Nous respectons votre vie privée

Nous utilisons des cookies pour améliorer votre expérience de navigation, diffuser des contenus personnalisés et analyser le trafic sur notre site internet. En cliquant sur « Tout accepter », vous accepterez l'utilisation des cookies. Pour plus d'informations, vous pouvez consulter notre Politique de confidentialité.

logo urps ml hdf rvb
Contactez-nous
Nous
écrire
Nous
appeler

Menu
- -

RGPD

Cet article vous plait ?
Partagez-le sur les réseaux !

Comprendre le RGPD dans le cadre de votre cabinet

Le RGPD ou le Règlement Général sur la Protection des Données, permet de protéger les données personnelles sur le territoire de l’Union Européenne. S’appliquant au secteur de la santé, vous êtes donc directement concernés par les données sensibles que vous émettez et recevez en lien avec vos patients (dossiers patient, plateforme de rendez-vous en ligne, …) ou la gestion de votre cabinet (gestion du personnel, gestion des fournisseurs, …).

Pour vous apporter toutes les informations sur le RGPD, l’URPS Médecin libéraux des Hauts-de-France et l’Assurance Maladie ont organisé un webinaire le jeudi 06 juillet 2023.

L'essentiel en vidéo

Les éléments clefs à connaitre

Cliquez sur une pastille orange pour découvrir le contenu associé.

schema explicatif rgpd medecins liberaux urpsmlhdf

Outils
numériques

Outils
numériques

Identification
du patient

Archivage

Formalités
auprès de la CNIL

Secrétariat & gestion
du dossier patient

Dossier patient

Information aux patients
sur le traitement des données

DPO ou
« Data Protection Officer »

Accès & échange des données
de santé des patients

Obligation de sécurisation des données

Télémédecine

Pharmacie

Établissement
de santé

Téléchargez l’ensemble des fiches pratiques détaillant tous les éléments à connaître

Télécharger

Concrètement, comment tenir un registre des traitements de données ?

Vous êtes concerné par le RGPD, quelle que soit votre taille de structure, même si vous exercez seul : en tant que professionnels de santé, vous collectez des données personnelles (sensibles ou non) sur vos patients, salariés, fournisseurs, etc., qu’elles soient en format papier ou numérique.
Vous devez donc tenir un registre des traitements de données.

Ne fuyez pas ! Ça peut paraître chronophage mais c’est finalement assez simple à mettre en place et nous allons vous aider pour être ainsi protégé des risques de poursuite.

Le registre de traitement des données ne comprend « que » : 

  • Une page de garde 
  • La ou les fiches traitement par base de données 

EXEMPLES

  • Vos dossiers patients constituent 1 base de données et doivent faire l’objet d’1 fiche de traitement ;
  • votre annuaire de contacts professionnels constitue 1 autre base de données et doit faire l’objet d’1 fiche de traitement. Il est à tenir à disposition en cas de contrôle de la CNIL et serait à fournir dans le cadre d’une plainte d’un patient relative à ces données.

Vous avez des questions ?
N’hésitez pas contacter notre DPO !

Contactez notre DPO

Un guide pratique pour vous aider

Votre Union des URPS a élaboré un guide complet qui synthétise les obligations du RGPD pour les médecins libéraux et donne des pistes concrètes pour se mettre en conformité.
Dernière mise à jour : Février 2025.

Dans ce guide, vous trouverez :
  • La méthode à utiliser
  • Les définitions réglementaires
  • La page de garde du registre à compléter
  • La fiche de traitement à compléter et qui sera à dupliquer autant de fois que vous avez de base de données
  • Une aide pour le remplissage de ces pages de garde et fiches de traitement à partir d’un exemple concret.
  • Des liens utiles pour l’actualisation et la mise à jour.

