Les professionnels de santé libéraux peuvent-ils affronter seuls les obligations du RGPD ?

La récente condamnation de deux médecins radiologues libéraux par la CNIL pour le non-respect du RGPD (http://www.telemedaction.org/447983338) a fait la une de certains médias professionnels, mais n'a pas suscité beaucoup de réactions chez les professionnels de santé médicaux ou leurs représentants.

Il existe une inégalité d'accompagnement au respect du RGPD entre les professionnels salariés d'établissements et les professionnels libéraux. Les premiers bénéficient dans leur établissement de santé d'une direction des systèmes d'information (DSI) qui les conseille et qui assure pour l'ensemble de la communauté médicale la protection des données personnelles de santé, en conformité avec le RGPD. Les seconds, s'ils veulent avoir le même accompagnement, doivent ou devraient sous-traiter des services extérieurs pour les conseiller et les aider à atteindre un niveau de protection qui les mette à l'abri de possibles sanctions financières ou pénales de la CNIL.

Après cette première condamnation par des sanctions financières "proportionnées" aux revenus, la CNIL a bien l'intention de continuer à vérifier chez les professionnels de santé libéraux s'ils ont ou non mis en place la protection de leurs données personnelles de santé. Depuis juin 2018, la CNIL a donné le temps aux professionnels de santé, aux établissements de santé, aux entreprises, etc. de se mettre aux normes du RGPD.

Le CNOM, en publiant avec la CNIL un guide pratique quelques semaines après l'entrée en vigueur du RGPD (26 mai 2018) a fait oeuvre d'accompagnement pédagogique envers les médecins libéraux afin qu'ils se mettent eux-mêmes en conformité avec la réglementation en vigueur. Mais combien de médecins ont réellement lu ce guide très pratico-pratique ? Combien fréquentent les formations DPC dédiées à ce sujet ? L'auteur de ce billet fait des formations à la télésanté aux professionnels libéraux et constate souvent que le RGPD est méconnu et donc non appliqué dans l'exercice professionnel.

https://www.conseil-national.medecin.fr/sites/default/files/external-package/edition/17ss6et/guide_cnom_cnil_rgpd.pdf 

Le document cosigné par la CNIL et le CNOM a pour titre " Guide pratique sur la protection des données personnelles". Toutes les situations où le secret sur les données personnelles de santé peut être mis en péril sont résumées dans 6 fiches présentées de façon simple et synthétique.

La première fiche s'intitule : "Quel cadre appliquer aux dossiers des patients ? " On y rappelle les bonnes pratiques à respecter : limiter la collecte des informations au nécessaire, tenir un registre à jour des activités de traitement, supprimer les dossiers qui ont dépassé la limite de conservation, mettre en place les mesures appropriées de sécurité pour protéger les données "patients", informer les patients de ces mesures et respecter leurs droits. 

La deuxième fiche s'intitule :  "Quel cadre appliquer à la prise de rendez-vous ? " Une check-list des bonnes pratiques est donnée : limiter les informations données au prestataire, s'assurer que la solution du prestataire est conforme au RGPD, tenir à jour le registre de traitement de données, informer les patients de cette procédure de prise de rendez-vous et respecter leurs droits.

La troisième fiche s'intitule : "Quel cadre appliquer à la messagerie sécurisée ? " De nouveau une check-list : la messagerie sécurisée est utilisée pour les échanges entre professionnels de santé, en cas d'échanges avec d'autres professionnels sur des données personnelles savoir chiffrer les pièces jointes sensibles, utiliser des protocoles ou des solutions web garantissant la confidentialité (exemple "https"), utiliser un mot de passe pour garantir le secret.

