DPO et professionnels de santé sont-ils faits pour s’entendre ?

Dans une profession ordinale comme celle des médecins, l’arrivée du Règlement Européen sur les Données Personnelles (RGPD) peut apparaître comme une intrusion de la sphère non-médicales dans leur domaine de compétence traditionnel…

Cela crée parfois chez eux des réactions épidermiques car ils sont déjà bien cadrés par le Code de la Santé Publique, et que le secret médical qui leur est imposé devrait déjà limiter en soi les risques de violations des données de santé de leurs patients.

Sauf que l’évolution des technologies crée de nouveaux enjeux sur ces données de santé : ainsi les fiches papier des patients bien rangées dans des tiroirs ont été peu à peu remplacées par des logiciels métiers de gestion des dossiers patients « on premise » (logiciel installé sur le PC), qui eux-mêmes sont remplacés à leur tour par leur équivalent « SaaS » (Software as a Service) avec des données de santé désormais hébergées bien loin du cabinet médical…

Les enjeux de la dématérialisation des données de santé

Cette dématérialisation progressive des données de santé entraîne de nouveaux enjeux : si la productivité des professionnels de santé s’en trouve grandement améliorée (accès quasi-immédiat à toutes les informations du patient, plus de problèmes de mises à jour avec le SaaS…), le risque de violation des données de santé s’est aussi accru plus que proportionnellement.

En effet, la plus grande technicité de ces logiciels rend nécessaires l’intervention de prestataires tiers pour leur maintenance, soit sur place au cabinet médical, soit sous forme de prise de contrôle des postes de travail à distance pour plus de rapidité et d’efficacité – afin que le professionnel de santé puisse tout simplement continuer d’exercer son métier. Or les personnels de ces prestataires peuvent aussi potentiellement accéder aux données de santé des patients à l’occasion de ces opérations de maintenance…

Plus y a d’échanges ou traitements de données de santé entre professionnels de santé d’une part, et prestataires tiers chargés de la maintenance des logiciels de suivi des patients d’autre part, et plus important sera le risque de violation de ces données particulièrement sensible.

Un DPO nommé pour contrôler cette dématérialisation

C’est là qu’on touche à la notion de « grande échelle » au sens du RGPD, le moment où ces traitements deviennent suffisamment critiques pour que ces organismes doivent nommer obligatoirement un contrôleur de la conformité RGPD, le Délégué à la Protection des Données » (DPO).

C’est le cas en particulier dès lors que les professionnels de santé exercent regroupés en cabinet médical, en utilisant les mêmes outils métiers (logiciels de suivi patients, PACS etc.), et en partageant les mêmes personnels (secrétaires médicales, manipulateurs en radiologie etc.).

Voir à ce sujet notre article sur LinkedIn

Le DPO n’est donc pas là pour contrôler le travail des professionnels de santé, mais pour vérifier que toutes les précautions ont bien été prises lors des traitements de données de santé de leurs patients : c’est même une rassurance qu’ils devraient afficher dans leur cabinet médical, pour montrer à leurs patients le sérieux qu’ils attachent à leurs données de santé.

Donc oui, nous pensons que DPO et professionnels de santé sont bien fait pour s’entendre !

Written on July 7, 2020