Si la CNIL vous propose un modèle et un tuto, nous vous proposons un outil accessible et intuitif, reprenant la version du 13 avril 2018 sur le site de la CNIL.

visuel rgpd registre explication urpsmlhdf

Téléchargez la fiche méthodologique sur le registre des traitements de données

Télécharger
visuel affiche rgpd cabinet urpsmlhdf

Téléchargez l’affiche RGPD
pour votre cabinet

Télécharger
visuel doc rgpd registre vierge urpsmlhdf

Téléchargez le registre vierge à compléter

Télécharger
visuel doc rgpd fiche a remplir vierge urpsmlhdf

Téléchargez la fiche de registre vierge à compléter

Télécharger

Des ressources utiles pour aller plus loin

Pour approfondir votre compréhension du RGPD et accéder à des documents complémentaires, consultez les ressources suivantes :

logo cnil
logo conseil national ordre médecins
Pour toute question sur ce dossier, le Pôle Numérique en Santé vous répond :
Contactez-nous
Vous souhaitez recevoir la NEWSLETTER URPS ML ?
Inscrivez-vous ici

Siège social

11 Square Dutilleul
59800 LILLE

03 20 14 93 30

Antenne d’Amiens

Vallée des Vignes
27 avenue d’Italie
80090 AMIENS
Tel: 03 22 33 35 55

logo urps ml hdf blanc sans baseline

Suivez-nous
sur les réseaux

Accès rapides

Liens utiles

© Copyright 2024 – URPS Médecins libéraux Hauts de France – Conception et création site internet JUST DO WEB

Outils numériques

Messagerie sécurisée

messagerie urpsmlhdf

La messagerie sécurisée est un espace de confiance au sein duquel les professionnels habilités à échanger des données, en ville, à l’hôpital, ou dans les structures médico-sociales, peuvent s’échanger par mail des données de santé de manière dématérialisée en toute sécurité.

Pour les échanges avec d’autres professionnels, non professionnels de santé, intervenant dans la prise en soin du patient, l’utilisation d’une messagerie standard implique de chiffrer les pièces sensibles à transmettre.
Attention, votre corps de mail ne doit comporter aucunes informations sur les données de santé du patient.

Cependant, nous vous recommandons d’utiliser des messageries sécurisées hébergeurs de données de santé ou d’utiliser la messagerie sécurisée de santé de Mon Espace Santé.

Échanges sécurisés avec l’usager

echanges securises urpsmlhdf

Les professionnels de santé équipés d’une messagerie sécurisée peuvent échanger avec leurs patients via la messagerie sécurisée de mon espace santé (MSS-C) de Mon Espace Santé, à condition que l’usager ait bien activé son compte.

Pour les ordonnances, vous pouvez utiliser la messagerie sécurisée de Mon Espace Santé. L’initiation d’un échange avec l’usager doit être faite par le professionnel de santé. Elle permet d’échanger des messages mais également des documents.

Certains outils ne sont pas adaptés pour recevoir ou communiquer des données de santé (ex: Whats’App, gmail, etc…).

Sécurisation de vos outils numériques

  • Ordinateur : Utilisation d’un mot de passe de 12 caractères (chiffres, lettres majuscules et minuscules, caractères spéciaux), à renouveler régulièrement et verrouillage de votre session informatique automatiquement après 30min d’inactivité.
  • Votre tablette ou votre téléphone portable peuvent être utilisés, dans le cadre de votre activité professionnelle, à condition de respecter des règles de sécurité. Il est déconseillé de conserver des informations d’ordre médical dans la mémoire interne de votre tablette ou téléphone portable.
Télécharger la fiche

Identification du patient

Certains éléments permettent d’identifier le patient sans avoir besoin de collecter son nom ou prénom.

Une personne peut être identifiée :

  • Directement (exemple son nom et prénom)
  • Indirectement (exemple : un identifiant, un numéro de téléphone, une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, ….)

L’identification d’une personne physique peut être réalisée :

  • À partir d’une seule donnée (INS*, numéro de sécurité sociale, …)
  • À partir d’un ensemble de données (exemple : une femme vivant à telle adresse, date de naissance, …)

* L’Identité Nationale de Santé (INS) permet de disposer d’une identité unique, pérenne et partagée par tous les acteurs de santé d’un même patient. Il comporte 5 traits obligatoires permettant de créer une identité : nom de naissance, premier prénom de naissance, date de naissance, sexe et code INSEE du lieu de naissance.

