RGPD : applicable partiellement au médecin solo

15/11/18 à 23:30 - Mise à jour à 15:43

Le jdM faisait sa couverture récemment (n°2560) des difficultés d'application du Règlement général 2016/679 de protection des données (RGPD) notamment au cabinet du médecin généraliste soliste ou en groupe. Un avis du Conseil national de l'Ordre des médecins* pourrait laisser penser que le médecin individuel sort du champ du RGPD. Mais selon les services juridiques de l'Absym, le RGPD est incontestablement applicable partiellement au médecin solo.

RGPD : applicable partiellement au médecin solo

© BELGIAN_FREELANCE

Le RGPD est d'application dès lors qu'un résident européen est affecté par un traitement de " données à caractère personnel ", c'est-à-dire toutes les informations concernant une personne physique identifiée ou identifiable, précise Anne-Françoise Ziegels, secrétaire générale des Chambres syndicales Brabant wallon-Hainaut-Namur et juriste d'entreprise. " Un 'traitement' consiste en toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. "

Le médecin est dès lors bien entendu concerné par ce règlement et les obligations qu'il comprend (vis-à-vis de ses patients mais également vis-à-vis d'éventuels membres de personnel qu'il aurait engagés).

Sanctions jusque 4% du chiffre d'affaire

Toutefois, le médecin doit-il respecter l'intégralité du RGPD ? " La question relève de la plus haute importance quand on sait que les sanctions en cas de violation du RGPD peuvent aller jusque 4% du chiffre d'affaires consolidé et que les responsables du traitement ont l'obligation de communiquer les violations éventuelles des données qu'ils traitent dans les 72 heures après avoir pris connaissance de la violation. "

C'est un peu du cas par cas. Dans les grands axes, le médecin a obligation d'avoir une " privacy policy " c'est-à-dire un document visant à informer les personnes dont on traite les données de toute série d'éléments : droits dont elles bénéficient, finalités du traitement, base juridique de ce traitement, coordonnées du responsable de traitement etc. Le médecin doit éventuellement tenir des registres du traitement et avoir un délégué à la protection des données, faire des analyses d'impact, des contrats de sous-traitance et enfin doit prendre des mesures de sécurité dans le cadre de ce traitement.

" Pour toutes ces obligations, le RGPD prévoit les hypothèses dans lesquelles le responsable du traitement doit les respecter etdans quels cas il peut y échapper. Ainsi, par exemple, le délégué à la protection des données (DPO) est notamment exigé lorsque le traitement est effectué par une entreprise dont les activités consistent en un traitement à grande échelle de catégories particulières de données, dont notamment les données de santé. La question est donc de savoir si le médecin en pratique solo fait du travail 'à grande échelle' et s'il doit dès lors avoir un DPO ? Le nouveau règlement ne définit pas ce concept. Seul le considérant 91 du RGPD précise que le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. "

Traitement à grande échelle

Dans de tels cas, une analyse d'impact relative à la protection des données ne devrait pas non plus être obligatoire. " La Commission de la Vie Privée (Autorité de Protection des données) a également précisé sur son site que le traitement de données de patients par un médecin individuel n'est pas considéré comme un traitement à grande échelle. Dès lors, un tel médecin solo ne doit pas avoir un DPO ni faire d'analyse d'impact. C'est en réalité uniquement de cette obligation précise que traite le point 4.2. de la présentation de l'ordre des médecins "

On peut donc conclure que le RGPD est applicable au médecin individuel mais toutes les obligations du RGPD ne lui sont pas applicables.

*Avis a161003 du 21/04/2018.