Si le sigle RGPD ne vous dit rien, c’est que vous avez probablement hiberné entre 2018 et aujourd’hui. Depuis l’entrée en vigueur de ce « règlement général sur la protection des données », toute entreprise européenne a pour obligation de mettre en oeuvre des mécanismes et des procédures internes pour protéger les données personnelles. Le principe est simple ; ses implications au quotidien dans un laboratoire d’audioprothèse le sont probablement moins. Et force est de constater que beaucoup de professionnels sont hors des clous.
mast3r-AdobeStock-00e8.jpeg)
Pour rappel, cela implique toutes les données personnelles : aussi bien celles concernant les salariés (nom, prénom, adresse, etc., nécessaires notamment à l’élaboration des fiches de paie), que celles des patients. Ces données doivent être sécurisées. « Antécédents médicaux, prise de médicaments, audiogrammes, questionnaires THI... ces données de santé sont considérées comme sensibles par le RGPD », détaille Thibaut Gressier, audioprothésiste et DG d’AudioWizard, une société proposant des accompagnements à la mise en place du RGPD et des logiciels de gestion dans le secteur de l’audioprothèse. Les données médicales, qu’elles soient au format numérique ou papier, doivent donc faire l’objet d’une sécurisation accrue. Cela revient à mettre en place des mesures à la fois pour empêcher que des personnes non autorisées aient accès aux données mais aussi pour que ces données soient intègres et accessibles aux personnes autorisées.
Tenir un registre d’activité de traitement
En pratique, comment mettre en œuvre le RGPD dans son cabinet ? La clé de voûte est la tenue d’un registre des activités de traitement. « Ce document doit notamment établir quelles données personnelles et sensibles sont récupérées, dans quel but et pour quelle durée, souligne Thibaut Gressier. Il précise également qui accède à quelles données et à qui elles sont communiquées : mutuelles, comptable, fabricants d’aides auditives… » La transmission des données de santé doit en effet être limitée aux seules personnes autorisées à y accéder au regard de leurs missions : c’est le principe de confidentialité du RGPD. Le registre établit par ailleurs les mesures de sécurité – physiques ou informatiques – mises en place pour protéger les données : sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques…
L’ensemble de ce travail permet d’élaborer une information à destination des patients et des salariés. La transparence et la maîtrise des données sont en effet des finalités essentielles de ce règlement, les personnes pouvant demander l’accès, la rectification ou la suppression de ces données. Le bon respect du RGPD est assuré par une autorité administrative indépendante, la Commission nationale de l'informatique et des libertés (Cnil), qui peut demander à consulter le registre des activités de traitement de toute entreprise.
Pour vous assurer que vous respectez bien ce règlement dans votre centre, voici quelques situations que vous rencontrez au quotidien et qui impliquent la protection des données.
Quiz
1 Dans mon centre d'audioprothèse, le RGPD concerne :
a) les données personnelles et médicales de mes patients exclusivement
b) les données personnelles de mes salariés exclusivement
c) l’ensemble de ces données
Réponse : c. Le RGPD s’applique dès qu’il y a une collecte d’informations personnelles et pas seulement des informations médicales.
2 Le RGPD concerne les données personnelles :
a) sous format numérique
b) sous format papier
c) quel que soit leur format
Réponse : c. Tous les formats de données sont en effet concernés mais les moyens à mettre en oeuvre pour les sécuriser sont différents.
3 J'effectue la mise à jour de mon registre de traitement des données :
a) tous les cinq ans
b) tous les ans
c) dès que j’effectue un changement dans la gestion des données
Réponse : c. La tenue et la mise à jour de ce registre sont obligatoires et prévues par l’article 30 du RGPD.
4 Je conserve les données collectées auprès de mes patients :
a) indéfiniment
b) pendant 20 ans à compter de la date de la dernière prise en charge, ou 10 ans après le décès du patient
c) pendant une période que j’aurai prédéterminée dans mon registre
Réponse : b. Plus précisément, il est recommandé de les conserver : en base active, pendant une durée de cinq ans à compter de la dernière intervention, puis sous forme archivée, sur un support distinct, pendant quinze ans, dans des conditions de sécurité équivalentes.
5 Les informations collectées dans le dossier patient doivent :
a) être toujours les mêmes d’un patient à l’autre
b) s’en tenir au minimum nécessaire à sa prise en charge
c) être aussi exhaustives que possibles
Réponse : b. Les informations collectées doivent être pertinentes et répondre aux besoins de la prise en charge : gestion des rendez- vous, établissement d’un devis, télétransmission de feuilles de soins, envoi de compte rendu aux médecins…
6 Pour m'assurer de la sécurité des données, je dois :
a) établir un contrat avec chaque sous-traitant
b) éviter de sous-traiter
c) enquêter sur chaque sous-traitant auprès de la Cnil
Réponse : a. Noah, les logiciels de gestion, de comptabilité, les organismes de crédit, les assurances, les complémentaires… sont des sous-traitants auxquels vous faites appel au quotidien : difficile de s’en passer ! Un contrat vous protège si ces derniers commettent une faute avec les données de vos patients ou celles de vos salariés.
7 L'agrément ou la certification pour l'hébergement de données sensibles (HDS) concerne :
a) mon centre d’audioprothèse
b) tout prestataire extérieur qui héberge les données de mes patients
c) à la fois mon centre et les prestataires extérieurs
Réponse : b. L’agrément ou la certification (HDS) est nécessaire pour les hébergements extérieurs, selon l’article L. 1111-8 du Code de la santé publique. Mais l’audioprothésiste doit s’assurer de cette certification pour protéger les données de ses patients.
8 Mon patient déménage et veut changer d'audioprothésiste. Pas de souci, j'envoie le dossier patient par mail...
a) avec ma bonne vieille adresse hotmail
b) j'utilise la messagerie sécurisée pour les professionnels de santé MSSanté
c) j’utilise une messagerie classique, mais sécurisée
Réponse : Idéalement b, sinon c, avec chiffrage de la pièce jointe, mot de passe pour l’ouvrir et utilisation d’un protocole en garantissant la confidentialité.
9 Mon nouveau patient est déjà appareillé. En professionnel consciencieurs, j'accepte de le prendre en charge, mais impossible d'accéder à ses réglages depuis mon logiciel, c'est verrouillé !
a) c'est un procédé classique pour sécuriser sa clientèle. Je contacte le fabricant pour tenter de lever le verrou
b) c’est normal : seul le patient peut débloquer le transfert des données de réglages
Réponse : b. C’est pour garantir la sécurité des données. Vous pourrez néanmoins débloquer en contactant l’audio ou le fabricant, et en fournissant quelques données sur votre patient.