Télécharger la fiche

Archivage

Dossiers sous format papier

Vos locaux doivent être sécurisés, armoire contenant les dossiers fermée à clé.

Le RGPD s’applique peu importe le choix du support des dossiers patients (informatique ou dossier papier). Attention vous êtes responsable des données recueillies.

dossiers sous clés urpsmlhdf

Conservation des dossiers

20 ans à compter de la date de la dernière consultation du patient :

  • Patient mineur : si le délai de 20 ans expire avant son 28ème anniversaire, la conservation des informations le concernant doit être prolongée jusqu’à cette date.
  • Décès d’un patient : si le patient décède moins de 10 ans après sa dernière consultation, les informations le concernant doivent être conservées pendant 10 ans à compter de la date du décès.
  • En cas d’action en justice : mise en cause de la responsabilité du médecin, il convient de suspendre ces délais de conservation.
Télécharger la fiche

Formalités auprès de la CNIL

Depuis le 25 mai 2018, vous n’avez plus de formalités à réaliser auprès de la CNIL.
Seul un registre des activités de traitement recensant tous les traitements de données est à établir.

Le registre des activités

Document de recensement et d’analyse, présentant la réalité de vos traitements de données.

Les éléments devant figurer sur ce registre :

  • Les parties prenantes (représentant, sous-traitants, …) qui interviennent dans le traitement des données
  • Les catégories de données traitées
  • À quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles
    sont communiquées
  • Combien de temps vous les conservez
  • Comment elles sont sécurisées

Afin de vous accompagner, nous mettons à votre disposition un exemple de registre des activités.
N’hésitez pas à le télécharger.

Télécharger l'exemple

Les sanctions

sanction cnil urpsmlhdf

Sanction administrative de la CNIL : La CNIL peut prononcer, en fonction de la gravité du non-respect de la réglementation, des amendes administratives allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Sanction pénale :

  • Pour une personne physique, de 5 ans d’emprisonnement et 300 000 d’euros d’amende
  • Pour une personne morale, 1,5 millions d’euros d’amende

À noter : si la CNIL constate un défaut de conformité et vous met en demeure de vous conformer, vous avez encore la possibilité d’adopter les mesures nécessaires pour éviter une sanction.

À savoir : en décembre 2020 deux médecins libéraux ont été condamnés par la CNIL à une amende de 3 000 euros pour le premier médecin et 6 000 euros pour le second, pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL, conformément au RGPD1.

1. CNIL, délibérations n° SAN-2019-014 et n° SAN-2019-015, 7 décembre 2020

Télécharger la fiche

Secrétariat et gestion du dossier patient

La prise de rendez-vous

Lors de la prise de RDV, sont collectées, enregistrées et utilisées des données personnelles concernant vos patients (identité, coordonnées personnelles, motif de consultation) par votre cabinet, par un prestataire tiers de permanence téléphonique, par une plateforme en ligne.

  • Responsabilité : Vous restez « responsable de traitement » des données d’identification des
    patients et des données de santé collectées lors de la prise de rendez-vous
  • Sécurisation : sécurisation du planning et de son contenu, enregistrement des données
    strictement nécessaires
  • Suppression des données : Les données relatives à la prise de rendez-vous peuvent être
    supprimées lorsqu’elles ne sont plus nécessaires.

Accès au dossier patient

dossier patient urpsmlhdf

Le personnel administratif n’a pas un accès global aux dossiers patients mais uniquement à certaines informations (nom, prénom, code acte, NIR, date de
consultation), informations pouvant être adressées aux organismes d’assurance maladie via la télétransmission ou les feuilles de soins.

Les ordonnances

Les secrétaires peuvent-elles intégrer les ordonnances au dossier patient ?

Les secrétaires peuvent s’occuper de scanner les ordonnances (à condition qu’il n’y ai aucune modification du document par les secrétaires) ou comptes rendus afin de les intégrer au logiciel du médecin.

impression ordonnances urpsmlhdf

Les secrétaires peuvent-elles réimprimer les ordonnances perdues ?

