnel :
  • Transparence : les données doivent être traitées de manière loyale, licite et transparente. Les personnes concernées doivent être informées sur le traitement de manière claire.
  • Limitation des finalités : les données ne doivent pas être réutilisées pour une finalité qui serait incompatible avec la finalité initiale prévue.
  • Minimisation des données : les données doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités des traitements.
  • Exactitude des données : les données traitées doivent être exactes et mises à jour régulièrement (rectification, voire effacement).
  • Limitation de la conservation des données : les données ne devraient pas être conservées que pendant la durée nécessaire à la réalisé des finalités pour lesquelles elles sont traitées.
  • Sécurité, intégrité et confidentialité : les données doivent sécurisée par au moyen de mesures techniques ou organisationnelles.
    Il est dès lors obligatoire que les personnels du cabinet dentaire utilisent des mots de passe suffisamment sécurisés !
Le responsable de traitement doit être en mesure de démontrer le respect de ces principes.

Le cas des données de santé

Le consentement à l’utilisation des données

Les données de santé constituent une catégorie particulière de données à caractère personnel, car il s’agit de données sensibles du point de vue des libertés et des droits fondamentaux. Elles sont ainsi protégées de manière accrue.
Il est totalement interdit pour des acteurs professionnels ou commerciaux de traiter des données de santé. Il est toutefois évidemment autorisé pour les professionnels de santé dont il s’agit du métier.

Selon l’Article 8 de loi 78-17 du 6 janvier 1978 modifiée, le consentement du patient à l’utilisation de ses données n’est pas requis pour les « traitements nécessaires aux fins de… de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d’une profession de santé ». Dès lors, il ne semble pas nécessaire de demander le consentement du patient quant à la collecte de ses données, dès lors que celles-ci sont bien utilisées pour les soins au patient. Il semble évident que le patient comprend que les données qu’il fournit vont être utilisées dans le but de pratiquer des soins…

La suppression des données personnelles

Le RGPD impose que les données personnelles ne doivent être conservées que le temps nécessaire aux traitements de données prévus (par exemple dans le cadre d’une séquence de soins), et être ensuite supprimées sans délai. Le consommateur euorpéen possède également un droit à l’effacement de ses données numériques.

Il faut toutefois considérer que des réglementations supplémentaires s’appliquent sur le dossier médical, et il convient alors de distinguer deux types de données concernant les patients :
  • Les données constituant le dossier médico-légal
    Les radiographies, l’état physiopathologie du patient, son nom, prénom et date de naissance, la liste des soins réalisés, les correspondances… constituent le dossier médico-légal que le praticien doit conserver de manière particulièrement longue (20 ans). Le patient ne pourra d’ailleurs pas demander la suppression de ces données en application de son droit à l’oubli.
    Pour ces données, la suppression imposée par le RGPD n’est donc pas à réaliser dès la fin des soins.
  • Les données personnelles non essentielles
    Les coordonnées du patient, son numéro de sécurité sociale, sa photo d’identité… ne constituent pas des éléments essentiels du dossier patient. Ces informations devraient être totalement supprimées, dès lors que leur utilisation ne semble plus justifiable pour l’intérêt du patient (ex : un an après le dernier soin…) ou si le patient l’exige.

La mise en oeuvre

Les acteurs

Le RGPD définit plusieurs acteurs :
  • le responsable de données
    Dans un cabinet dentaire, il s’agit du responsable de la structure, qui est le seul responsable de données des patients. Cette responsabilité ne peut pas être déchargée sur un tiers externe
  • le pilote (en anglais Data Protection Officer)
    Le RGPD prévoit qu’une personne soit désignée comme l’interlocuteur responsable de la communication avec les personnes ont les données sont traitées, et garantisse que le respect du RGPD. L’obligation de nommer un pilote n’est requise que dans un certain nombre de cas (traitement de données personnelles en masse), qui ne semblent normalement pas correspondre à l’activité d’un cabinet dentaire.
  • les sous-traitants
    Les contraintes du RGPD s’appliquent à tous les sous-traitants en charge d’un traitement de données. Il s’agit par exemple d’une société auquelle vous confiez des données de patient (pour la sauvegarde externalisée par exemple). Le responsable du traitement doit s’assurer que les sous-traitants mettent en euvre les moyens suffisants pour respecter le RGPD.

Les registres

Le RGPD impose la tenue de différents registres :
  • le registre des traitements
    Il définit la liste des traitements de données, la définition de la finalité de chaque traitement, les périmètres des données, les acteurs concernés, les mesures de protection mises en oeuvre et les délais de destruction.
  • les registres des violations de données personnelles
    Les violations (pertes, vols de données…) doivent être consignées et signalées à la CNIL.

Affichage obligatoire

Afin d’informer les patients, vous devez apposer une mention dans le cabinet, dont le modèle est disponible sur le site de la CNIL (accéder au modèle).