Le Règlement général sur la protection des données (RGPD) est entré en application en France en 2018. Mais certaines obligations qu’il a instaurées demeurent encore méconnues pour de nombreux acteurs du système de santé. Laurent Cantone, responsable Sécurité des Systèmes d'Information (RSSI) et délégué à la protection des données (DPO) à l’Institut Arnault Tzanck (Alpes-Maritimes) apporte des réponses à des problématiques concrètes.
1 - Quelles sont les erreurs les plus fréquentes encore effectuées aujourd’hui par les professionnels de santé hospitaliers concernant les obligations relevant du RGPD ?
Laurent Cantone : Le point qui fait encore défaut pour certains professionnels de santé, concerne les espaces de stockage des données patients. Pour faciliter l’accès à ces données voire pour les partager, certains les enregistrent sur des clouds grand public, non certifiés hébergeurs de données de santé, voire parfois sur des clefs USB. Ce type de stockage comporte plusieurs risques importants, notamment liés à la sécurité et à la confidentialité.
Par ailleurs, certains professionnels de santé se partagent également des informations concernant leurs patients via des messageries non sécurisées (e-mails personnels, WhatsApp, etc.). Ils se justifient en expliquant que les messageries sécurisées type MSSanté ne proposent pas d’applications facilement utilisables sur les téléphones portables, contrairement à celles pour le grand public. Outre le fait que ces dernières ne sont pas sécurisées, elles sont bien souvent hébergées en dehors de l’Union européenne, ce qui expose à des risques significatifs liés à la confidentialité. Dans certains pays, notamment aux États-Unis, des lois locales peuvent permettre aux autorités de demander l'accès aux données personnelles sans respecter les garanties prévues par le RGPD. Au sein de notre établissement, nous allons tester deux solutions afin d’envisager, avec les professionnels de santé, si elles pourraient convenir à leurs besoins et à leurs attentes.
Je pense que de nombreux professionnels de santé hospitaliers ne sont pas suffisamment formés ou sensibilisés aux exigences du RGPD. Cela peut mener à des erreurs lors de la collecte, du traitement ou de la conservation des données personnelles des patients. Il est donc nécessaire d’organiser régulièrement des sessions de sensibilisations spécifiques, afin de les acculturer aux bonnes pratiques.
2 - Comment les professionnels peuvent-ils bien segmenter les informations dans le dossier patient afin de s'assurer que chaque professionnel puisse accéder à celles le concernant uniquement ?
Laurent Cantone : Aujourd’hui, il n’existe pas de solution simple permettant d’introduire des autorisations d’accès spécifiques pour chaque médecin. La règle de base, connue des praticiens, est qu’ils ne peuvent accéder qu’aux dossiers des patients qu’ils suivent. Cependant, dans leur parcours de soins, les patients vont être amenés à consulter de nombreux professionnels de santé.
Si nous prenons l’exemple d’une personne admise aux urgences pour une crise d’appendicite, elle voit d’abord l’urgentiste, puis l’anesthésiste, ensuite le chirurgien, sans oublier les paramédicaux. Le dossier doit donc pouvoir être lu par de nombreux professionnels de santé différents, dont les pharmaciens hospitaliers.
Les informations présentes dans le dossier patient sont déjà organisées par type de données (antécédents médicaux, résultats de laboratoire, prescriptions, notes de consultation, etc.) et par professionnel impliqué (médecin généraliste, spécialiste, infirmier, etc.). Il serait donc possible de mettre en place des contrôles d'accès basés sur les rôles. Chaque utilisateur (médecin, infirmier, secrétaire médicale, etc.) se verrait attribuer un rôle spécifique avec des droits d'accès limités à certaines informations. Toutefois, cela risquerait d’entraver la fluidité du parcours de soins du patient.
3 - Quel degré d'anonymisation les professionnels de santé doivent-ils assurer vis-à-vis de leurs patients dans le cadre d'échanges écrits avec d'autres professionnels de santé, en anticipant la lecture de ces informations par les agents administratifs (contrôleur de gestion, etc.) de l'établissement ?
Laurent Cantone : Le RGPD prévoit que le praticien doit envoyer le strict minimum d’informations nécessaires pour permettre le traitement du dossier par un confrère. Cela relève de sa libre appréciation. Les informations administratives doivent également être séparées des informations médicales, afin de respecter la confidentialité et garantir que seuls les professionnels de santé aient accès aux données médicales. À noter cependant que les secrétaires des établissements hospitaliers sont tenues au respect du secret médical.