Les secrétaires médicales ne sont pas autorisées à réimprimer des ordonnances
perdues. En cas de demande d’un patient, elle doit donc transmettre au
médecin la demande de réédition de l’ordonne, le médecin décidera, s’il réédite
l’ordonnance sans revoir le patient. Si il décide de rééditer une ordonnance sans
revoir le patient, il rédigera alors la nouvelle prescription ou la réédité ainsi la secrétaire pourra
l’adresser au patient.

À savoir également que si le patient a déjà déposé une première fois son ordonnance en pharmacie et que celle-ci n’est pas périmée, le patient peut pour un traitement en renouvellement, se rendre dans sa pharmacie et demander d’utiliser l’ordonnance scannée lors de votre premier passage.
Pour éviter, ces situations, nous vous recommandons d’inciter les patients à activer leur espace DMP afin que les ordonnances puissent être dématérialisées.

Télécharger la fiche

Dossier patient

Quelles sont les informations que je peux collecter et garder sur mon patient ?

  • Informations cohérentes avec la prise en soin du patient
  • Limitées à ce qui est nécessaire
  • Pas d’informations relatives à la vie privée sauf si elles sont en lien et nécessaire pour la prise en charge

Mon patient me demande son dossier patient, que dois-je faire ?

  • Délai pour répondre : un délai maximum de 8 jours.
    Si les informations médicales remontent à plus de 5 ans, le délai maximal de réponse est de 2 mois.
  • Support pour communiquer le dossier patient : à décider avec l’usager (ex : messagerie sécurisée de Mon Espace Santé, …)
Télécharger la fiche

Information aux patients sur le traitement des données

Information des patients portant sur le traitement des données

info patient rgpd urpsmlhdf

En tant que médecin vous devez délivrer une information aux patients portant sur le traitement de données dans le cadre de leur prise en charge (logiciel de suivi, dossier papier). Elle peut être délivrée à l’oral, à l’écrit ou par tout autre moyen (affichage
dans les lieux de soins, dans les secrétariats, ….).

À savoir que pour la collecte et la conservation des données de santé, vous n’avez pas besoin de recueillir le consentement des patients.

L’information doit comporter les éléments suivants :

  • Votre nom et vos coordonnées
  • Les finalités et la base juridique du traitement, y compris les finalités ultérieures
  • Les destinataires des données
  • La durée de conservation
  • Les droits de la personne : accès, rectification, à certaines conditions effacement, limitation, opposition, …
  • Le caractère obligatoire des données fournies et des conséquences éventuelles d’un défaut de réponse
  • Le cas échéant, utilisation ultérieure des données pour une finalité autre que celle pour laquelle les données ont été collectées (ex : utilisation ultérieure des données à des fins de recherche.

Droit des patients sur les données

Les patients peuvent :

  • Accéder aux données les concernant
  • Rectifier ces données en cas d’erreur
  • S’opposer au traitement pour des raisons tenant à leur situation particulière
  • Effacer les données, dans certaines situations particulières (dossier patient conservé trop longtemps, données non adéquates, …)

Afin de vous accompagner, nous mettons à votre disposition un exemple d’affiche à personnaliser.
N’hésitez pas à le télécharger.

Télécharger l'exemple
Télécharger la fiche

DPO ou « Data Protection Officer »

Qu’est-ce qu’un DPO ?

Délégué à la protection des données. Le DPO est chargé de piloter la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné, s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Est-ce que je dois nommer un DPO ?

  • Exercice individuel : pas d’obligation de désigner un DPO

  • Exercice en groupe : Si vous estimez que vous traitez des données de santé à grand échelle (ex : exercice au sein d’un réseau de professionnels, MSP, dossiers partagés entre plusieurs professionnels de sante, etc.), 2 possibilités :
    • Désigner un DPO en interne
    • Solliciter les services d’un DPO externe (consultants, cabinets d’avocats, etc.)
Télécharger la fiche

Accès et échange des données de santé des patients

L’accès aux données médicales est limité aux informations strictement nécessaires à l’exercice de leur profession et donc à la prise en soin de l’usager.

De manière générale aucun document médical n’est communicable à un tiers (personne de confiance, avocat, assurance, banque, etc..).

