Le RGPD expliqué aux ostéopathes


Référence et lien court: OP-WF44GL-2

Le « Règlement Général sur la Protection des Données » ou RGPD est un règlement de l’Union Européenne entré en vigueur en mai 2018 et qui renforce la protection des données personnelles des individus.

Ce règlement concerne tout type d’activités professionnelles, dont l’ostéopathie. Que vous preniez des notes sur support papier ou informatique, vous êtes concernés par cette règlementation, car vous devez protéger ces données.

Voyons concrètement ce que cela représente pour nous, ostéopathes.

Résumé du RGPD et de ses implications pour les ostéopathes

Nous espérons qu’à la fin de la lecture de ce dossier, vous aurez les notions essentielles pour vous permettre de gérer sereinement votre conformité avec le RGPD. Pensez à jeter un œil à nos documents types en fin de dossier qui vous faciliterons la mise en conformité.

Ce règlement vise à renforcer la protection des données individuelles fournies auprès de chaque professionnel au maximum.

Cela se traduit par une transparence et une responsabilité accrue sur la récolte, l’utilisation et le traitement des données personnelles, dont les données des patients font partie. En soi, c’est une règlementation très louable, car elle permet à chacun de mieux gérer où et comment ses données personnelles seront utilisées. Elle protège les individus de nombreuses dérives liées à l’utilisation abusive de ces données : publicité ciblée en ligne, profilage client, revente de données personnelles… Cette règlementation s’applique aussi bien aux grands groupes qu’aux petites structures, d’où une application très variable suivant le contexte. La sécurité exigée d’une grande entreprise ne sera donc pas la même que celle demandée à un cabinet d’ostéopathie libéral.

Pas d’inquiétude cependant, puisque la plupart des contraintes liées à l’application du RGPD en tant qu’ostéopathe libéral sont assez simples à respecter une fois qu’on a compris se principes.

Par données personnelles, nous entendons toute information se rapportant à une personne physique identifiée (par son nom et prénom) ou identifiable, c’est-à-dire qu’on peut identifier par recoupement d’informations : numéro de téléphone, adresse, numéro de sécurité sociale, histoire personnelle, ensemble de pathologies…
C’est-à-dire quasiment toutes les données du dossier patient.

La règlementation RGPD prévoit que les données personnelles soient « traitées de manière licite, loyale et transparente au regard de la personne concernée ». Dans le cadre d’une consultation habituelle, les informations que nous demandons pour l’anamnèse et le dossier patient sont nécessaires à notre pratique et il n’est donc pas nécessaire de demander une autorisation explicite au patient pour noter ses informations.

En revanche, pour toute autre utilisation des données sortant du cadre strict de la consultation, il vous faudra demander une autorisation explicite et éclairée du patient. En voici quelques exemples :

  • partager des dossiers patients avec d’autres thérapeutes (que ce soit dans le même cabinet ou non, ou avec vos assistant-e-s par exemple),
  • envoyer des emails ou des SMS au sujet de votre activité aux patients
  • faire des statistiques de vos consultations
  • faire de la recherche clinique dérivée des données patient
  • tout partage de données du dossier avec des tiers (donc toute personne autre que le praticien et le patient présents pendant la consultation)

Dans l’idéal, cette autorisation que peut vous donner le patient devrait être sous forme écrite et signée. En effet, c’est à vous, ostéopathe, de prouver que vous avez bien eu le consentement du patient pour ces traitements de données. Certains logiciels en ligne fournissent une interface permettant de garder cette traçabilité plus facilement. Autre point important sur lequel le texte insiste : il est aussi simple de retirer que de donner son consentement et ce retrait pourra avoir lieu à tout moment. Il faut donc prévoir ce droit à l’oubli sauf quand il va à l’encontre d’une traçabilité légale. Par exemple, on ne peut pas supprimer une ligne comptable même si le patient demande à supprimer son dossier clinique.