4 - Dans le cadre de la recherche, le recueil du consentement des patients par défaut, à savoir le signalement du refus uniquement, respecte-t-il le RGPD ?
Laurent Cantone : Le recueil du consentement par défaut peut respecter le RGPD mais sous certaines conditions très strictes. Le traitement doit avoir une base légale claire comme une mission d’intérêt publique. Les données doivent être pseudonimisées et les patients doivent être informés de la finalité de la recherche, des données collectées, de leur droit de s’opposer et surtout des modalités pour exercer ce droit.
Attention, si la recherche implique des mineurs ou des personnes vulnérables, des garanties supplémentaires sont nécessaires. Dans ce cas, nous demandons le consentement du représentant légal.
À l’Institut, nous préférons le consentement explicite car il offre davantage de garanties en matière de respect des droits des patients.
5 - Le recensement des patients au sein de fichiers Excel (accès précoce, etc.), accessibles sur le réseau interne d'un établissement, respecte-t-il le RGPD ?
Laurent Cantone : Oui, mais certaines conditions doivent impérativement être remplies. La collecte des données patients recensées doit être légitimée par une base légale (intérêt vital du patient, exécution d’un contrat de soin, etc.). Ce traitement doit également avoir une finalité claire, et seules les données strictement nécessaires doivent être collectées.
Il est également nécessaire de mettre en place des mesures de sécurité informatique : le fichier doit être enregistré dans un répertoire avec un droit d’accès autorisant uniquement les personnes disposant de la légitimité de connaître ces informations. Nous conservons également une journalisation des accès au fichier. Nous nous devons de pouvoir justifier des mesures de protection mises en place en cas de contrôle de la Commission nationale de l’informatique et des libertés (Cnil), à travers un registre de traitement de données.
6 - Qu’en est-il de l’exploitation de données historiques, notamment dans le contexte des entrepôts de données ?
Laurent Cantone : Le RGPD impose de conserver les données personnelles que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. En règle générale, les dossiers médicaux doivent être conservés pendant 20 ans à partir de la date du dernier acte de soins. Cette période peut être allongée dans certains cas. Par exemple, pour les patients ayant bénéficié d’une transfusion sanguine, la durée est portée à 30 ans après le dernier acte transfusionnel. Cela permet de suivre les éventuels effets indésirables ou complications qui pourraient se manifester longtemps après la transfusion. Pour les patients décédés, le dossier médical est conservé pendant 10 ans à compter de la date du décès.
Ces règles concernent la conservation des données sous forme papier ou numérique. Pour les dossiers en format papier, ils sont généralement archivés dans des entrepôts sécurisés et des inventaires réguliers permettent d’identifier ceux dont la durée de conservation va être dépassée prochainement. Ils seront alors détruits via des sociétés spécialisées.
7 – Quel est le périmètre d’application du RGPD dans l’exploitation ultérieure des datas ?
Si les données sont complètement anonymisées, le RGPD ne s’appliquera pas car l'identification d’un individu est impossible. Toutefois, il faut veiller à ce que le processus d'anonymisation soit irréversible, et qu’il soit donc techniquement impossible de revenir à l'identité du patient à partir des données traitées.
Si les données sont pseudonymisées, par exemple, par un code reliant chaque patient à un identifiant numérique, ce code doit être chiffré par un mot de passe et conservé dans un endroit sécurisé et séparé des données de la cohorte.
Seules les personnes habilitées doivent avoir accès au code et aux informations permettant de faire le lien entre les données pseudonymisées et l'identité des patients.
À retenir
- De nombreux professionnels de santé utilisent encore des outils non sécurisés (clouds non certifiés, clés USB, messageries grand public) pour stocker ou échanger des données patients, exposant ces informations à des risques de confidentialité et de cybersécurité.
- Le RGPD impose aux praticiens de limiter les informations échangées au strict nécessaire et de séparer les données médicales des données administratives. Les secrétaires médicales, bien que soumises au secret médical, doivent uniquement traiter les informations indispensables à leur mission.
- Le RGPD impose un consentement éclairé pour la collecte et l’utilisation des données patients, notamment en recherche. La pseudonymisation et l’anonymisation sont essentielles pour protéger les données, et des règles strictes s’appliquent selon le contexte d’exploitation des informations.
Nos actualités
Le comité d'experts indépendants
Fait par des pharmaciens hospitaliers, pour des pharmaciens hospitaliers ! L'ensemble de nos contenus sont pensés et rédigés par un comités d'experts indépendants, cela pour mieux vous accompagner dans vos pratiques quotidiennes.