La quatrième fiche s'intitule : "Quel cadre appliquer aux téléphones portables et aux tablettes ? " Un sujet important : sécuriser l'accès à son téléphone ou sa tablette par un mot de passe ou un chiffrement, ne pas stocker de données "patients" sur le téléphone ou la tablette, s'assurer que l'accès au logiciel des dossiers "patients" à partir d'une appli mobile est bien sécurisé, consulter le logiciel du dossier "patients" à partir du téléphone ou d'une tablette avec précaution.

La cinquième fiche s'intitule : "Quel cadre appliquer aux recherches cliniques ? " De nouveau une check-list est proposée : réaliser une étude d'impact (outil sur le site de la CNIL) avant de se lancer dans des études internes sur les données "patients" qui ne sont pas strictement destinées à l'usage exclusif du professionnel de santé, s'assurer si partenariat avec un tiers que la recherche clinique est bien conforme à la réglementation en vigueur, tenir à jour le registre des activités de traitement des données et informer les patients sur leurs droits.

La sixième et dernière fiche s'intitule : "Quel cadre appliquer à la télémédecine ? " Trois bonnes pratiques sont à respecter : s'assurer que le prestataire de télémédecine respecte la réglementation, vérifier que le contrat de sous-traitance comporte bien les obligations suivantes : les données ne sont traitées que sur instruction du professionnel de santé, le personnel de la plateforme a signé les engagements de confidentialité, le sous-traitant s'est engagé à prendre toutes les mesures de sécurité requises, la coopération avec le professionnel de santé responsable du traitement des données est assurée, notamment en cas de suppression ou de renvoi des données à l'issue des prestations, le sous-traitant s'engage à collaborer en cas d'audits, enfin la dernière bonne pratique est de s'assurer que le patient a bien été informé sur les pratiques de télémédecine. Nous avions déjà publié en avril 2019 un billet sur la question RGPD et téléconsultation. (http://www.telemedaction.org/442230230)

Le guide explique en annexe ce qu'est un "registre de traitement des données" pour un médecin en exercice libéral. Le modèle est publié sur le site de la CNIL. L'éditeur de logiciel ou le prestataire informatique qui a contractualisé avec le médecin libéral et qui assure la maintenance de l'équipement peut aider le médecin à le mettre en place.

La protection des données personnelles est sous la responsabilité du professionnel de santé et doit être confiée à un Data Protection Officer (DPO) lorsque ces données sont gérées "à grande échelle".

Dans les entreprises privées ou publiques, comme dans les grandes administrations qui traitent des données personnelles d'au moins 10 000 personnes, la logistique de la protection des données personnelles est confiée obligatoirement à un DPO (en français, délégué à la protection des données). Le RGPD est une directive de l'union européenne, adoptée par l'ensemble des Etats membres. Il recommande la création de nouveaux métiers pour garantir la protection des données personnelles. Le DPO n'est pas tout à fait l'héritier du Correspondant Informatique Libertés (CIL) souhaité par la CNIL avant 2018 pour les entreprises privées et publiques. Cette fonction était alors facultative.

Le DPO a un profil à la fois technique (informatique) et juridique. Il peut aussi s'agir d'un avocat spécialisé dans le traitement et la protection des données personnelles. Le DPO est le référent du RGPD au sein d'une entreprise ou d'un établissement de santé. Sa nomination est obligatoire pour certaines situations : les autorités ou les organismes publics (les administrations, les ministères…), les organismes dont les activités imposent de réaliser un suivi « régulier et systématique » de personnes "à grande échelle", les organismes dont les activités de base leur imposent de traiter « à grande échelle » des données personnelles considérées sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions. Le DPO est le conseiller et l'intermédiaire privilégié de la CNIL.