En outre, il n’est plus nécessaire de faire de déclaration à la CNIL, car désormais la responsabilité du bon respect de ces règles repose sur le responsable du traitement, c’est à dire l’ostéopathe. Il ou elle devra aussi être en mesure de démontrer que ces mêmes règles ont été respectées et en assumer la charge de la preuve. Cela veut donc dire que l’ostéopathe devra assumer les conséquences d’une violation de ces dispositions; il est également responsable de tout manquement au RGPD de ses prestataires externes qui doivent fournir des garanties suffisantes (pensez ici : logiciel de gestion de cabinet, agenda externalisé, partage de cabinet/assistanat…). Il vous faudra donc vous munir d’un document dans lequel vous devrez indiquer les mesures prises par vous et vos prestataires pour protéger les données de vos patient-e-s (voir plus loin pour des modèles de documents).

Concrètement, cela se traduit par les exigences suivantes (donné à titre indicatif, la liste n’est pas exhaustive) :

  • un registre des traitements de données, prouvant le respect de la règlementation qui vous permet de renseigner quelles données gérez-vous, à quoi servent-elles, combien de temps les conservez-vous et les mesures de sécurité que vous appliquez pour les protéger.
    Nous vous conseillons de consulter nos documents types préremplis disponibles ci-dessous ou le fichier simplifié de la CNIL.
  • informer les patients de leurs droits concernant leurs données en matière d’accès, de suppression ou de modification des données les concernant (un affichage dans la salle d’attente suffit), et comment les exercer.

Un dernier point, que l’on ne vous souhaite jamais de rencontrer : en cas de vol des données personnelles que vous stockez, c’est désormais à vous, ostéopathe (car vous êtes le responsable de traitement) de notifier la CNIL pour violation de données personnelles dans les 72 heures. Plus de détails sur le site de la CNIL.

Vous stockez vos dossiers patients sur papier

Vous devez préciser dans vos registres comment sont protégés vos documents : votre secrétaire, collègue de maison de santé ou personne chargée du nettoyage ne doit pas pouvoir y accéder facilement. Un tiroir fermant à clé peut suffire si le reste de votre cabinet est suffisamment sécurisé. Vous pouvez y ajouter un destructeur de documents pour les dossiers que vous jetez au bout de la période maximale de rétention (voir la présentation ci-dessous pour les durées conseillées).

Vous stockez vos dossiers patients sur support informatique

Vous devez connaître un minimum où et comment sont stockés vos dossiers, qui y a accès et comment bien gérer leur confidentialité.

Pour tous les logiciels qui sont sur votre poste et qui n’utilisent pas internet, c’est assez simple : ne pas laisser son ordinateur sans surveillance et le protéger par un mot de passe est un bon début. Il est fortement conseillé d’utiliser du chiffrement de disque fourni avec votre système d’exploitation (Windows, MacOS, Linux)1 ou avec un logiciel gratuit comme VeraCrypt. Cela peut demander l’intervention d’un professionnel, car un chiffrement mal configuré peut entraîner une perte irrémédiable de vos données. Il est également recommandé de protéger votre ordinateur avec un antivirus, mais le plus sûr reste de restreindre son usage à un cadre professionnel et donc de ne pas y installer de logiciels ou de fichiers venant de sources douteuses, lesquels sont la principale source de virus et autres malwares.

Concernant les outils en ligne (agenda, dossier patients), c’est à vous de vous assurer qu’ils ont des garanties suffisantes pour pouvoir y stocker vos donnée cliniques. Toutefois, ce que l’on peut entendre par « garanties suffisantes » est assez flou et dépend du niveau de connaissance technique de chacun. C’est pourquoi il existe l’agrément « Hébergeur Agréé pour les Données de Santé » (HADS) qui vous permet d’identifier les acteurs sérieux plus facilement.

D’autres indices peuvent vous permettre de vérifier le niveau de professionnalisme du site : le site ne doit pouvoir être uniquement utilisé via connexion sécurisée HTTPS et doit pouvoir garantir la confidentialité des données stockées. Il ne doit pas vendre les données qu’il stocke ou de données dérivées (profilage, etc.).

La plupart des acteurs sérieux du marché des logiciels de santé devraient faire l’affaire, mais n’hésitez pas à nous contacter pour nous demander dans le cas où vous avez un doute. Attention également aux solutions gratuites, elles sont rarement compatibles avec le stockage de données relatives à la santé.

Il est fortement recommandé de faire des sauvegardes de vos dossiers régulièrement et surtout de les chiffrer : la perte d’une clé USB non chiffrée contenant des données patient pourrait être lourde de conséquences, car il sera possible à n’importe qui d’y accéder !

