Celui qui est médecin et veut désigner un DPO
Les médecins libéraux sont responsables d’une multitude de données personnelles : informations inscrites dans les dossiers patients, recueillies pour la prise de rendez-vous, échangées avec des collègues, fournisseurs et employés… À l’heure de la numérisation des données de santé, celles-ci deviennent particulièrement vulnérables aux cybercriminels, aux défaillances techniques et à l’erreur humaine. Que pouvez-vous faire pour vous prémunir contre ces risques ?
DES DONNÉES DE SANTÉ CONFRONTÉES À DES RISQUES MAJEURS
L’année 2021 avait été marquée par de multiples cyberattaques d’hôpitaux et la fuite des informations médicales de 500 000 patients d’une trentaine de laboratoires d’analyses. En 2022, les données de santé sont toujours à risque, comme en témoigne notamment la récente fuite massive de données de l’Assurance Maladie. Les attaquants avaient dérobé les informations personnelles de 510 000 assurés en forçant l’accès aux comptes Amelipro d’une vingtaine de professionnels de santé.
Généralement mal informés et mal protégés, les médecins libéraux ne sont pas à l’abri des risques de fuites de données. Les deux manquements les plus fréquents sont le défaut de sécurisation des données et la copie non autorisée.
Puisque les informations médicales qu’ils traitent sont des données personnelles, se rapportant à des personnes physiques identifiées ou identifiables, les médecins libéraux doivent respecter le RGPD. En cas de négligence, les conséquences sont graves :
Amende administrative de la CNIL pouvant représenter jusqu’à 4% du chiffre d’affaires
Peine judiciaire (« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d’amende », Art. 226-16 du Code pénal)
Sanction disciplinaire prononcée par le Conseil national de l'ordre des médecins
Réputation salie
Risque que les patients intentent une class action (action de groupe)
LE DPO, UN ALLIÉ DE CHOIX POUR SÉCURISER SES DONNÉES
Afin de respecter au mieux le RGPD, il est souhaitable de se faire accompagner par un DPO (délégué à la protection des données).
Tout d’abord, le DPO peut vous aider à lutter contre les risques de cyberattaques. Conscient des précautions à prendre, il est à même de vous conseiller sur les outils et techniques de sécurisation des données. Il faut savoir qu’un médecin victime d’une cyberattaque et n’ayant pas de DPO aura moins de chances d’obtenir un verdict favorable, car le juge peut estimer qu’il n’avait pas mis en oeuvre toutes les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (Art. 32 du RGPD).
Deuxièmement, le DPO peut établir un rapport de force plus équilibré entre les responsables de traitement (les professionnels de santé) et leurs sous-traitants. On imagine mal un professionnel de santé isolé imposer sa volonté à son éditeur de logiciel ou à sa société d’agenda en ligne. En revanche, épaulé par un DPO qui examine et valide les contrats, sa voix aura plus de poids.
Enfin, le DPO peut conduire une analyse d’impact. En principe, celle-ci s’impose lorsque l’on traite de données sensibles (comme les données de santé) concernant des personnes vulnérables (comme des patients). Un professionnel de santé qui choisit de se passer d’un DPO et de ne pas faire d’analyse de risques devra construire une argumentation solide pour justifier sa décision. De plus, en cas de problème (violation de sécurité, plainte d’un patient…), les juges seront beaucoup moins compréhensifs. On constate donc qu’il est finalement beaucoup plus simple et rassurant d’être conseillé par un DPO, qui veillera aussi sur vos propres données personnelles en tant que professionnel.
Face à des risques démultipliés de fuites de données, le DPO est l’allié du professionnel de santé !