Les médecins traitants libéraux, responsables du traitement et de la protection de leurs données de santé à caractère personnel, sont-ils conscients de cette contrainte réglementaire ? En exercice individuel (patientèle moyenne de 1200 personnes) les médecins ne sont pas obligés d'avoir un DPO. Ils doivent gérer eux-mêmes leurs données de santé en respectant le RGPD. S'ils ont un exercice regroupé, Ils entrent dans la catégorie des organismes dont les activités imposent de réaliser un suivi régulier et systématique des personnes "à grande échelle". Les réseaux professionnels en MSP, CDS, ESP, etc. peuvent être amenés à gérer les données personnelles de plusieurs milliers de personnes. Ces professionnels de santé regroupés doivent s'entendre pour désigner un DPO interne ou externe.

Comme le montre le guide du CNOM-CNIL, la protection des données personnelles relève autant des comportements du médecin que des solutions techniques qui doivent équiper les logiciels métiers.

Lorsque le médecin est salarié d'un établissement de santé, les moyens engagés pour respecter le RGPD sont sous la responsabilité de la direction de l'établissement. Bien que le médecin demeure responsable du secret des données de ses patients, il délègue au DPO de l'établissement la mission de vérifier que les solutions numériques qu'il utilise sont bien protégées. C'est notamment le cas au sein d'un établissement public où la responsabilité de l'organisation des soins est portée par la direction de l'établissement.

En matière de RGPD, la mise en place de la protection des données personnelles a été confiée à la DSI dont le directeur est le plus souvent le DPO de l'établissement. Pendant le confinement dû à l'épidémie Covid-19, les DSI des établissements de santé ont offert aux médecins salariés des solutions dédiées à la téléconsultation totalement sécurisées au regard du RGPD. (http://www.telemedaction.org/445424795

Cela ne signifie pas que le médecin salarié a toujours un comportement exemplaire vis à vis de la protection des données personnelles de santé. Nous avons rapporté plusieurs fois sur ce site la question sensible de l'usage d'un smartphone privé au cours de l'exercice professionnel. Il faut rappeler ici l'excellent article d'une équipe américaine de Boston publiée en mai 2016, qui faisait déjà état de 14 recommandations aux professionnels de santé hospitaliers américains pour que les données personnelles soient protégées lors de l'usage d'un smartphone ou d'une tablette personnelle au sein de l'hôpital. 

JMIR Mhealth Uhealth. 2016 May 11;4(2):e50. doi: 10.2196/mhealth.4424. A Mobile App Development Guideline for Hospital Settings: Maximizing the Use of and Minimizing the Security Risks of "Bring Your Own Devices" Policies.Al Ayubi SU1, Pelletier ASunthara GGujral NMittal VBourgeois FC. (http://www.telemedaction.org/427894077) (http://www.telemedaction.org/427904319).

Quatre ans plus tard, et après la mise en place du RGPD en Europe, le sujet reste d'actualité comme le montre l'article publié en 2019 sur l'usage de WhatsApp dans les hôpitaux allemands. (WhatsApp in hospital? An empirical investigation of individual and organizational determinants to use (plos.org). Les médecins hospitaliers allemands plébiscitent cette application sur smartphone dans leur activité clinique alors que les risques de violation du secret des données personnelles est évident.

Comme en France pendant la période de confinement, 50% des médecins généralistes ont plébiscité l'usage du téléphone par WhatsApp ou Messenger pour réaliser des téléconsultations. (https://esante.gouv.fr/sites/default/files/media_entity/documents/barometre_tlm_restitution_v0.2_1809.pdf) (https://esante.gouv.fr/sites/default/files/media_entity/documents/odoxa-pour-lans-et-le-mag-de-la-sante---barometre-telemedecine-vague-2-publie-le-22-octobre-2020.pdf)

Lorsque le médecin est en activité libérale individuelle, il doit assumer seul la protection de ses données "patients". Bien qu'il n'y ait aucune information publique permettant de répondre à cette question, l'expérience du terrain révèle que les médecins, s'ils connaissent bien leur responsabilité vis à vis du traitement des données personnelles de leurs patients, ont des difficultés à se mettre en conformité avec le RGPD, leur connaissance de la sécurité des données de santé étant le plus souvent limitée au triptyque : logiciel de santé, antivirus et sauvegarde. 

