Le RGPD a fortement impacté les entreprises collectant et traitant des données personnelles. Zoom sur son application chez les professions de santé.
Qu’est-ce qu’une donnée santé ?
Une donnée santé est, comme son nom l’indique, une information en lien avec l’état de santé physique ou mental d’une personne. Par exemple, cela peut être une donnée concernant sa consommation de médicaments, de drogues ou bien d’alcool.
Il peut également s’agir du groupe sanguin, d’informations sur les handicaps ou bien de données génétiques. En somme, toutes les données sensibles en lien avec la santé d’une personne.
De plus, les données utilisées à des fins médicales (par exemple, en croisant des données et en déduisant l’état de santé d’une personne), sont considérées comme étant des données de santé.
Ces données sensibles doivent être protégées, afin qu’il n’y ait pas de fuites ni de vols de données. Le professionnel de santé les collectant doit respecter les règles du RGPD (Règlement Général Européen de Protection des Données).
Qu’est qu’un médecin peut faire ?
En principe, il est interdit de traiter les données de santé selon le RGPD. Toutefois, cela devient légal dès lors que le professionnel de santé a obtenu le consentement du patient. Pour cela, son consentement doit être univoque et libre.
Il existe aussi des exceptions prévues par le règlement, légalisant le traitement des données sans consentement. C’est notamment le cas de la médecine du travail, ainsi que pour préserver les intérêts vitaux du patient ou de la santé publique.
Par ailleurs, il existe plusieurs obligations à respecter pour être en conformité avec le RGPD. Il s’agit notamment de :
- Définir un DPO (délégué à la protection des données), veillant au respect du RGPD au sein de l’entreprise
- Avoir un registre des traitements, contenant les informations sur le DPO et les personnes concernées, les objectifs du traitement ainsi que les délais de conservation des données
- Réaliser une analyse sur les impacts du traitement des données, détaillant les opérations de traitement, les mesures mises en place pour protéger les données ainsi que l’intérêt que ce traitement représente pour les personnes concernées
Les risques en cas de non-respect
En plus de nuire à sa réputation et de perdre la confiance des patients, le praticien ne respectant pas le RGPD risque des sanctions administratives et pénales.
En effet, en cas de non-respect du RGPD, la CNIL (Commission Nationale de l’Informatique et des Libertés) impose des sanctions, proportionnelles au degré de violation du règlement.
Selon la gravité, les amendes peuvent être élevées et atteindre jusqu’à 10 millions d’euros ou bien 2 % du chiffre d’affaires de l’entreprise. A cela peut s’ajouter des sanctions pénales, avec une peine de 300 000 euros d’amende et jusqu’à 5 ans d’emprisonnement.6