Le vendredi 25 mai 2018, le Règlement sur la Protection des Données ou RGPD entrera en application. Elle consiste en la mise en œuvre des directives européennes sur la protection des données personnelles.
Cette nouvelle règlementation a principalement pour but :
D’uniformiser et renforcer les pratiques permettant la protection des données personnelles
De responsabiliser les responsables de traitements
De donner à la CNIL un pouvoir « d’autorité » (c’est-à-dire de sanction) plus dissuasif en cas de manquement grave.
Les données personnelles de santé
Le règlement encadre donc la collecte et le traitement d’informations personnelles, dont les données personnelles médicales font partie et dont elles constituent un ensemble particulièrement sensible.
Par la pratique quotidienne de son métier, l’orthophoniste est amené à collecter et à traiter des données personnelles de santé.
Définissons d’abord les données à caractère personnel. Il s’agit de toute donnée permettant d’identifier une personne de façon :
- directe par son nom, prénom
- indirecte par recoupement d’une ou plusieurs données associées au patient (initiales, adresse, numéro de sécurité sociale, numéro de téléphone, école et classe fréquentées, photographie, etc.).
Abordons maintenant le caractère médical des données. Dès l’instant où un professionnel médical ou paramédical saisit des données d’un patient identifiable (directement ou indirectement donc) et en lien avec une prise en charge, un diagnostic, un suivi médico-social ou de la prévention : il s’agit de données personnelles de santé.
L’utilisation d’un logiciel de facturation/télétransmission, la collecte de l’anamnèse, la rédaction d’un compte-rendu de bilan, l’utilisation de fiches de suivi de séances sont donc autant d’actions qui relèvent d’un traitement de données personnelles de santé.
Avec la mise en place du RGPD, il convient aux professionnels médicaux en général, et aux orthophonistes en particulier, de :
- S’assurer de la pertinence de la finalité de chaque traitement (facturation/télétransmission, suivi médical, etc)
- Cartographier ces traitements dans un registre des activités de traitement (voir modèles PDF ou Excel mis à disposition par la CNIL)
- Respecter les contraintes légales et fondamentales :
- Information explicite du patient
- Durées de conservation/d’archivage
- Utilisation de mots de passe sécurisés
- Documenter la bonne mise en place et le respect de ses pratiques
Ces éléments sont à prendre en compte avec d’autant plus d’attention lorsque les données de santé transitent ou sont stockées par Internet (messagerie, cloud, applications web, comptes partagés, etc).
Les données de santé sur Internet
De plus en plus d’orthophonistes ont recours à l’outil informatique de façon systématique dans la gestion de leur patientèle et de leurs prises en charges. Les domaines d’activités sont nombreux :
- Les outils de facturation/télétransmission
- Partage de documents de santé (Dropbox, Google Drive et autres stockages dans le « cloud »)
- La gestion d’agenda/rendez-vous (Google Agenda, Outlook)
- La tenue d’une liste d’attente priorisée
- Les outils de prise de notes (OneNote, Evernote)
- Les supports de rééducation (logiciels de jeux/exercices, les applications sur mobiles/tablettes)
Dans tous ces cas, il faut se poser les questions suivantes :
- Les données que je saisis sont-elles stockées sur mon poste de travail ou sur Internet ?
- Si ces données sont stockées sur Internet, par qui et comment sont-elles hébergées ?
La réponse à la seconde question est primordiale car elle engage votre responsabilité vis-à-vis de vos patients en tant que responsable de traitement : s’agissant de données personnelles de santé, lorsqu’elles sont stockées sur Internet, elles doivent impérativement l’être par un hébergeur agréé de données de santé. L’agrément est fourni par le ministère de la santé via l’ASIP au terme d’une procédure de certification qui permet d’attester de la protection de données de santé par l’hébergeur (infrastructures techniques, procédures, etc.). L’ASIP propose et met à jour régulièrement la liste de l’ensemble des hébergeurs agréés de données de santé ainsi que le périmètre de leur agrément (cloud, infrastructure technique, hébergement d’applications, etc.).