Échange au travers du dossier patient entre professionnels de santé

Vous pouvez être amené à échanger et partager des informations entre professionnels de santé ou avec les autres professionnels des champs sociaux et médico-social.

Dans le cadre d’une équipe de soins :
Les professionnels participant à la prise en charge d’une même personne peuvent échanger ou partager les seules informations strictement nécessaires à la coordination ou à la continuité des soins, à la prévention, ou au suivi médico-social et social du patient concerné. Les informations échangées et partagées sont limitées au périmètre des missions de chacun des professionnels.
Le professionnel de santé devra informer le patient de l’échange et du partage sécurisé de ses informations.

En dehors de l’équipe de soins, le consentement préalable du patient est nécessaire

Télécharger la fiche

Obligation de sécurisation des données

Hébergement des données de santé

Le choix de l’hébergement des données de santé de vos patients est crucial. Afin d’assurer la protection des données sensibles des patients, les serveurs doivent respecter des normes strictes en matière de sécurité et de confidentialité.

En France, une certification « HDS » permet d’attester que l’hébergeur respecte les exigences réglementaires en matière de protection des données de santé.

Sauvegarde 1-2-3

En tant que responsable des données de santé de vos patients, nous vous conseillons d’appliquer la méthode de sauvegarde 1-2-3. Elle permet d’assurer une protection robuste et fiable des données en cas de perte, de panne matérielle ou de cyberattaque. Voici un aperçu de la méthode de sauvegarde 1-2-3.

schema rgpd sauvegarde 1 2 3 urpsmlhdf
Télécharger la fiche

Télémédecine

Les vigilances à avoir en cas de mise d’une activité de télémédecine :

  • Avant de faire votre choix sur le logiciel ou la plateforme que vous allez utiliser, vous devez vous assurer qu’il respecte la réglementation liée au RGPD.
  • Vous devez être vigilant sur l’utilisation, la collecte et les mesures de sécurité par l’éditeur des données personnelles et de santé des patients.
  • Vous devez également vous assurer que le logiciel ou la plateforme soit hébergé par un hébergeur de données de santé agréé ou certifié.
Télécharger la fiche

Pharmacie

Avec l’accord du patient, puis-je transmettre son ordonnance à une pharmacie via une messagerie non sécurisée ?

Malgré l’accord du patient, il n’est pas recommandé de transmettre une ordonnance via une messagerie non sécurisée. Pour les ordonnances, vous pouvez utiliser la messagerie sécurisée de Mon Espace Santé. Vous pouvez également mettre directement l’ordonnance via Mon Espace Santé afin que le patient puisse directement transmettre l’ordonnance à la pharmacie de son choix depuis leur messagerie sécurisée.

Télécharger la fiche

Établissement de santé

En cas d’hospitalisation d’urgence, peut-on transmettre des informations entre professionnels de santé ?

Lorsqu’un patient est admis en urgence, les professionnels de santé peuvent échanger des informations médicales pertinentes afin d’assurer la prise en charge du patient, y compris des antécédents médicaux ou médicaments en cours seulement aux professionnels de santé directement impliqués dans la prise en charge du patient.

Cependant, si les professionnels de santé ne font pas partie de l’équipe de soins, vous devez informer préalablement le patient de la nature des informations devant faire l’objet de l’échange ainsi que l’informer de l’identité du destinataire des informations (nom, profession ou qualité au sein d’une structure).

Dans le cadre d’une équipe de soins, les professionnels partagent les informations relatives à une personne prise en charge dans les strictes limites et en informent préalablement la personne concernée.

Lorsque la personne est hors d’état d’exprimer sa volonté, seule l’urgence ou l’impossibilité d’informer cette personne peut dispenser le professionnel ou la personne participant à sa prise en charge de l’obligation d’information préalable. La personne concernée est toutefois informée, dès que son état de santé le permet, de l’échange ou du partage des informations auquel il a été
procédé. Il en est fait mention dans le dossier médical.

Télécharger la fiche
urps medecin hauts de france

Espace membre

Rechercher
Contactez-nous
Connectez-vous à
votre espace membre
Que recherchez-vous ?
Inscrivez-vous pour recevoir la NEWSLETTER URPS ML