La RGPD et la téléconsultation

Selon le baromètre de l’Agence numérique de la santé, le recours à la téléconsultation a été multiplié par trois en 2021. Si la déontologie médicale encadre les consultations données à distance à un patient par un professionnel médical, cette pratique doit également veiller au respect du règlement général sur la protection des données, plus connu sous le nom « RGPD ».

I – Les obligations du médecin dans le cadre du RGPD

Dans le cadre de son activité, le médecin est amené à prendre connaissance de données personnelles, c’est-à-dire de toute information se rapportant à une personne physique identifiée ou identifiable de manière directe ou indirecte, mais également, et surtout, de données sensibles notamment celles relatives à la santé du patient.

Prêtant une attention particulière au traitement des données sensibles, la CNIL veille à ce que la personne concernée ait donné son consentement exprès par une démarche active, explicite et de préférence écrite à la collecte de ses données.

Responsable du traitement des données personnelles, le médecin a un devoir d’information formelle des personnes concernées.

En outre, celui-ci doit effectuer une déclaration de conformité auprès de la CNIL qu’il collecte les données dans son cabinet ou dans le cadre de téléconsultation.

II – Les précautions à prendre en téléconsultation dans le cadre du RGPD

La téléconsultation comprend deux aspects sur lesquels il convient d’être vigilant au respect du RGPD : la communication interpersonnelle avec le médecin par vidéo ou audio et les échanges de documents de santé contenant des données à caractère personnel réalisés avant, pendant ou après la téléconsultation (prescriptions, résultats d’analyse, …).

Outre les vérifications préalables obligatoires relatives à l’exercice de la téléconsultation comme la communication des informations relatives aux modalités pratiques de l’acte médical ou encore la pertinence de l’acte de téléconsultation au regard de la situation du patient et ses capacités à communiquer à distance, le médecin doit recueillir le consentement éclairé du patient y compris pour le partage de données de santé.

Si la CNIL n’impose pas de formalité spécifique pour la pratique de la téléconsultation, plusieurs recommandations sont faîtes au médecin qui doit pouvoir prouver à tout moment de la conformité du traitement des données au RGPD.

A cet égard, le médecin de profession doit justifier : 

  • de la qualité, la confidentialité et la sécurité des échanges par le réseau, le matériel, les équipements, l’hébergement des données mais aussi le local d’exercice de la téléconsultation  
  • d’une messagerie sécurisée 
  • de la limitation de l’accès aux données de santé des patients aux seules personnes autorisées (identifiant unique par utilisateur, dispositif d’authentification fort,  
  • de la mise en place de procédure de gestion et de traçabilité des accès documentées au sein d’un référentiel de sécurité  
  • de la mise en à jour du registre de traitements  

Ces obligations sont essentielles dans la pratique médicale comme en témoignent deux condamnations le 07 décembre 2020, par la CNIL de médecins libéraux à 3 000 euros et 6 000 euros s’amende pour avoir insuffisamment protégé les données personnelles de leurs patients.  

Prenez le temps de vous interroger sur votre mode de fonctionnement et vos procédures internes pour vérifier que chaque étape est conforme aux exigences légales en matière de RGPD. 

Continuer votre lecture

Articles suivants