Les orthophonistes et le RGPD

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur dans l’Union européenne. Cette année aura été riche en nouveautés administratives, puisque cette nouvelle disposition fait suite à :

  • l’obligation de se mettre au scan des ordonnances (SCOR), pour ceux qui veulent continuer à recevoir la prime de 490 € concernant l’informatisation des cabinets libéraux ;
  • la création d’une adresse Mssanté, indispensable également pour bénéficier des 490 € ;
  • la déclaration de cette adresse à la CNIL ;
  • la déclaration des bénéficiaires effectifs des sociétés (ex : les SCM et les SCI) ;
  • une nouvelle nomenclature à mémoriser (ça, c’est un petit progrès) ;
  • la déclaration de revenus sur le site net-entreprises.fr avec sa fameuse case O sur laquelle les avis divergent encore à l’heure où j’écris ces lignes.

Comme on le voit, les professionnels de santé libéraux doivent maintenant exercer une veille juridique. Le forum Orthogestion et le groupe Facebook des Clés de la Réussite sont là pour y contribuer. La FNO informe aussi régulièrement ses adhérents. Dans le cas du RGPD, une certaine cacophonie a régné : le syndicat a commencé par parler de fiches à faire signer aux patients, avant de se rétracter. Les questions, les suppositions, les confirmations,les revirements et les tutoriels ont fusé sur les réseaux professionnels, qui n’avaient pas connu une pareille activité depuis la mise en place du développement professionnel continu (DPC). A présent, nous disposons de plusieurs sources fiables, que je vais tenter de synthétiser ici.

Le RGPD, fruit de quatre années de négociations législatives entre les 28 pays de l’Union, a été adopté par le Parlement européen le 14 avril 2016. Mais il n’est entré en vigueur que le 25 mai dernier. Il s’agit d’un règlement européen censé nous protéger des utilisations anormales de nos données. L’intention s’avère louable et rassurante. Mais en tant que libéraux de santé, nous nous trouvons aussi de l’autre côté de la barrière : nous utilisons des informations sur les patients. L’Europe considère que nous ne devons pas en faire n’importe quoi, ni les exposer à d’éventuels regards malveillants. Elle cherche à nous responsabiliser en nous incitant à protéger ces données, sans avoir de déclaration à envoyer à la CNIL comme c’était le cas précédemment.

Même si le risque de se faire contrôler paraît faible, l’amende ne l’est pas, s’il apparaît que nous n’avons rien mis en œuvre : elle peut atteindre 4 % de la recette de l’année précédente !

Pour se mettre en conformité, il faut commencer par protéger réellement les données sensibles, si ce n’est pas encore fait. Bien évidemment, il faut activer le pare-feu et l’antivirus de son ordinateur. Par ailleurs, les logiciels de gestion de patientèle exigent un mot de passe à chaque lancement. Il y en a aussi un au démarrage de Windows, de Linux et de Mac OS. Mais nous pouvons aussi protéger spécifiquement tel ou tel répertoire, comme par exemple ceux où nous stockons les comptes rendus et les vieux dossiers papier archivés, soit en les cryptant (c’est l’idéal), soit en leur mettant juste un mot de passe. Voici deux manières de le faire avec Windows :

https://www.easytutoriel.com/comment-proteger-vos-dossiers-et-fichiers-avec-un-mot-de-passe.html

https://www.axcrypt.net/fr/

La seconde méthode fonctionne aussi sur Mac OS. Ce tutoriel explique comment procéder :

https://youtu.be/3Rq87RmfQ2g

Enfin, nous pouvons protéger nos cartes SD et nos clés USB :

https://www.astuces-pratiques.fr/informatique/proteger-une-cle-usb-par-mot-de-passe

Votre ordinateur est solidement cadenassé ? Vous pouvez passer à la phase administrative du RGPD. Vous devez commencer par remplir un registre de deux pages si vous n’avez pas de salarié, trois pages sinon. Attention : un registre par orthophoniste, pas un par patient ! Il s’agit d’une sorte de répertoire des types de données que nous stockons et des mesures de protections que nous avons mises en place. Il sert à prouver que nous avons réfléchi et agi pour sécuriser les informations concernant nos patients et nos éventuels salariés. La CNIL nous propose ce tableau Excel vierge : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

J’ai rempli le mien en suivant les consignes de la FNO, vous pouvez le télécharger ici : http://dl.free.fr/getfile.pl?file=/pyCCxutP

Il se trouve aussi parmi les fichiers du groupe Facebook des Clés de la Réussite :

Ensuite, il faut informer les patients du fait que nous nous sommes conformés au RGPD et de leur droit de regard sur leurs données. La CSMF propose une affiche pour la salle d’attente, où il suffit de remplacer le mot « médecin » par notre métier : http://www.csmf.org/rgpd-vous-devez-pouvoir-prouver-le-respect-de-ces-regles

D’après les derniers communiqués de la FNO, vous pouvez vous arrêter là. Dans son article initial d’avril, elle évoquait un dernier point : l’analyse d’impact. La CNIL elle-même se montre évasive à ce sujet, sur la page qu’elle consacre aux orthophonistes : « Vérifiez, en fonction de votre projet, si vous devez effectuer une analyse d’impact sur la protection des données (PIA) ». Elle considère que c’est indispensable « lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Les employés de la CNIL joints au téléphone disent que nous pouvons nous abstenir de cette analyse, en l’état actuel des choses. La CSMF n’en parle même pas sur son site. Pour en avoir le cœur net, il faudra suivre les prochains épisodes des aventures palpitantes du RGPD…

 

Crédit photo : Santeri Viinamäki


Laissez moi un commentaire sur cette page :

Une pensée sur “Les orthophonistes et le RGPD”

  1. Bonjour et merci !

    Comment puis – je déclarer mon adresse MSSAnté à la CNIL ?

    D’autre part, cette adresse sécurisée est utile pour les échanges interprofessionnels mais quid des transmissions de documents entre orthophoniste et patients ?
    Merci beaucoup

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.