S'il existe une réflexion plus élaborée au sein des structures d'exercice regroupé (MSP, CDS, ESP, etc.), rares cependant sont les structures qui ont désigné un DPO interne ou sollicité un DPO externe. Des avocats spécialisés dans la sécurité des données sont parfois sollicités, mais il leur faudrait mieux connaître les comportements des professionnels, ce qui est délicat car peu de médecins acceptent de remettre en cause des comportements potentiellement déviants, sauf si on leur démontre qu'ils courent un risque de sanctions financières ou pénales.

La période de confinement due au Covid-19 est illustrative du fait :  50% des médecins généralistes ont plébiscité l'usage d'outils "friendly" tels que WhatsApp, Skype, Face Time, Messenger, etc. pour réaliser des téléconsultations pendant le confinement et nombreux sont ceux qui poursuivent l'usage de ces outils. ( http://www.telemedaction.org/447844126)  

Quelles solutions pour accompagner la mise en conformité avec le RGPD de la médecine libérale ?

Bien évidemment, l'offre d'une formation DPC sur le RGPD doit être poursuivie, mais elle n'est pas suffisante car le nombre de médecins qui s'inscrivent à ces formations est faible.

La mise en conformité avec le RGPD a un coût financier. Il a été évalué en 2018 à 1 milliard d'euros pour l'ensemble des entreprises privées françaises et des administrations. (https://www.challenges.fr/entreprise/rgpd-le-cout-faramineux-de-la-protection-des-donnees-personnelles-pour-les-entreprises_580413) Les hôpitaux publics ont reçu 420 millions d'euros pour la mise en conformité de leur système d'information (programme HOP'EN) et vont recevoir 2,3 milliards d'euros pour accélérer leur transformation numérique (http://www.telemedaction.org/446681650)

Pour le secteur libéral, c'est l'Assurance maladie qui finance l'équipement informatique des médecins à travers le forfait "structure", sur la base des négociations conventionnelles des représentants de la profession avec l'Assurance maladie. Différents avenants sont régulièrement négociés (le 9ème en 2021). Lorsqu'on parcourt le document 2020 sur le forfait structure, un financement dédié à la protection des données personnelles n'est pas clairement identifié, en dehors des points attribués à l'usage d'une messagerie sécurisée de santé en conformité avec l'espace MSS ou à l'interopérabilité des logiciels "patients" avec le DMP. (https://www.ameli.fr/sites/default/files/Documents/489483/document/note-methodo-forfait-structure-2020.pdf). Ne faudrait-il pas définir un indicateur de sécurité des données personnelles dans le forfait structure ? Des points supplémentaires dédiés à cet indicateur seraient "opposables" à une mise en conformité des systèmes d'information avec le RGPD ? Le financement supplémentaire qui serait accordé dans le forfait structure pourrait aider les médecins libéraux à se faire accompagner, voire à sosu-traiter tout en conservant la responsabilité du traitement des données.

En résumé, force est de constater en 2020-21, près de trois ans après l'adoption du RGPD par la France, que la question de son application chez les médecins, en particulier libéraux, n'est pas encore résolue. C'est également le cas dans d'autres pays européens. On a souvent dit que les professionnels de santé en activité manquaient de culture numérique (de "numéricité") (http://www.telemedaction.org/446416101). Si la télésanté a pu décoller pendant la période de l'épidémie, c'est parce que le RGPD n'a pas été respecté par une majorité de médecins libéraux. Il faudra attendre 2030 pour que les futurs médecins acquièrent la bonne culture du numérique en santé avec toutes ses contraintes sur la protection des données personnelles. (http://www.telemedaction.org/448017564). Pour éviter les sanctions financières et pénales de la CNIL, ne faudrait-il pas aider aujourd'hui les médecins libéraux en augmentant le forfait structure ?

29 janvier 2021