Enfin si vous utilisez votre smartphone pour un usage professionnel : si vous accédez à vos données de cabinet via celui-ci, il sera nécessaire de le protéger afin de prévenir une fuite de données privées en cas de perte ou de vol. Ici aussi, le meilleur remède est d’activer le chiffrement et un verrouillage par mot de passe.

Quid du partage avec des remplaçant-e-s et du stockage en ligne

Dans le cadre des communications en ligne, les dossiers patients sont normalement soumis, comme tout secret professionnel, à une obligation de confidentialité. C’est pourquoi la transmission de données personnelles doit toujours être faite de façon chiffrée. Les boîtes email personnelles chez un fournisseur d’accès à internet ou sur un service en ligne (gmail, yahoo, hotmail, outlook etc.) sont interdites, car les données sont lisibles et accessibles par les administrateurs de ces plateformes. C’est aussi le cas des services de stockage en ligne (Dropbox, Google Drive, OneDrive et autres espaces de stockage en ligne).

Malheureusement, il n’existe pour le moment pas de messagerie sécurisée à destination des ostéopathes, mais il existe des outils de communications chiffrées de bout en bout comme Signal, Telegram ou WhatsApp. Si vous avez un doute, demandez-nous 😉

Si vous exercez dans un cabinet avec plusieurs thérapeutes, il vous faudra afficher et préciser aux patients et patientes que leur dossier peut être partagé avec d’autres thérapeutes et qu’ils ou elles peuvent s’y opposer. Évidemment, dans ce cas, il vous faudra prévoir un casier ou un dossier auquel vous êtes le seul ou la seule à avoir accès.

Nos ateliers et modèles de documents RGPD pour ostéopathes

Nous effectuons régulièrement des ateliers RGPD à destination des ostéopathes, renseignez-vous via nos comptes de réseaux sociaux ou par email. Vous pouvez retrouver notre présentation complète en ligne. Elle contient les informations pour activer le chiffrement de vos divers appareils électroniques.

Vous y retrouverez également les documents types pour ostéopathes suivants :

  • une affiche de salle d’attente ostéopathe monopraticien
  • une affiche de salle d’attente pluripraticiens
  • une liste simplifiée des traitements
  • un registre des traitements conforme au RGPD dont 3 exemples courants à personnaliser :
    • la gestion des rendez-vous
    • la prise de note des dossiers patients
    • la communication interprofessionnelle

Ces documents types contiennent également des informations complémentaires comme la durée de stockage des diverses données personnelles.

Conclusion

Grâce aux quelques conseils fournis dans cet article, nous espérons que votre mise en conformité au RGPD sera simplifiée. Nous vous recommandons surtout de prendre de bonnes habitudes qui vous permettront de garder les données personnelles des patients et patientes confidentielles en toutes circonstances. Cette règlementation peut également vous servir si vous êtes vous-même patient ou patiente d’un autre thérapeute, de manière à faire respecter la confidentialité de vos données.

N’hésitez pas à nous contacter par email bonjour@osteopathes.pro, via facebook ou twitter s’il manque de précisions pour que nous ajoutions des détails à cet article !

Pour aller plus loin

Nous vous conseillons les ressources suivantes pour en savoir plus :

Modifications de l’article

Modification 2020/07/25 : Ajout des liens vers les fichiers des ateliers RGPD pour ostéopathes et documents types.

Modification 2020/09/09 : Ajout des mentions en cas de violation de données personnelles (et lien vers la page de la CNIL).


  1. Les instructions pour activer ces options sont disponible dans la présentation fournie en fin d’article. ↩︎

Attention: les conseils fournis dans cet article ne sauraient se substituer à la consultation d'experts. Nous ne pourrons être tenus responsable d'aucun litige lié aux informations données dans le présent document. Pensez à consulter nos mentions légales.

Restons en contact

Rejoignez-nous pour faire évoluer l'ostéopathie par la diffusion de bonnes pratiques, la recherche clinique et la pratique éclairée par les preuves.

Des logiciels et des ressources pour faire avancer la pratique de l'ostéopathie

© 2021 osteopathes.pro. Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution – Pas d'utilisation Commerciale – Pas de modification 4.0 sauf mention contraire explicite.