Le thérapeute et le Règlement Général sur la Protection des Données personnelles (RGPD)

  • Accueil
  • Juridique
  • Le thérapeute et le Règlement Général sur la Protection des Données personnelles (RGPD)

Interview d’Élise Guilhaudis, avocate spécialisée dans le droit du numérique

Bonjour Elise, merci d’avoir accepté de répondre à cette deuxième interview.

(Si vous n’avez pas lu la première interview, où Élise répond à mes questions sur la conformité juridique de votre site web de thérapeute, je vous remets le lien ici.)

Pour commencer, peux-tu expliquer ce qu’est le RGPD ?

Le RGPD est un Règlement européen adopté le 25 mai 2018. Il concerne tous les pays de l’UE. Ce Règlement prévoit des obligations à la charge de tous les professionnels qui collectent des données personnelles, c’est-à-dire des informations se rapportant à des personnes (par exemple les données de leurs clients, prospects, de leurs fournisseurs, ou encore de leurs salariés, etc).

Les praticiens sont-ils concernés dans leur activité qu’elle soit en cabinet ou en digital ?

Oui, les praticiens de santé naturelle sont concernés car ce sont des professionnels qui collectent des données personnelles. Qu’ils travaillent en cabinet ou en digital, des données sont collectées.

D’ailleurs, les praticiens collectent souvent des données personnelles importantes (sur la vie personnelle et familiale de leurs clients).

Notamment :

  • Des données relatives à leur identité (ex nom, prénom, adresse postale, téléphone, mail)
  • Des données relatives à leur situation personnelle (ex hygiène de vie, habitude alimentaire, etc)

 

Parfois, le praticien collecte aussi des données de santé (ex antécédents médicaux, maladies physiques ou mentales, prestations de soins réalisés, résultats d’examens, traitements, handicap).

Les praticiens, comme tous les autres professionnels, doivent donc respecter les obligations prévues par le RGPD.

Concrètement, quelles actions doivent être mises en place concernant la gestion des données personnelles de leurs clients ?

Les praticiens doivent prévoir plusieurs actions RGPD importantes. Notamment :

  • Minimiser les traitements de données ainsi que leur durée de conservation (ne collecter et ne conserver que le nécessaire)
  • Informer les personnes (l’information doit porter sur le type de données collectées, les finalités, la durée de conservation, les destinataires éventuels, etc)
  • Obtenir le consentement des personnes lorsque cela est obligatoire (par exemple : pour la collecte de données de santé)
  • Prendre des mesures de sécurité (physiques et informatiques) pour protéger les données
  • Mettre en place un registre de traitement
  • Prévoir un accord écrit avec les entreprises ayant accès aux données en tant que sous-traitant

 

 

La liste des actions est longue et dépend en réalité des activités du praticien.

Par exemple, si le praticien a un site internet qui permet de collecter des données personnelles (par exemple par le biais d’un formulaire) il faudra prévoir des actions RGPD spécifiques sur le site.

Gardez le cap avec votre site !
Inscrivez-vous à la newsletter mensuelle
et recevez les nouvelles fraîches du port

Justement, concernant le site internet : peux-tu nous donner des exemples précis où des données personnelles sont collectées ?

Oui, les points de collecte de données sont variables sur un site internet. Il peut s’agir de :

  • L’abonnement à votre newsletter sur le site
  • Le paiement des consultations sur le site
  • L’accès et l’utilisation d’un compte en ligne sur le site
  • La prise de rendez-vous en ligne ou les inscriptions possibles sur le site (pour une consultation, formation ou un évènement)
  • Les avis publiés sur le site
  • Les partenaires, collaborateurs ou autres personnes que le praticien cite sur le site
  • La mesure des statistiques d’audience du site (ex : google analytics)
  • Le partage ou le visionnage d’informations du site sur les réseaux sociaux
  • La discussion instantanée en ligne
  • La sécurité du site (ex : la vérification de l’authentification par captcha)

Le registre des traitements est-il obligatoire ?

