Le 27 avril 2016, le Parlement européen et le Conseil de l'Europe ont adopté un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, soit le Règlement général sur la protection des données (RGPD) qui est entré en vigueur le 25 mai 2018.

Étant donné que la déontologie médicale est impactée, le Conseil national de l'Ordre des médecins a rédigé un avis. Les médecins peuvent également poser leurs questions via : privacy@ordomedic.be.

Délégué à la protection des données

Grosso modo, le médecin ne doit pas modifier énormément ses pratiques.

Le médecin qui respecte la législation existante en matière de vie privée " ne devra que légèrement modifier ses pratiques ". En effet, les principes généraux de la réglementation liés au droit à la vie privée, concernant certains droits du patient et le secret professionnel, " restent inchangés ". Un médecin individuel ou une pratique de groupe " n'aura pas à investir beaucoup pour la mise en oeuvre de la nouvelle législation ". Il convient donc de se méfier des sociétés privées qui proposent, pour des sommes astronomiques, de mettre en oeuvre le RGPD dans la pratique.

Le changement substantiel concerne la désignation d'un " délégué à la protection des données " (DPD) et la tenue d'un " registre des activités de traitement ".

Le DPD " informe et conseille le responsable du traitement des données ou le sous-traitant de leurs obligations découlant du RGPD ou d'autres mesures de protection des données ". Il veille " au respect de la réglementation et de la politique en la matière, comme l'attribution de responsabilités, la conscientisation et la formation des personnes concernées par le traitement des données à caractère personnel ". Il " collabore avec l'autorité de contrôle et intervient comme point de contact ".

Toutefois, un médecin individuel ou une pratique de groupe ne doit pas désigner de DPD. Cela concerne les hôpitaux et les structures qui occupent au moins 250 travailleurs.

Registre des activités de traitement

Chaque médecin " doit tenir un registre des activités de traitement des données ". Il s'agit d'un fichier dans lequel le médecin décrit les données à caractère personnel qu'il collecte, comment il les sécurise, pour quelles raisons il les recueille, où il les conserve, pour quelle durée s'il les transfère.

C'est un embryon de structuration de la gestion des données. " Si le médecin constate qu'il ne sécurise pas bien certaines données à caractère personnel ou qu'il n'en a plus besoin pour l'exercice de sa profession de médecin, il devra prendre les mesures qui s''imposent. "

Le médecin indique les catégories de personnes ayant accès aux données à caractère personnel de ses patients. " Toute personne ayant accès aux dossiers des patients doit avoir signé une clause de confidentialité dans son contrat de travail de collaboration. " Ceci s'applique pour toute consultation des données pas forcément pour leur utilisation.

Collectant des données santé à caractère personnel de ses patients, le médecin doit prendre " toutes les mesures nécessaires pour respecter le droit à la vie privée du patient, pour sécuriser les données sensibles de façon optimale et éviter les 'fuites de données'. "

Lorsque le médecin transfert ce type de données à des tiers, il est tenu au secret professionnel. Il doit donc " apprécier si le patient n'est pas le mieux placé en raison de son droit à l'autodétermination pour décider quelles informations il souhaite partager et avec qui ".

Eviter les courriels

Le transfert doit s'effectuer via un réseau sécurisé avec plusieurs facteurs d'authentification et en aucun cas par courriel même à la demande du patient.

Si le médecin achète un logiciel de gestion de pratique, il doit se renseigner auprès du producteur à propos des paramètres de confidentialité. Celui-ci doit bien sûr respecter le RGPD. " Le médecin reste cependant responsable au cas où le software ne satisferait pas aux conditions légales. "

Le médecin doit vérifier si le fournisseur des appareils respecte les dispositions légales.

Si le médecin se rend compte de " fuites de données " via une personne non autorisée ayant eu accès aux données sensibles, il doit le signaler dans les 72 heures de la découverte.

À l'avenir, de nouvelles directives européennes devraient " préciser comment les acteurs des soins de santé doivent traiter les données des patients ".