• Écrit par

Regard critique sur le RGPD

Télécharger le document
Information dentaire

La Revue

L'hebdo de la médecine bucco-dentaire
44 numéros par an

Abonnez-vous

Le Règlement général sur la protection des données (RGPD) est le nouveau cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à caractère personnel des individus (règlement n° 2016/679). Il est entré en vigueur le 25 mai 2018. Il s’applique à toutes les entités implantées dans un pays européen qui traitent des données à caractère personnel, ainsi qu’à toutes les entités à travers le monde qui traitent des données à caractère personnel appartenant à des résidents de l’Union.
Selon la plupart des commentateurs, l’objectif du RGPD est « une meilleure protection du consommateur ». L’Union européenne a en effet pris conscience du danger que représente la possible commercialisation des données personnelles par certaines entreprises, notamment les fameux GAFA (acronyme désignant les quatre géants du web que sont Google, Apple, Facebook et Amazon).

En France, c’est la Commission nationale de l’Informatique et des libertés (Cnil), autorité administrative indépendante, qui est chargée par la loi de veiller à l’application du RGPD (loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles). Ainsi qu’elle le rappelle, « le secteur de la santé est d’autant plus impacté par ce texte que les données de santé bénéficient d’un régime de protection renforcée car elles sont considérées comme des données sensibles ». Il est en effet interdit de recueillir et d’utiliser une donnée sensible, c’est-à-dire une information qui révèle les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne physique, sauf dans certains cas précis, notamment :
– si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;
– si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé ;
– si leur utilisation est justifiée par l’intérêt public et autorisée par la Cnil ;
– si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

Les chirurgiens-dentistes, tout comme les médecins, sont donc directement concernés car ils sont conduits à recueillir et à traiter certaines données personnelles de leurs patients en constituant notamment pour chacun d’entre eux un dossier médical.

En pratique, il peut s’agir de données d’identification comme les nom, prénom, adresse, ou numéro de téléphone, d’informations sur la vie personnelle du patient (par exemple : nombre d’enfants), sa couverture sociale (par exemple : assurance maladie obligatoire, assurance maladie complémentaire, etc.) et surtout d’informations relatives à sa santé (pathologie, diagnostic, prescriptions, soins, etc.), les éventuels professionnels qui interviennent dans sa prise en charge. Les chirurgiens-dentistes détiennent également, dans le cadre de leur exercice, le numéro de Sécurité sociale des patients pour facturer les actes réalisés.

Un cadre commun à des activités et professions hétérogènes…

Le RGPD s’applique au traitement, automatisé ou non, des données à caractère personnel, réalisées sur support informatique mais également sur support papier.

Selon le Conseil National de l’Ordre des Chirurgiens-dentistes (voir la Lettre n° 168 de juin 2018 qui consacre une étude approfondie à cette nouvelle réglementation), « le RGPD encadre le traitement des données personnelles au sein de l’Union. Ce règlement harmonise les règles en Europe en offrant un cadre juridique commun aux professionnels ».
Or il ne s’agit pas d’offrir mais d’imposer (sous peine de sanctions) un cadre juridique commun aux professionnels, ce cadre posant problème justement parce qu’il est commun à des activités ou professions hétérogènes, les unes sans déontologie contraignante et les autres réglementées et déjà soumises à de fortes contraintes réglementaires ou légales comme le secret professionnel.

Certaines des dispositions prévues, destinées à sécuriser le plus possible les flux d’information médicale, sont évidemment très utiles, notamment tout ce qui concerne la prise de rendez-vous par une plateforme en ligne ou par un prestataire de permanence téléphonique, l’utilisation de la messagerie électronique, des téléphones portables ou des tablettes ainsi que les modalités relatives à l’échange et au partage des données entre professionnels ; il ne faut en effet pas négliger le fait que la cybercriminalité se développe et que le piratage de dossiers médicaux n’est pas exclu, dans un but de chantage ou de rançon notamment.

Quid des dossiers médicaux ?

Une nouvelle disposition obligatoire nous paraît néanmoins critiquable. Elle concerne les dossiers médicaux : les patients doivent désormais être informés officiellement de l’existence de ces dossiers et de leurs droits à cet égard. Cette information doit se faire par voie d’affichage, dans la salle d’attente, ou par la remise d’un document spécifique (par exemple, un dépliant remis au patient ou mis à disposition dans la salle d’attente).