Oui, la CNIL précise que ce registre est obligatoire sauf si les collectes de données sont occasionnelles.

Le registre des traitements permet de recenser les activités faites par le professionnel sur les données. Il permet de disposer d’une vue d’ensemble de ce qui est fait sur les données.

Pour les praticiens proposant des séances en visio, y a-t-il des précautions particulières à prendre, notamment concernant les logiciels utilisés ?

Les praticiens doivent choisir leur outil de téléconsultation avec soin. Il est nécessaire d’opter pour un outil professionnel et non un logiciel grand public.
L’outil doit répondre aux exigences de sécurité posées par la CNIL (https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles)

De plus, il est préférable d’éviter les outils étrangers car des données peuvent être transférées hors de l’Union Européenne, notamment aux Etats-Unis.

Enfin, si des données de santé sont hébergées sur l’outil, l’hébergeur doit être certifié HDS (hébergeur données de santé). Voici la liste des hébergeurs certifiés : https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies

Et qu’en est-il pour nos amis suisses ? Sont-ils soumis au RGPD pour leurs clients en Suisse ? en France ?

La Suisse a sa propre législation sur la protection des données personnelles.
Les praticiens exerçant en Suisse doivent donc se référer à cette loi. Mais s’ils reçoivent des clients européens, ils devront également respecter le RGPD.

Les thérapeutes ont souvent besoin de connaître les antécédents médicaux de leurs clients. Quid du traitement des données de santé dites sensibles ?

Les traitements sur les données de santé sont strictement encadrés.

Les praticiens doivent être vigilants sur ce sujet, car ils ne sont pas des professionnels de santé reconnus officiellement (contrairement aux médecins).

Tout traitement de données de santé impose au praticien :

  • De donner à son client une information claire et transparente et
  • D’obtenir son consentement express et préalable.
Gardez le cap avec votre site !
Inscrivez-vous à la newsletter mensuelle
et recevez les nouvelles fraîches du port

À quelles sanctions s’exposent les praticiens en cas de manquement sur les données personnelles ?

Les sanctions prévues par le RGPD sont importantes.
Le praticien encourt une amende dont le montant peut varier selon la gravité des faits (max entre 10 à 20 millions d’euros).

A ces amendes peuvent s’ajouter des sanctions financières prononcées par un juge (en cas de plainte d’un client par exemple) et d’éventuelles sanctions pénales dans certains cas.

Une peine de 5 ans d’emprisonnement et une amende de 300 000 € sont prévues en cas de manquement à certaines obligations (sécurité, registre, durée de conservation, droit d’opposition, transfert de données hors UE, collecte illicite ou déloyale, etc).

Les obligations et sanctions prévues sont particulièrement lourdes. Comment les thérapeutes peuvent-ils s’en sortir ?

Tu as raison, cette règlementation RGPD est particulièrement indigeste ! Mais les praticiens n’ont pas d’autre choix que de se mettre en conformité.

Pour comprendre ce qu’il y a à faire, ils peuvent aller sur le site de la CNIL. Il contient bon nombre d’informations pratiques pour aider les professionnels.

Pour ma part, j’ai mis en ligne plusieurs vidéos d’informations sur le RGPD : une web-série d’informations générales et des vidéos plus adaptées aux praticiens.

Elles sont gratuites et en accès libre.

Je propose également des documents RGPD adaptés aux praticiens (registre de traitement, politique de protection des données personnelles, pack RGPD).

Merci Élise d’avoir accepté de répondre à mes questions.

Vous pouvez retrouver toutes les vidéos et solutions d’Élise à destination des praticiens de médecine non conventionnelle via les liens ci-dessous :

Élise Guilhaudis est avocate spécialisée dans le droit du numérique.

Retrouvez les vidéos gratuites pour les praticiens en médecine non conventionnelle en accès libre sur sa chaîne Youtube. 

Besoin d’un audit flash de votre site ? C’est par ici.

Cette interview vous a plu ? N'hésitez pas à la partager. 

Besoin d'aide pour créer votre site ?