Les bonnes pratiques
Donc, tous les outils « web » que vous utilisez dans le cadre de vos prises en charges et où vous stockez des informations liées aux patients, doivent être installés chez un hébergeur agréé de données de santé.
Pour la plupart de ceux cités en exemple plus haut, du moins ceux qui stockent leurs données sur Internet, ils ne sont clairement pas, à l’heure actuelle, hébergés par des prestataires agréés de données de santé.
Les utiliser pour assurer le suivi et la planification de vos prises en charges vous met donc en défaut par rapport à la législation en vigueur, indépendamment d’ailleurs de la mise en place du RGPD, puisqu’elle date de 2006 (voir décret du 4 janvier).
Comment savoir si l’outil que vous utilisez via Internet est hébergé par un prestataire agréé ?
Le premier réflexe est de consulter les conditions générales d’utilisation ou les mentions légales du site ou de l’application utilisée : l’éditeur doit y faire apparaître le prestataire qui en assure l’hébergement des données. Il suffit ensuite de vérifier que sur le site l’ASIP, un agrément a bien été émis pour le prestataire en question.
Le fait de passer par un hébergeur agréé de données santé génère pour l’éditeur un coût bien supérieur à celui d’un hébergement web « classique ». Si cela n’est pas mentionné par l’éditeur, il y a de grandes chances que ce ne soit pas le cas. Dans le doute, n’hésitez pas à demander à l’éditeur de l’outil que vous utilisez, par qui sont hébergées les données personnelles de santé.
Et Mon Bilan Ortho et le RGPD dans tout ça ?
Mon Bilan Ortho est un outil qui :
- utilise Internet (c’est une « application web »)
- propose des fonctionnalités liées à la prise en charge orthophonique : gestion de liste d’attente, suivi de la rééducation, aide à la passation de bilan
Il va donc de soi que nous devions faire héberger notre application par un prestataire agréé. C’est pourquoi, dès le début, nous avons fait appel à la société Netplus, qui est un hébergeur agréé par l’ASIP pour des offres d’hébergement d’application web « santé », de cloud, de mise à disposition d’infrastructure.
En faisant héberger Mon Bilan Ortho par Netplus, nous garantissons une protection des données avec un haut niveau d’exigence mais surtout, nous garantissons le respect de législation notamment du point de vue de ceux qui utilisent Mon Bilan Ortho : les orthophonistes.
Utiliser Mon Bilan Ortho dans le cadre du suivi de vos prises en charges, c'est l'assurance de respecter la législation du point de vue du stockage des données de santé que vous traitez. Cele ne vous dispense évidemment pas de respecter les procédures et formalismes imposés par le RGPD !
Ce qu’il faut retenir
En résumé, en tant qu’orthophoniste, vous collectez et traitez des données personnelles de santé, c’est un fait.
Où sont stockées ces données ?
- Sur votre poste de travail protégé par un mot de passe ? Dans votre bureau fermé à clé ? Pas d’inquiétude.
- Sur Internet ou dans le cloud via des logiciels ou site web ?
- S’ils sont hébergés par un hébergeur agréé, à nouveau, pas d’inquiétude.
- Si ce n’est pas le cas, vous devez impérativement adapter vos méthodes de travail et cesser d’utiliser ces outils
La mise en place du RGPD ne change d’ailleurs rien à cette logique puisque ces contraintes légales existent depuis le décret de 2006 Le règlement qui entre en vigueur dès demain, vient en plus imposer un formalisme (registre des traitements, nécessité de documenter la conformité) et augmenter les sanctions possibles (4% du chiffre d’affaire de l’année précédente, soit 2000€ pour un chiffre d’affaire annuel de 50 000€, c’est non-négligeable).
N’hésitez pas à nous interpeller sur Facebook ou sur Twitter pour solliciter notre aide sur ces questions.