L’information doit comporter impérativement les éléments suivants :
– nom et coordonnées du praticien ;
– finalités et base juridique du traitement (par exemple : prévention, diagnostic et suivi des soins et travaux, télétransmission), y compris les finalités ultérieures ;
– destinataires des données (le patient, la CPAM…) ;
– durée de conservation des données (par exemple, vingt pour les données de santé) ;
– description des mesures de sécurité mises en place par le praticien.
Elle doit rappeler les droits des patients qui peuvent :
– accéder aux données les concernant ;
– rectifier ces données en cas d’erreur ;
– s’opposer au traitement pour des raisons tenant à leur situation particulière ;
– effacer les données, dans certaines situations particulières (dossier patient conservé trop longtemps, données non adéquates, par exemple) ;

– introduire une réclamation auprès de la Cnil.

Chaque demande portant sur ces droits doit être examinée dans un délai raisonnable. Dans le cas d’une demande d’accès au dossier « patient », le délai est obligatoirement de huit jours, porté à deux mois lorsque les informations datent de plus de cinq ans.
Parallèlement, le chirurgien-dentiste ou le médecin doit respecter les « bonnes pratiques » suivantes :
– limiter les informations collectées au nécessaire (puisqu’il est interdit de recueillir des données de santé sauf si ces données sont nécessaires dans un but médical), utiliser les dossiers patients conformément aux finalités définies ;
– tenir un registre à jour de ses « traitements de données » (forme écrite autorisant le format électronique ; la Cnil en propose un modèle en téléchargement et le Conseil National de l’Ordre des Chirurgiens-dentistes travaille sur l’adaptation spécifique de ce modèle à la profession dentaire) ;
– supprimer des dossiers patients et, de manière générale, toute information ayant dépassé la durée de conservation préconisée ;
– mettre en place les mesures appropriées de sécurité des dossiers patients ;

– informer les patients et s’assurer du respect de leurs droits.
Cette obligation nouvelle paraît inutile et contraignante : le patient sait bien que son praticien doit constituer et tenir à jour un dossier médical à son sujet pour pouvoir poser son diagnostic en toute connaissance de cause, effectuer les soins et travaux nécessaires puis en assurer la continuité (que penserait d’ailleurs un patient d’un praticien qui ne lui poserait aucune question sur son état de santé, les traitements médicaux qu’il suit, les médicaments qui lui sont prescrits, ne prendrait sur ces sujets aucune note sur papier ou support numérique, ne conserverait aucune trace des traitements effectués ou encore lui poserait les mêmes questions à chaque nouveau rendez-vous ?).

Le patient sait aussi qu’il peut avoir accès à tout moment à son dossier médical par le biais des articles L. 1111-7 et R. 1111-1 à R. 1111-8 du Code de la santé publique (loi du 4 mars 2002).
Devoir expliquer au patient pourquoi on constitue un dossier sur lui, pendant combien de temps il sera détenu (à supposer qu’on puisse le prévoir) et quelles précautions seront prises pour ne pas se le faire voler ou pirater, peut susciter de l’inquiétude chez le patient, voire de la défiance, et provoquer des contestations artificielles…
 

Conclusion pessimiste

Cette nouvelle réglementation aboutit à affaiblir le secret professionnel car, en quelque sorte, elle se substitue à lui comme si cette règle ancestrale et fondamentale, pierre angulaire de la confiance que le patient fait à son praticien, était devenue obsolète et insuffisante pour protéger la vie privée du patient.
De fait, respecter scrupuleusement le secret professionnel sans respecter le RGPD peut désormais entraîner des sanctions financières (amendes administratives infligées par la Cnil sous le contrôle du Conseil d’État).

Par ailleurs, cette nouvelle réglementation relative à l’information du patient sur la tenue du dossier médical et à l’obligation de tenir un registre à la disposition dudit patient s’ajoute à d’autres obligations plus ou moins récentes comme l’affichage des honoraires dans la salle d’attente (dernier arrêté du 30 mai 2018), la création du registre public d’accessibilité (dit RPA) que les chirurgiens-dentistes doivent détenir dans leur cabinet dentaire (décret du 28 mars 2017 et arrêté du 19 avril 2017) pour informer le public sur le degré d’accessibilité aux handicapés de son local professionnel et des prestations fournies.

Comment s’étonner alors que la perspective de si nombreuses contraintes détourne les jeunes médecins ou les jeunes chirurgiens-dentistes de l’exercice libéral ?

Laisser un commentaire