Le thérapeute et la gestion des données de santé

Interview d’Élise Guilhaudis, avocate spécialisée dans le droit du numérique

Bonjour Elise et merci de m’accorder cette nouvelle interview. Après avoir vu la conformité juridique du thérapeute et l’application du RGPD dans son activité professionnelle, nous nous intéressons aujourd’hui à la gestion des données de santé.

Les thérapeutes sont particulièrement concernés.

Tout d’abord, peux-tu nous expliquer ce que sont les données de santé ?

Les données de santé sont d’abord des données personnelles, c’est-à-dire, des informations se rapportant à des personnes physiques.

Les données personnelles de santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé).

Cette définition comprend par exemple :

  • les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
  • les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
  • les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

 

Cette définition englobe certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

Gardez le cap avec votre site !
Inscrivez-vous à la newsletter mensuelle
et recevez les nouvelles fraîches du port

Quelles sont les actions à mettre en place pour être en règle sur la gestion des données de santé ?

Il a plusieurs textes importants qui doivent être respectés lorsque l’on traite des données de santé.

Notamment :

  • la loi Informatique et Libertés (art. 8 et chapitre IX) ;
  • le Règlement Général sur la protection des données personnelles (le RGPD);
  • les dispositions sur l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP) ;
  • l’interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (art. L. 1111-8 du CSP, art. L 4113-7 du CSP)

Les praticiens de santé naturelle doivent donc respecter ces textes de loi.

Ils doivent adopter les 3 principaux réflexes suivants :

  • Réflexe n°1 : sécuriser les données de santé
  • Réflexe n°2 : vérifier où elles sont hébergées
  • Réflexe n°3 : informer et demander le consentement de leurs clients/patients.

Peux-tu nous donner des exemples concernant la sécurité des données de santé (réflexe n°1) ?

Des précautions doivent être mises en œuvre de façon systématique pour protéger les données, quelque soit le support utilisé.

Voici quelques exemples de mesures de sécurité :

  • Authentification par des mots de passe robustes
  • Sensibilisation aux enjeux en matière de sécurité et de vie privée
  • Limitation des accès aux seules données dont l’utilisateur a besoin
  • Journalisation des accès et mise en place de procédures pour gérer les incidents
  • Sécurisation contre la perte et le vol des appareils mobiles
  • Protection du réseau informatique interne
  • Sécurisation du ou des serveurs
  • Archive sécurisée des données qui ne sont plus utilisées au quotidien
  • Mise en place de mesures avec les sous-traitants : sélection rigoureuse, vérification, contrat conclu
  • Protection des locaux
  • Sécurisation du ou des postes de travail

 

Pour en savoir plus sur la sécurité des données, consultez le guide de sécurité de la CNIL.

Quelles actions faut-il entreprendre concernant l’hébergement des données de santé (réflexe n°2) ?

Lorsque le praticien collecte des données de santé de ses clients/patients, il doit faire attention à leur hébergement (là où elles sont stockées et sauvegardées).

Si le praticien héberge les données sur son propre serveur (par ex sur son PC ou sur un disque dur externe) : il n’y a pas de contrainte particulière (hormis la sécurité du réflexe n°1)

Si le praticien choisi d’héberger les données de santé de ses clients sur un outil tiers (un drive, un logiciel de gestion), l’hébergeur doit être certifié données de santé “HDS” (l’article L 1111-8 du Code de la santé publique)

Si c’est le cas, le praticien doit donc vérifier si l’hébergeur de l’outil est bien sur la liste des hébergeurs certifiés : en cas de doute, il faut lui demander.

Gardez le cap avec votre site !
Inscrivez-vous à la newsletter mensuelle
et recevez les nouvelles fraîches du port

Enfin, quelles sont les formalités juridiques propres à la gestion de ce type de données (réflexe n°3) ?

Le praticien de santé naturelle doit :

  • Informer ses clients qu’il collecte des données de santé les concernant
    et
  • Obtenir leur consentement express et préalable.

1/ Informer ses clients
Cette information RGPD doit porter sur de nombreux points :

  • Votre identité : nom prénom
  • Vos coordonnées : adresse, email, téléphone
  • Finalités : à quelles fins vous collectez leurs données
  • Transmission à des tiers : si vous transmettez des données (comptable, webmaster, hébergeur, partenaire, …)
  • Transfert hors UE : si vous ou vos sous-traitants transférez les données hors UE, et si oui, quelles mesures de garantie sont prises
  • Collecte obligatoie ou facultative : si les données collectées ou non sont nécessaires pour réaliser les finalités et les conséquences éventuelles de la non-fourniture des données
  • La durée : combien de temps vous conservez les données
  • Les droits des internautes : il faut rappeler aux personnes quels sont leurs droits : accès, rectification, effacement, opposition, portabilité, droit de faire une réclamation auprès de la CNIL.

2/ Obtenir le consentement express et préalable de ses clients
Ce consentement peut être obtenu de plusieurs manières. En faisant signer un document avant la séance dans les locaux ou encore depuis une plateforme de réservation en ligne (par une case à cocher spécifique).
Certains outils logiciels ont déjà intégré ce recueil de consentement comme le logiciel Jupi’terre de La Boîte Naturo ou encore la plateforme Hospitalidée.

Merci Élise d’avoir accepté de répondre à mes questions.

Vous pouvez retrouver toutes solutions d’Élise à destination des praticiens de médecine non conventionnelle via les packs juridiques du praticien.

Élise Guilhaudis est avocate spécialisée dans le droit du numérique.

Retrouvez les vidéos gratuites pour les praticiens en médecine non conventionnelle en accès libre sur sa chaîne Youtube. 

Besoin d’un audit flash de votre site ? C’est par ici.

Cette interview vous a plu ? N'hésitez pas à la partager. 

Besoin d'aide pour créer votre site ?